DORA – istotne zmiany już niedługo

Nieco ponad sześć miesięcy – tyle czasu pozostało podmiotom z sektora finansowego na przygotowanie się do stosowania unijnego rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act, w skrócie: DORA). Akt ma na celu zastąpienie przepisów, które jedynie szczątkowo lub niespójnie regulowały tę tematykę jednolitymi, w skali całej UE, wymogami dot. cyberbezpieczeństwa w sektorze finansowym. Dzięki temu przyczyni się nie tylko do osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej, ale też ułatwi prowadzenie działalności gospodarczej podmiotom działającym w więcej niż jednym kraju członkowskim.

Obowiązki wynikające z DORY dotyczą następujących obszarów:

  • zarządzanie ryzykiem związanym z ICT

DORA nakłada na podmioty z sektora finansowego obowiązek przygotowania ram zarządzania ryzykiem związanym z ICT. Będzie wiązało się to z koniecznością sporządzenia dokumentacji regulującej bezpieczeństwo informacji czy określającej ograniczenia dostępu do zasobów informacyjnych i zasobów ICT, jak również strategii służących zapewnieniu ciągłości działania i przywracania sprawności ICT.

  • zarządzanie incydentami związanymi z ICT

Podmioty finansowe będą zobowiązane do wdrożenia procesu zarządzania incydentami, obejmującego m. in. wprowadzenie wskaźników wczesnego ostrzegania, procedur identyfikowania i klasyfikowania incydentów, a także ustalenia planów działań informacyjnych skierowanych do pracowników czy mediów.

  • testowanie operacyjnej odporności cyfrowej

Obowiązkiem organizacji będzie ustanowienie prawidłowego i kompleksowego programu testowania. Testy odporności będą przeprowadzane przez podmioty zewnętrzne, ale także, pod pewnymi warunkami, przez pracowników wewnętrznych. W przypadku systemów i aplikacji wspierających krytyczne lub istotne funkcje, testowanie będzie obowiązkowe co najmniej raz w roku. Szczególnym typem testów będą testy penetracyjne pod kątem wyszukiwania zagrożeń (TLPT). W stosunku do nich DORA przewiduje zaostrzone wymogi, w tym w kontekście umiejętności i kwalifikacji zawodowych testerów.

  • zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT

Należyte bezpieczeństwo infrastruktury informatycznej będzie zabezpieczone również na poziomie relacji z dostawcami ICT. DORA precyzuje kryteria, jakimi powinny się kierować organizacje przy wyborze takich dostawców oraz wymogi dot. zawieranych z nimi umów.

  • ustalenia dotyczące wymiany informacji

DORA zobowiązuje podmioty finansowe, by wymieniały się między sobą informacjami o cyberzagrożeniach i wynikami analiz tych zagrożeń, w tym o taktykach, technikach i procedurach. Ma to przełożyć się na większą świadomość co do potencjalnych cyberzagrożeń, ułatwić zapobieganie przekształcania się ich w realne incydenty związane z ICT, a w konsekwencji umożliwić skuteczniejszą ochronę przed nimi.

Treść rozporządzenia dostępna pod linkiem: Digital Operational Resilience Act