Czym jest DORA?

Ustawa o cyfrowej odporności operacyjnej (DORA) to rozporządzenie Unii Europejskiej mające na celu wzmocnienie cyfrowej odporności operacyjnej instytucji finansowych. Ma on na celu zapewnienie podmiotom finansowym możliwości przeciwstawienia się wszelkim rodzajom zakłóceń i zagrożeń związanych z ICT oraz podniesienia ich poziomu. DORA wprowadza rygorystyczne wymagania dotyczące zarządzania ryzykiem, kontroli cyberbezpieczeństwa, zgłaszania incydentów i testowania odporności, a także ustanawia ramy nadzoru i egzekwowania prawa przez właściwe organy. Harmonizując te standardy w całej UE, DORA stara się zwiększyć stabilność i bezpieczeństwo sektora finansowego, chronić konsumentów i utrzymać integralność rynku w coraz bardziej cyfrowym krajobrazie. DORA ma wejść w życie 17 stycznia 2025 r.

Kluczowe cele DORA

Jak wynika z oficjalnych oświadczeń zamieszczonych na stronie UE, „DORA ma na celu wzmocnienie bezpieczeństwa informatycznego podmiotów finansowych, takich jak banki, towarzystwa ubezpieczeniowe i firmy inwestycyjne, a także zapewnienie, że sektor finansowy w Europie będzie w stanie zachować odporność w przypadku poważnych problemów operacyjnych zakłócenie”. Oznaczało to, że DORA nakłada na instytucje finansowe obowiązek osiągnięcia pożądanego poziomu „odporności cyfrowej”, co oznacza, że ​​mogą one wytrzymać, zareagować i odzyskać siły po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z ICT.

Jednocześnie, tworząc jednolite ramy, DORA stara się zmniejszyć fragmentację przepisów i stworzyć zharmonizowane podejście w całej UE. Na dzień dzisiejszy każde państwo członkowskie ustala własne regulacje lub zalecenia dla banków i segmentów sektora finansowego, co powoduje różnice między państwami.

Docelowo celem DORA jest wzmocnienie ochrony konsumentów oraz utrzymanie stabilności i integralności systemu finansowego.

Wymagania DORA

DORA wyznacza długi zestaw wymagań w obszarze zarządzania ryzykiem, bezpieczeństwa informacji, ciągłości działania, reagowania na incydenty oraz zarządzania zewnętrznymi dostawcami ICT. Wszystko poparte obszerną dokumentacją i procedurami, a także regularnymi przeglądami i testami odporności.

Wymagania są podobne do znanych frameworków bezpieczeństwa IT, takich jak seria ISO27x, jednak nie odnosi się do nich bezpośrednio, a ustanawia własne standardy.

Kluczowe artykuły DORA to:

Zarządzanie i organizacja (art. 5)
Ramy zarządzania ryzykiem ICT (art. 6)
Systemy, protokoły i narzędzia teleinformatyczne (art. 7)
Identyfikacja (art. 8)
Ochrona i zapobieganie (art. 9)
Wykrywanie (art. 10)
Ciągłość, tworzenie kopii zapasowych i odzyskiwanie (art. 11, 12)
Uczenie się i rozwój (art. 13)
Komunikacja (art. 14)
Ponadto rozporządzenie obejmuje także powiązane akty delegowane (RTS i ITS), które szczegółowo określają wymagania lub zawierają wytyczne.

Praktycznym efektem DORA jest konieczność stworzenia i utrzymywania obszernego zestawu dokumentacji, a także wprowadzenia mechanizmów kontroli bezpieczeństwa, takich jak silne uwierzytelnianie, zarządzanie tożsamością czy zautomatyzowane narzędzia do monitorowania i wykrywania nietypowych działań.

Dokumentacja

DORA wymaga od podmiotów finansowych wprowadzenia szeregu różnorodnych dokumentów, takich jak strategie, polityki, plany, procedury i dokumentacja środowiska teleinformatycznego.

