DORA: Przełom w zakresie cyberbezpieczeństwa finansowego i odporności UE

Ustawa Digital Operational Resilience Act (DORA) weszła w życie 17 stycznia, tworząc transformacyjny krok w zakresie cyberbezpieczeństwa i odporności operacyjnej w sektorze finansowym Unii Europejskiej (UE). Zaprojektowana w celu rozwiązania rosnących zagrożeń cybernetycznych i zakłóceń IT, ustawa DORA ustanawia zharmonizowane ramy wymagań, które mają wpływ na instytucje finansowe, dostawców usług technologii informacyjno-komunikacyjnych (ICT) i szerszy rynek.

Ale co to tak naprawdę oznacza dla organizacji finansowych, które prowadzą działalność w UE? Czego wymaga od nich prawo? I jak mogą udowodnić zgodność?

To pierwsza część z dwuczęściowej serii. Ten blog da Ci przegląd DORA i jej wymagań. Druga część przedstawi praktyczne zalecenia, które możesz podjąć już dziś, aby upewnić się, że Twoja organizacja jest zgodna.

Sektor finansowy UE jest kwestią bezpieczeństwa narodowego i ochrony publicznej

Wprowadzone w życie prawie siedem lat temu Ogólne rozporządzenie o ochronie danych (RODO) położyło podwaliny pod bardziej solidny krajobraz regulacyjny w całej UE. W miarę jak środowiska cyfrowe dojrzewają i stają się coraz bardziej złożone, a coraz bardziej wyrafinowani aktorzy zagrożeń narażają te środowiska cyfrowe na ryzyko, potrzeba więcej przepisów, aby chronić firmy i ich klientów, ustalając punkt odniesienia, aby zapewnić przestrzeganie bezpiecznych praktyk. Dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS2) weszła w życie w 2023 r., aby zniwelować lukę między kluczowymi branżami, takimi jak energetyka, transport i usługi publiczne – a teraz DORA dąży do ustanowienia solidnego standardu odporności operacyjnej w całym sektorze finansowym.

Rozwiązywanie wyjątkowych wyzwań cyberbezpieczeństwa w branży finansowej ma sens. Finanse są silnie uzależnione od technologii cyfrowej i stanowią kluczowy sektor, który wpływa na niemal każdy inny sektor gospodarki – od produkcji i opieki zdrowotnej po usługi rządowe i transport. Wszelkie zakłócenia w branży finansowej mogą wstrzymać finansowanie krytycznej infrastruktury, wpłynąć na polisy ubezpieczeniowe w całej UE lub uniemożliwić swobodny przepływ towarów i usług między państwami członkowskimi. Podmioty stanowiące zagrożenie oczywiście o tym wiedzą i coraz częściej atakują podatne infrastruktury informatyczne, które zasilają jedną z największych i najbardziej dynamicznych gospodarek świata. To połączenie potencjalnych zakłóceń i podatnej infrastruktury sprawia, że bezpieczeństwo sektora finansowego staje się kwestią bezpieczeństwa narodowego.

Jednym z głównych wyzwań związanych z odpornością operacyjną w branży finansowej jest nieodłączna współzależność sektora. Możliwość przeprowadzania prawie każdego rodzaju transakcji niemal natychmiast – bez względu na to, jak duża lub mała jest transakcja transgraniczna i sektorowa – jest kluczową usługą, która utrzymuje gospodarkę w ruchu. Zautomatyzowane procesy w bankowości, finansach, ubezpieczeniach i innych usługach finansowych są zależne od złożonych infrastruktur obejmujących lokalne centra danych i dostawców usług w chmurze. Ta zależność od zewnętrznych dostawców usług i dostawców technologii naraża organizacje finansowe na duże ryzyko.

Od stron trzecich do testów penetracyjnych

DORA dąży do standaryzacji odporności operacyjnej w sektorze finansowym i państwach członkowskich UE poprzez ustanowienie zestawu najlepszych praktyk i zaleceń, które wzmacniają odporność cybernetyczną. Począwszy od 17 stycznia poszczególne organizacje muszą przestrzegać wymogów DORA. W przypadku naruszenia organizacja może zostać pociągnięta do odpowiedzialności i podlegać grzywnom i innym karom. Podobnie jak w przypadku RODO, kary mogą sięgać do dwóch procent globalnych przychodów – potencjalnie przekraczając setki milionów dolarów, a także grzywny dla wysoko postawionych osób i osób trzecich, jeśli państwa członkowskie zdecydują się na nałożenie dalszych kar. Realistycznie rzecz biorąc, organy regulacyjne są jednak zainteresowane zobaczeniem kroków, jakie firmy, które nie są zgodne, podejmują, aby pójść naprzód jako sposób na dalsze wzmocnienie odporności operacyjnej w całym sektorze.

