Czym jest DORA? Prosty przewodnik po nowej unijnej ustawie o cyfrowej odporności operacyjnej

Unijna ustawa o cyfrowej odporności operacyjnej (DORA) zmienia sposób, w jaki organizacje z sektora finansowego zarządzają ryzykiem cybernetycznym, dostawcami zewnętrznymi i odpornością operacyjną. Rozporządzenie UE weszło w życie 16 stycznia 2023 r. i po standardowym dwuletnim okresie przygotowawczym, DORA zaczęła obowiązywać 17 stycznia 2025 r. Od tego dnia wszystkie podmioty finansowe, w tym banki, ubezpieczyciele, fintechy i wspierający je dostawcy ICT, muszą być w stanie wykazać organom nadzoru zgodność z przepisami.

Czego tak naprawdę wymaga DORA i co to oznacza dla organizacji, które stoją w obliczu obowiązków na poziomie przedsiębiorstwa, ale często dysponują znacznie mniejszymi zasobami?

Oto jasny, prosty przewodnik po tym, kogo to dotyczy i co jest potrzebne, aby zachować zgodność.

Czym jest DORA?

DORA to rozporządzenie UE mające na celu zapewnienie, że sektor finansowy jest w stanie wytrzymać cyberataki i zakłócenia operacyjne, być w stanie reagować na nie i odzyskiwać po nich równowagę. Wykracza ono poza poprzednie przepisy, które koncentrowały się głównie na sprawozdawczości i zarządzaniu, wprowadzając obowiązkowe wymogi w pięciu kluczowych obszarach:

• Zarządzanie ryzykiem ICT
• Zgłaszanie incydentów
• Testowanie
• Nadzór nad dostawcami zewnętrznymi
• Udostępnianie informacji

Jeśli przetwarzasz dane finansowe, obsługujesz klientów finansowych lub podlegasz szerokiej definicji dostawcy usług teleinformatycznych DORA, jest prawdopodobne, że rozporządzenie ma zastosowanie dla Twojej firmy.

Kto musi przestrzegać przepisów DORA?

DORA ma zastosowanie do szerokiego zakresu podmiotów finansowych i ich krytycznych dostawców ICT, w tym:

• Banków i instytucji kredytowych
• Firm ubezpieczeniowych i reasekuracyjnych
• Firm inwestycyjnych
• Instytucji płatniczych i pieniądza elektronicznego
• Dostawców usług związanych z kryptoaktywami
• Firm raportujących i systemów obrotu
• Krytycznych zewnętrznych dostawców usług ICT, takich jak: dostawcy usług chmurowych, dostawców usług SaaS i inni dostawców technologii.

Jeśli wspierasz operacje podmiotu finansowego, DORA może wymagać od Twojej organizacji spełnienia rygorystycznych standardów zarządzania, dokumentacji i odporności operacyjnej.

Dlaczego DORA jest potrzebna?

Usługi finansowe są silnie ze sobą powiązane. Pojedynczy incydent, taki jak awaria systemu lub cyberatak, może szybko rozprzestrzenić się ponad granicami państw i sektorów gospodarki.

Niedawne ataki na łańcuchy dostaw uwypukliły, jak bardzo organizacje są narażone na słabości swojego ekosystemu ICT. DORA została wprowadzona w ramach unijnego pakietu finansowania cyfrowego w celu wzmocnienia odporności instytucji finansowych i ich dostawców. DORA ma na celu zapewnienie spójności w całym sektorze i podniesienie ogólnego poziomu odporności.

Pięć głównych filarów DORA

1. Zarządzanie ryzykiem ICT

DORA wymaga, aby organizacje utrzymywały udokumentowane, ustrukturyzowane i regularnie testowane procesy zarządzania ryzykiem ICT. Obejmują one:

• Zarządzanie i obowiązki w zakresie ICT
• Przeprowadzanie oceny ryzyka
• Prewencyjne i detektywistyczne środki bezpieczeństwa
• Tworzenie kopii zapasowych i odzyskiwanie danych po awarii
• Procesy zarządzania incydentami

2. Zgłaszanie incydentów

Podmioty finansowe muszą przestrzegać jasnych zasad klasyfikowania, dokumentowania i zgłaszania istotnych incydentów związanych z ICT. Muszą one być szybko identyfikowane, kategoryzowane i zgłaszane w ściśle określonych terminach. To sprawia, że niezawodne przepływy pracy i dobra dokumentacja są niezbędne.