Pełny zestaw obejmuje ponad 80 dokumentów z różnych kategorii, żeby wymienić tylko niektóre z nich:

  • Dokumentacja Systemu Bezpieczeństwa Informacji
  • Strategie i plany dotyczące ciągłości działania
  • Dokumentacja dotycząca zarządzania ryzykiem
  • Ocena wpływu na działalność gospodarczą
  • Zasady i procedury zarządzania incydentami
  • Zasady i procedury dotyczące zarządzania tożsamością i kontroli dostępu
  • Plany i raporty dotyczące testów odporności cyfrowej
  • Rejestr wszystkich zewnętrznych dostawców ICT
  • Strategie i plany wyjścia ze strony zewnętrznych dostawców ICT
  • Rejestr wszystkich funkcji biznesowych, informacji i aktywów ICT wraz z ich klasyfikacją
  • Procedury zarządzania teleinformatycznego, bezpieczeństwa, zarządzania projektami i wielu innychPrzygotowanie do zgodności z DORA

    Aby osiągnąć zgodność z DORA, podmioty finansowe i odpowiednie zainteresowane strony muszą podjąć kilka kluczowych kroków. Przygotowanie obejmuje zrozumienie wymagań, wdrożenie niezbędnych zmian oraz ciągłe monitorowanie i doskonalenie środków odporności operacyjnej.

Niezbędnym elementem do rozpoczęcia projektu compliance DORA jest zdefiniowanie luki compliance. Dlatego projekty wdrożeniowe zwykle rozpoczynają się od audytu (czasami zwanego „Audytem Zero”), mającego na celu analizę i porównanie aktualnego stanu podmiotu finansowego ze wszystkimi szczegółowymi wymaganiami DORA. W efekcie powstaje Raport Zgodności przedstawiający poziom zgodności we wszystkich aspektach i wskazujący luki, takie jak brakujące dokumenty lub ich zawartość, procesy, procedury czy narzędzia i zabezpieczenia.

Kolejnym istotnym działaniem jest dokonanie pełnej inwentaryzacji środowiska teleinformatycznego, zgodnie z wymogami DORA. Obejmuje to:

  • utworzenie rejestru wszystkich funkcji i procesów firmy
  • utworzenie rejestru wszystkich aktywów teleinformatycznych, takich jak systemy, aplikacje, elementy sieciowe, a także zasoby informacyjne
  • utworzenie rejestru wszystkich umów z zewnętrznymi dostawcami usług teleinformatycznych
  • zdefiniowanie metodologii wewnętrznej klasyfikacji funkcji, aktywów ICT i informacji
  • przeprowadzenie procesu klasyfikacji wszystkich powyższych pozycji, proces zrozumienia ich znaczenia
  • Powyższy proces nazywa się „identyfikacją”, a jego wynik służy do ustalenia, które elementy środowiska teleinformatycznego są krytyczne dlabezpieczeństwa biznesowego podmiotu finansowego i zarządzania ryzykiem. W konsekwencji dla wszystkich aktywów sklasyfikowanych jako „krytyczne lub ważne” (w terminologii DORA) podmiot musi wprowadzić wyższe środki ochrony, a dla pozostałych jedynie „podstawowe”.

DORA i kontrole cyberbezpieczeństwa

DORA narzuca również stosowanie „protokołów i narzędzi”, a także „automatycznych rozwiązań” w obszarze cyberbezpieczeństwa w celu poprawy poziomu bezpieczeństwa i ograniczenia zagrożeń dla bezpieczeństwa informacji. Stosowanie konkretnych rozwiązań w zakresie bezpieczeństwa IT jest w zasadzie wynikiem oceny ryzyka, jednakże w sposób wyraźny lub dorozumiany (przynajmniej w przypadku większych podmiotów) DORA nakazuje wdrożenie następujących rozwiązań bezpieczeństwa:

