DORA wkracza na pole regulacji dotyczących odporności operacyjnej.
Kilka lat temu Bank Anglii (BoE) był jednym z niewielu organów regulacyjnych wprowadzających standardy odporności operacyjnej w sektorze usług finansowych. Teraz sytuacja się zmieniła.
Od tego czasu, organy nadzoru finansowego w Australii (APRA) oraz w Stanach Zjednoczonych (the Federal Reserve) również wprowadziły regulacje mające na celu zapewnienie podstawowej odporności operacyjnej dla firm podlegających nadzorowi.
Tymczasem 16 stycznia 2023 roku na światło dzienne wyszło najważniejsze z nich wszystkich rozporządzenie: Rozporządzenie o Cyfrowej Odporności Operacyjnej (DORA).
Wiążące rozporządzenie UE dotyczące cyfrowej odporności operacyjnej w sektorze finansowym DORA ma na celu przeciwdziałanie potencjalnym zagrożeniom wynikającym z zależności sektora od zewnętrznych dostawców ICT.
Dyrektywa DORA wymaga przestrzegania zasad dotyczących ochrony, wykrywania, ograniczania, odzyskiwania i naprawy incydentów związanych z ICT.
Zasady te koncentrują się na wprowadzeniu ram nadzoru dla krytycznych zewnętrznych dostawców, w całym sektorze finansowym, co ma zapewnić, aby wszyscy uczestnicy podlegali wspólnemu zestawowi standardów w celu złagodzenia ryzyka związanego z ICT w ich działalności.
Po pełnym wejściu w życie DORA obejmie szeroki zakres instytucji finansowych, w tym następujące:
I to nie tylko w UE. DORA prawdopodobnie będzie miała zastosowanie również do podmiotów spoza UE, jeśli dostawcy usług nieposiadający siedziby w UE zostaną sklasyfikowani jako krytyczni.
Jak wspomniano powyżej, DORA odnosi się do kwestii zarządzania ryzykiem i incydentami ICT. Rozporządzenie określa zasady zarządzania ryzykiem teleinformatycznym, zgłaszania incydentów, testowania odporności operacyjnej i monitorowania ryzyka teleinformatycznego stron trzecich, które pokrótce omówimy w tym artykule.
Zarządzanie ryzykiem związanym z ICT. DORA zobowiązuje podmioty finansowe do osiągnięcia wysokiego poziomu cyfrowej odporności operacyjnej, wprowadzenia wewnętrznych ram zarządzania i kontroli w celu zapewnienia skutecznego zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi. Ramy te będą nadzorowane przez organ zarządzający podmiotu finansowego, który musi określić, zatwierdzić i odpowiadać za wdrożenie wszystkich ustaleń związanych z ramami zarządzania ryzykiem ICT.
Zgłaszanie incydentów związanych z ICT. Celem DORA jest ograniczenie ryzyka związanego z ICT. Ale co w sytuacji, gdy incydenty ICT i tak się pojawią? Tutaj DORA określa konkretne wymogi dotyczące zgłaszania incydentów. Istotą tych wymogów jest potwierdzenie, że podmioty ustanowiły odpowiednie procedury i procesy w celu zapewnienia spójnego i zintegrowanego monitorowania, obsługi i działań podejmowanych w następstwie incydentów związanych z ICT. Podmioty muszą również być w stanie zapewnić, że przyczyny źródłowe są identyfikowane, dokumentowane i eliminowane, aby zapobiec ponownemu wystąpieniu takich incydentów.
Testowanie operacyjnej odporności cyfrowej. Wszystkie procesy zgłaszania incydentów ICT muszą zostać przetestowane, aby upewnić się, że wytrzymają podczas wystąpienia prawdziwego incydentu. Wymogi dotyczące testowania obejmują obowiązek ustanowienia, utrzymania i przeglądu programu testowania cyfrowej odporności operacyjnej jako integralnej części ram zarządzania ryzykiem ICT. Działania te pozwolą na ocenę gotowości firmy do postępowania z incydentami związanymi z ICT, identyfikacji słabości, niedociągnięć i luk w cyfrowej odporności operacyjnej oraz szybkiego wdrożenia środków naprawczych.
