DORA (Digital Operational Resilience Act)

DORA koncentruje się na operacyjnej odporności cyfrowej, czyli zdolności podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej operacyjnej integralności i niezawodności przez zapewnianie, bezpośrednio albo pośrednio – korzystając z usług zewnętrznych dostawców usług ICT – pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość, w tym w trakcie zakłóceń.

• Organ zarządzający przydziela odpowiedni budżet w celu zaspokojenia potrzeb w zakresie operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów, zatwierdza i nadzoruje wdrażanie strategii na rzecz ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, wprowadza polityki mające zapewnić utrzymanie wysokich standardów dostępności, autentyczności, integralności i poufności danych.

• Zarządzanie ryzykiem ICT obejmuje proces Szacowania Ryzyka składający się z podprocesów: Identyfikacja Ryzyka, Analiza Ryzyka, Ocena Ryzyka oraz procesu Postępowanie z Ryzykiem obejmującym: Modyfikowanie Ryzyka (Recast Risk), Akceptację Ryzyka (Accept Risk), Unikanie Ryzyka i Dzielenie się Ryzykiem.

• Zgłaszanie poważnych incydentów ICT właściwym organom.
•  Ustalenie limitu tolerancji ryzyka w odniesieniu do ryzyka związanego z ICT, zgodnie z gotowością podmiotu finansowego do podejmowania ryzyka, oraz analizę tolerancji wpływu zakłóceń w funkcjonowaniu ICT

• Testowanie operacyjnej odporności cyfrowej
• Testowanie ICT za pomocą TLPT (Threat-Led Penetration Testing). TLPT, znany również jako Red Team Testing, to kontrolowana próba naruszenia cyberodporności podmiotu poprzez symulowanie taktyk, technik i procedur prawdziwych aktorów odpowiedzialnych za cyberataki.

• Stosowanie środków zarządzania ryzykiem pochodzącym od zewnętrznych dostawców usług ICT

Doskonale zdajemy sobie sprawę, że nowe prawo zmienia dotychczasowe podejście do bezpieczeństwa, odchodząc od standardów trzymania tzw. „papierowych firewalli" stawiając na konkretne oceny ryzyka, podatności, najważniejszych procesów czy dokładną weryfikacje umów z dostawcami usług ICT. Odpowiednie podejście do DORY wymaga aby zespoły techniczne współpracowały z zespołami prawnymi. Połącznie tych dwóch różniących się od siebie światów nie jest łatwe ale przy pomocy odpowiednich narzędzi, możliwe.

Prezentowanie wyników obejmujących obszary techniczne i procesowe powierzamy systemowi Red Into Green, który dzięki automatycznemu transferowi danych o podatnościach i braku zgodności z Security Center Plus pozwala na pełne pokrycie wymagań i prezentacji matryc ryzyka dla Ciągłości Działania, Bezpieczeństwa Informacji, Ochrony danych osobowych i innych.

W kontekście rozporządzenia DORA, RTS oznacza regulacyjne standardy techniczne. Standardy te odgrywają kluczową rolę w zwiększaniu cyfrowej odporności operacyjnej sektora finansowego UE.

Kluczowe aspekty opisane w RTS w ramach DORA:

1. Klasyfikacja poważnych incydentów i istotnych cyberzagrożeń
2. Określenie polityki dotyczącej usług ICT wspierających krytyczne lub ważne funkcje
3. Rejestrowanie informacji

Przykładem zagadnień poruszanych w RTS jest prezentowany poniżej schemat klasyfikacji incydentów.

DORA kładzie bardzo duży nacisk m.in. na dokładne kontrole regulacji wewnętrznych czy odpowiednią weryfikacje umów z dostawcami usług ICT tak aby wszystko było zgodne z wymogami rozporządzenia. Odpowiednie wsparcie prawne potrzebne jest również przy analizie kluczowych procesów biznesowych w organizacji i łączeniu ich z informacjami technicznymi. Dlatego właśnie rozpoczęliśmy współpracę z kancelaria DWF Poland, która świadczy wsparcie w powyższych kwestiach a także w wielu innych.