  • silne uwierzytelnianie / uwierzytelnianie wieloskładnikowe w celu zabezpieczenia dostępu do kont administracyjnych lub dostępu zdalnego
  • zarządzanie tożsamością w celu kontroli wszystkich kont i uprawnień oraz prawidłowego zarządzania dostępem (nadawanie i odbieranie uprawnień oraz regularne przeglądy)
  • zarządzanie dostępem uprzywilejowanym w celu ochrony kont współdzielonych lub wysoce uprzywilejowanych (takich jak „admin” lub „root”)
  • Zarządzanie SIEM lub logami
  • narzędzia do monitorowania w czasie rzeczywistym i wykrywania nietypowych działań
  • rozwiązanie do tworzenia kopii zapasowych i przywracania danych
  • W szczególności klauzule DORA skutkują zaostrzeniem wymagań związanych z zarządzaniem tożsamością i dostępem oraz ochroną aplikacji i kont z silnym uwierzytelnianiem w wielu przypadkach, co szczególnie dotyka mniejszych graczy, takich jak fintechy. Aby dowiedzieć się więcej, możesz przeczytać białą księgę „DORA i IAM – Jak rozwiązania IAM pomagają spełnić wymagania DORA” lub obejrzeć nagranie webinaru „Jak spełnić wymagania DORA w zarządzaniu tożsamością”.

Dla kogo DORA jest istotna?

DORA ma zastosowanie do szerokiej gamy podmiotów finansowych w Europejskim Obszarze Gospodarczym (a więc nie tylko do państw członkowskich UE), obejmujących zarówno tradycyjne instytucje finansowe (takie jak banki i spółdzielcze kasy pożyczkowe), jak i różnych innych interesariuszy w ekosystemie finansowym (fintechy). Ponadto część wymagań w sposób dorozumiany obejmuje zewnętrznych dostawców/poddostawców usług ICT podmiotów finansowych.

Warto zauważyć, że większość wymagań jest obowiązkowa dla wszystkich podmiotów finansowych, niezależnie od wielkości organizacji. Pomimo tego, że DORA przewiduje tak zwane „uproszczone ramy zarządzania ryzykiem ICT” dla mniejszych graczy, nadal muszą oni spełniać większość wymagań określonych w tym dokumencie.

Artykuł 4 DORA stanowi „zasadę proporcjonalności”, co oznacza, że ​​wszystkie postanowienia DORA powinny być wdrażane z uwzględnieniem „wielkości i ogólnego profilu ryzyka instytucji, a także charakteru, skali i złożoności jej usług, działalności i operacji ”. Oznacza to zatem, że mniejsze podmioty mogą korzystać z różnych środków w celu zapewnienia zgodności (np. procesów ręcznych zamiast zautomatyzowanych rozwiązań informatycznych), ale ostatecznie wymagania pozostają takie same.

Skorzystaj z pomocy DORA w zakresie zgodności!

Sposób, w jaki dana instytucja finansowa wdraża DORA, zależy od jej wielkości, usług, aktualnego stanu bezpieczeństwa i wreszcie dostępności wewnętrznych kompetencji do prowadzenia takiego projektu. Dlatego możliwa jest praca w pełni wewnętrznie lub zatrudnienie ekspertów zewnętrznych. Jeśli jesteś audytorem lub specjalistą ds. zgodności, możesz skorzystać z zautomatyzowanych narzędzi (takich jak Audomate) w celu wsparcia analizy zgodności. Narzędzie może przeszukiwać obszerną dokumentację i zapewnia szybkie odpowiedzi na pytania audytowe oraz wykrywa luki w przepisach.

Jeśli nie masz własnych zasobów, możesz rozważyć współpracę z zewnętrznymi ekspertami, takimi jak Identonic, którzy mogą przeprowadzić audyt zgodności lub pomóc Ci w pracach przygotowawczych DORA.

 

Masz jakieś pytania? Potrzebujesz porady na temat audytu TegTech? Umów się na bezpłatną konsultację.

Jeśli chcesz dowiedzieć się więcej o aplikacji Audomate lub potrzebujesz konsultacji, napisz do nas lub zadzwoń!





    hello@audomate.eu

    +48 451 094 905

    Auditech Sp. z o.o.
    Chmielna 132/134
    00-805 Warszawa
    Polska