Wymogi dotyczące zarządzania ryzykiem stron trzecich. Głównym powodem wprowadzenia DORA jest rosnące ryzyko związane z działaniem podmiotów trzecich ICT, które oferują kluczowe usługi na rzecz firm świadczących usługi finansowe. W związku z tym, Rozporządzenie nakłada na podmioty obowiązek zarządzania ryzykiem ICT ze strony osób trzecich w szerszym ujęciu - jako integralnym elementem ryzyka ICT, a także w ramach zarządzania ryzykiem teleinformatycznym jednostki. Ramy te powinny być jednak regulowane zgodnie z zasadami proporcjonalności. Oznacza to uwzględnienie specyfiki, skali, złożoności i znaczenia powiązań z ICT, a także ryzyka wynikającego z ustaleń umownych dotyczących korzystania z usług ICT zawartych z zewnętrznymi dostawcami usług ICT.
Rozporządzenie DORA wreszcie nadeszło, a jego przestrzeganie będzie konieczne od czasu jego pełnego wejścia w życie czyli od 17 stycznia 2025 roku.
Normy takie jak ISO/IEC 27001 mogą odegrać kluczową rolę we wspieraniu organizacji w osiąganiu zgodności z rozporządzeniem DORA (Digital Operational Resilience Act).
ISO/IEC 27001 obejmuje różne obszary istotne dla zgodności z DORA, w tym ocenę ryzyka, reakcję na incydenty, ciągłość działania i odporność operacyjną. Organizacje, które uzyskały już certyfikat ISO/IEC 27001 lub wdrożyły wymagania ISO/IEC 27001, będą miały solidne podstawy, aby spełnić wiele aspektów bezpieczeństwa i odporności wymaganych przez DORA.
Co więcej, nacisk ISO/IEC 27001 na podejście oparte na ryzyku i ciągłe doskonalenie jest zgodny z duchem DORA, ponieważ ISO/IEC 27001 promuje proaktywne zarządzanie ryzykiem i ciągłe zwiększanie odporności operacyjnej.
Wdrożenie ISO/IEC 27001 może pomóc organizacjom zidentyfikować i wyeliminować potencjalne luki w zabezpieczeniach, wzmocnić swój poziom bezpieczeństwa oraz ustanowić niezbędne procesy i zabezpieczenia w celu spełnienia wymagań DORA.
Ponieważ zgodnie z art. 5 ust. 4 [DORA] organizacje są zobowiązane do wprowadzenia systemu zarządzania bezpieczeństwem informacji (SZBI), przestrzeganie norm takich jak ISO/IEC 27001 staje się naturalnym wyborem dla większości z nich. Normy te zapewniają strukturę umożliwiającą skuteczne zabezpieczenie informacji oraz umożliwiają organizacjom udokumentowanie przed organem regulacyjnym, że skutecznie wdrożyły SZBI.
Dzięki wdrożeniu ISO/IEC 27001 organizacje mają możliwość usprawnienia swoich działań dotyczących zgodności oraz wykazania proaktywnego zaangażowania w kwestie bezpieczeństwa informacji i odporności operacyjnej. To istotny element w kontekście dążenia do zgodności z wymogami DORA.
Jeśli są Państwo zainteresowani uzyskaniem bardziej szczegółowych informacji na temat ISO/IEC 27001 lub procesu certyfikacji, serdecznie zachęcamy do kontaktu z nami. Nasz zespół specjalistów jest gotów udzielić szczegółowych informacji i odpowiedzieć na wszelkie pytania dotyczące tych kwestii. Jesteśmy dostępni, aby służyć pomocą i wspierać Państwa organizację w osiągnięciu najwyższych standardów bezpieczeństwa informacji.