3. Cyfrowe testy odporności operacyjnej

Podmioty finansowe muszą regularnie testować skuteczność swoich mechanizmów kontrolnych. Obejmuje to zarówno podstawowe oceny, jak i zaawansowane testy penetracyjne oparte na zagrożeniach, w zależności od wielkości organizacji i profilu ryzyka.

4. Zarządzanie ryzykiem stron trzecich

Twoim obowiązkiem jest:

• Identyfikacja wszystkich dostawców ICT
• Ocena i klasyfikacja ryzyka
• Monitorowanie wydajności i zgodności
• Zapewnienie zgodności umownej z DORA
• Przygotowanie strategii awaryjnych i strategii wyjścia

Mniejsze organizacje często borykają się z tym problemem ze względu na ograniczone zasoby i rozproszoną dokumentację, co jest właśnie wyzwaniem, które Trustlinks ma rozwiązać.

5. Udostępnianie informacji

DORA zachęca podmioty do dzielenia się informacjami o cyberzagrożeniach z innymi organizacjami i społecznościami, aby wzmacniać wspólną odporność.

Jakie jest ryzyko braku zgodności?

Niezgodność może prowadzić do:

• Kar finansowych i sankcji regulacyjnych
• Zwiększonej kontroli nadzorczej
• Ograniczeń kontraktowych narzuconych przez klientów z sektora finansowego
• Szkód reputacyjnych
• Zakłóceń operacyjnych podczas incydentów

Wiele organizacji już teraz zmaga się z presją, taką jak odpowiedzialność kierownictwa, napięte terminy raportowania, ograniczone możliwości wewnętrzne i złożone wymogi regulacyjne. DORA dodaje kolejną warstwę odpowiedzialności, która wymaga jasnej struktury i planowania.

Jak Trustlinks pomaga przygotować się do DORA

Dla wielu organizacji, zwłaszcza tych mniejszych, nowe wymogi stanowią uzupełnienie istniejących wyzwań, takich jak szybko rozwijające się regulacje, nakładające się na siebie wymogi, eskalacja cyberzagrożeń, ograniczone możliwości wewnętrzne i fragmentaryczna, trudna do zarządzania dokumentacja.

Trustlinks został zaprojektowany dla tych organizacji, aby pomóc im skupić się na przejrzystości i strukturze bez złożoności i kosztów tradycyjnych narzędzi dla przedsiębiorstw:

Przejrzystość

Wymagania z rozporządzenia DORA zostały zmapowane w proste, kierowane działania, elementy sterujące i zadania, które są łatwe do wykonania.

Kontrola

Pojedynczy obszar roboczy dla ryzyk, kontroli, dostawców, dokumentów, zadań i dowodów audytu.

Pewność siebie

Procesy gotowe do audytu wspierane przez zautomatyzowane kontrole, szablony i śledzenie postępów.

Wbudowane narzędzia wspierające zgodność z przepisami DORA:

• Przepływy pracy związane z oceną ryzyka
• Ocena i monitorowanie dostawców
• Zautomatyzowane oceny gotowości
• Scentralizowane zarządzanie zasadami
• Listy zadań i przypomnienia o terminach i przeglądach
• Wersjonowanie dokumentów i zasady oparte na szablonach

Trustlinks został stworzony z myślą o organizacjach, które mają ograniczony czas i zasoby, ale muszą sprostać tym samym oczekiwaniom regulacyjnym, co duże przedsiębiorstwa. Zgodność z przepisami nie musi być przytłaczająca. Dzięki odpowiedniej strukturze, wskazówkom i narzędziom każda organizacja może osiągnąć silne zarządzanie, zmniejszone ryzyko, zwiększoną odporność i pewność siebie podczas audytów.

Trustlinks zapewnia przejrzystość i kontrolę, dzięki czemu zgodność z DORA jest łatwa w zarządzaniu i zrównoważona. Więcej informacji o tym, jak przygotować się do DORA, można znaleźć tutaj.

Poznaj platformę zgodności Trustlinks tutaj!