Czy spełniasz wymagania DORA?

Od 17 stycznia 2025 r. wszystkie instytucje finansowe działające na terenie Unii Europejskiej będą zobowiązane do przestrzegania przepisów Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Nowe regulacje mają na celu zwiększenie odporności cyfrowej sektora finansowego na zakłócenia technologiczne, cyberataki i awarie systemów IT.

Strategie zgodności z DORA

Istnieje wiele sposobów, aby pomóc Twojej organizacji osiągnąć zgodność z DORA. Poniżej wymienimy trzy z nich.

Wykorzystaj DORA jako okazję do wzmocnienia odporności operacyjnej

W dzisiejszym złożonym środowisku regulacyjnym jest to wartościowa rozmowa. Należy jednak zauważyć, że DORA została zaprojektowana specjalnie dla branży finansowej, zajmując się konkretnymi ryzykami i wyzwaniami, które są unikalne dla tej branży. Finanse są obecnie niemal całkowicie zależne od transakcji cyfrowych – bardziej niż jakakolwiek inna branża – i pomocne może być rozwiązanie tych wyzwań za pomocą konkretnych wytycznych i przepisów dostosowanych do unikalnych przypadków użycia w branży.

DORA to okazja do wzmocnienia odporności operacyjnej w niezwykle dynamicznym krajobrazie zagrożeń. Organizacje finansowe są lukratywnymi celami, a ich infrastruktura ICT (Information and Communication Technology) jest wysoce rozproszona i złożona. DORA umożliwia organizacjom finansowym rozwój skuteczniejszych strategii zarządzania ryzykiem i bezpieczeństwa cyfrowego.

Spełnienie wymogów DORA wymaga od organizacji identyfikacji ryzyka, zamykania luk w zabezpieczeniach i utrzymywania dobrej higieny cybernetycznej. Zamiast zaznaczać kilka pól, zespoły ds. bezpieczeństwa powinny wykorzystywać wymagania zawarte w DORA, aby zapewnić odporność cybernetyczną i operacyjną.

Udokumentuj wszystko w centralnym repozytorium informacji ICT

DORA wymaga od organizacji finansowych rejestrowania wszystkich ICT stron trzecich i wszelkich kluczowych podwykonawców w centralnym rejestrze informacji (ROI) – w tym informacji identyfikacyjnych stron trzecich, ich siedziby, danych kontaktowych, informacji umownych, zakresu świadczonych usług, kategoryzacji ryzyka, postanowień dotyczących monitorowania i własności wewnętrznej.

To repozytorium jest doskonałą okazją do sformalizowania informacji o cyberbezpieczeństwie i zarządzaniu ryzykiem dotyczących łańcucha dostaw dla ICT, gdzie można je aktualizować, odwoływać się do nich i udostępniać upoważnionym interesariuszom wewnątrz i na zewnątrz organizacji.

Ten dokument ROI może być używany jako podręcznik podczas ataków lub innych incydentów, zapewniając osobom reagującym kontekst, którego potrzebują, aby podejmować szybkie i zdecydowane działania w danej chwili. Dokument może również zawierać instrukcje krok po kroku, które zabezpieczą wiedzę i doświadczenie organizacyjne, nawet w przypadku rotacji personelu.

Skup się na podmiotach trzecich i ich wpływie na ryzyko biznesowe

Branża finansowa jest z natury powiązana, co pozwala firmom, konsumentom i innym podmiotom dokonywać transakcji cyfrowych w czasie niemal rzeczywistym. Ta wzajemna zależność sprawia, że organizacje są zależne od partnerów zewnętrznych, dostawców, a nawet klientów. Jeśli którykolwiek z tych punktów dostępu zostanie naruszony, osoby atakujące mogą mieć możliwość rozprzestrzeniania się na inne systemy w poszukiwaniu dodatkowych celów, co Bitdefender zaobserwował jako rosnący trend.

DORA rozumie zależność od stron trzecich i wymaga od organizacji lepszego zrozumienia, w jaki sposób ich dostawcy wpływają na ryzyko biznesowe. Obejmuje to dostawców usług ICT, dostawców usług zarządzanych, dostawców usług w chmurze, dostawców, platformy oprogramowania jako usługi (SaaS) i inne podmioty korzystające z niezarządzanych aplikacji, usług i urządzeń.

Ale skąd wiesz, czy dostawca aktualizuje swoje oprogramowanie najnowszymi poprawkami? Albo czy dostawca usług w chmurze używa najbardziej zaawansowanych narzędzi i technik cyberbezpieczeństwa, aby trzymać aktorów zagrożeń z dala od Twoich danych?

Testy penetracyjne i symulacje pozwalają zespołom ds. bezpieczeństwa badać aplikacje, które nie są pod bezpośrednią kontrolą organizacji. Testy mogą być przeprowadzane w celu sprawdzenia gotowości i odporności, dając organizacjom finansowym wgląd w ich postawę bezpieczeństwa, zapewniając, że wiedzą, jak reagować w przypadku incydentu, wspólnie ze swoimi dostawcami. Te spostrzeżenia mogą być następnie wykorzystane do rozwiązania tych luk, ponownej oceny partnerstw i wywierania pozytywnej presji na dostawców, aby działali lepiej.

DORA stanowi znacznie więcej niż tylko zestaw wymagań do odhaczenia na liście kontrolnej

„Spełnienie wymogów DORA może być świetną okazją dla organizacji finansowych do wzmocnienia ich odporności cybernetycznej i operacyjnej. Wymagania określone w rozporządzeniu są specjalnie zaprojektowane, aby sprostać wyzwaniom, przed którymi stoi branża finansowa, i mogą być dostosowane do innych standardów lub celów biznesowych” – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

W optymalnym scenariuszu organizacje będą wykorzystywać DORA jako okazję do właściwej oceny ryzyka, dokumentowania rejestru informacji (ROI) i brania pod uwagę partnerów zewnętrznych i dostawców. Robienie tego zgodnie z wytycznymi DORA pomaga organizacjom sprostać dynamicznym wyzwaniom, z którymi podmioty finansowe mierzą się w dzisiejszym stale aktywnym, hiperpołączonym świecie. Jeśli chcesz poznać więcej informacji dotyczących rozporządzeń DORA, to sprawdź bitdefender.pl/dora.