Oto pięć kluczowych elementów DORA, które analitycy ds. bezpieczeństwa muszą wziąć pod uwagę, aby zachować zgodność z nowymi przepisami:

Zarządzanie ryzykiem ICT

Nie możesz chronić tego, o czym nie wiesz, więc DORA wymaga, aby organizacje lepiej rozumiały swoje środowiska IT i sposób, w jaki narażają je i swoich klientów na ryzyko. Jakie aktywa są dostępne? Jak krytyczne są dla odporności operacyjnej? Jaki byłby wpływ naruszenia lub awarii tych aktywów? I w jaki sposób te systemy są ze sobą połączone? Jakie środki kontroli wdrożyliśmy, aby je zabezpieczyć? Zrozumienie tych pytań jest kluczowe dla identyfikacji i inwentaryzacji aktywów, aby skutecznie ocenić bieżące ryzyko, co jest integralnym aspektem DORA. To właśnie tutaj kluczowe jest testowanie penetracyjne oparte na zagrożeniach, dające zespołom ds. bezpieczeństwa wgląd w to, jak zdarzenie może się rozwinąć i jakie kroki należy podjąć, aby zatrzymać i naprawić zagrożenia.

Dostawcy usług zewnętrznych

Obecnie działalność biznesowa rzadko jest prowadzona wyłącznie w obrębie obiektów organizacji. Podwykonawcy, inni dostawcy usług, a w pewnym stopniu pracownicy pracujący z domu odgrywają kluczową rolę w operacjach biznesowych w nowoczesnym miejscu pracy – a każdy z tych niezarządzanych podmiotów stwarza ryzyko dla odporności operacyjnej i cybernetycznej. DORA wymaga, aby organizacje finansowe rozumiały wpływ tych podmiotów trzecich na działalność, rejestrowały go i zapewniały, że wdrożono odpowiednie zabezpieczenia w celu ochrony powiązanych procesów od początku do końca. Wszystko to powinno być udokumentowane w Rejestrze Informacji (RoI) i łatwo dostępne.

Zarządzanie incydentami

DORA wymaga również, aby organizacje finansowe wdrożyły ustrukturyzowany proces wykrywania, obsługi i raportowania incydentów związanych z ICT. Obejmuje to ustanowienie jasnych kryteriów klasyfikacji, terminowych procesów eskalacji i spójnych ram raportowania z uwzględnieniem ścisłych ram czasowych. Wszystko to musi być poparte wykonywaniem ćwiczeń stołowych skoncentrowanych na odporności operacyjnej, aby zapewnić zrozumienie zasad odzyskiwania po awarii i ciągłości działania – umożliwiając interesariuszom natychmiastowe podjęcie działań w przypadku zagrożenia operacji.

Zarządzanie zmianą

Organizacje i ich środowiska cyfrowe nieustannie się zmieniają, dlatego ważne jest, aby zespoły ds. bezpieczeństwa miały wgląd w zmiany ICT i ich wpływ na ryzyko operacyjne – w tym ocenę, wdrożenie i monitorowanie. Autoryzacja i zgodność z istniejącymi zasadami to również kluczowe funkcje – zapewniające, że nie będzie można wprowadzić żadnych nieautoryzowanych zmian. Wymaga to oceny aktualizacji oprogramowania, modyfikacji infrastruktury i wdrażania osób trzecich. Ostatecznie DORA zapewnia, że procesy zarządzania zmianami są rygorystyczne i wymagają ustrukturyzowanych zatwierdzeń. Zespoły ds. bezpieczeństwa powinny rozważyć testowanie proponowanych zmian przed i po wdrożeniu – wykorzystując testy penetracyjne w celu uzyskania wglądu w to, w jaki sposób zagrożenia mogą uderzyć w organizację, jeśli zmiany wejdą w życie.

Sprawozdawczość i zgodność

Przede wszystkim DORA koncentruje się na rozliczalności. Organizacje finansowe, które chcą prowadzić działalność w UE, będą musiały wziąć odpowiedzialność za całe swoje środowiska IT i biznesowe. Będzie to wymagało stałego monitorowania krytycznych systemów, testowania podatności, oceny ryzyka i, co najważniejsze, raportowania. Organizacje powinny używać spójnych szablonów, które określają wymagania i harmonogramy, i wprowadzać je do Rejestru Informacji (ROI) – repozytorium informacji od stron trzecich, umów umownych, ocen ryzyka, zależności, informacji o incydentach i planów awaryjnych – udostępnianych wewnętrznym a, w razie potrzeby, zewnętrznym audytorom. Samo zbieranie informacji nie wystarczy. Biorąc pod uwagę złożoność dzisiejszej infrastruktury IT, informacje te będą musiały zostać przeanalizowane oraz przekształcone w informacje nadające się do wykorzystania. Muszą być wykorzystywane do wzmacniania bezpieczeństwa i ochrony systemów, danych i prywatności klientów przed złośliwymi podmiotami.

Postęp w zakresie zgodności z DORA

Ustawa DORA weszła w życie 17 stycznia w całej UE, a każda organizacja finansowa prowadząca działalność w regionie (lub zewnętrzni dostawcy ICT) będzie musiała zrozumieć, w jaki sposób przepisy wpływają na nią i jej zdolność do prowadzenia działalności w coraz bardziej złożonym cyfrowym krajobrazie. Każde naruszenie lub zakłócenie działalności może być katastrofalne dla organizacji, dlatego ważne jest, aby rozważyć, w jaki sposób nowe przepisy na nie wpłyną. Stamtąd możesz podjąć jasne kroki, aby spełnić wymogi zgodności i zapewnić odporność operacyjną i cybernetyczną w coraz bardziej niebezpiecznym świecie.

Aby dowiedzieć się więcej, przeczytaj dokument „Jak Bitdefender wspiera zgodność z przepisami Dora”.