DORA (Digital Operational Resilience Act)

DORA koncentruje się na operacyjnej odporności cyfrowej, czyli zdolności podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej operacyjnej integralności i niezawodności przez zapewnianie, bezpośrednio albo pośrednio – korzystając z usług zewnętrznych dostawców usług ICT – pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość, w tym w trakcie zakłóceń.   Więcej informacji o rozporządzeniu DORA znajdziesz tu

• Organ zarządzający przydziela odpowiedni budżet w celu zaspokojenia potrzeb w zakresie operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów, zatwierdza i nadzoruje wdrażanie strategii na rzecz ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, wprowadza polityki mające zapewnić utrzymanie wysokich standardów dostępności, autentyczności, integralności i poufności danych.
• Zarządzanie ryzykiem ICT obejmuje proces Szacowania Ryzyka składający się z podprocesów: Identyfikacja Ryzyka, Analiza Ryzyka, Ocena Ryzyka oraz procesu Postępowanie z Ryzykiem obejmującym: Modyfikowanie Ryzyka (Recast Risk), Akceptację Ryzyka (Accept Risk), Unikanie Ryzyka i Dzielenie się Ryzykiem.

• Zgłaszanie poważnych incydentów ICT właściwym organom.
•  Ustalenie limitu tolerancji ryzyka w odniesieniu do ryzyka związanego z ICT, zgodnie z gotowością podmiotu finansowego do podejmowania ryzyka, oraz analizę tolerancji wpływu zakłóceń w funkcjonowaniu ICT

• Testowanie operacyjnej odporności cyfrowej
• Testowanie ICT za pomocą TLPT (Threat-Led Penetration Testing). TLPT, znany również jako Red Team Testing, to kontrolowana próba naruszenia cyberodporności podmiotu poprzez symulowanie taktyk, technik i procedur prawdziwych aktorów odpowiedzialnych za cyberataki.

• Stosowanie środków zarządzania ryzykiem pochodzącym od zewnętrznych dostawców usług ICT

W kontekście rozporządzenia DORA, RTS oznacza regulacyjne standardy techniczne. Standardy te odgrywają kluczową rolę w zwiększaniu cyfrowej odporności operacyjnej sektora finansowego UE. Kluczowe aspekty opisane w RTS w ramach DORA:

1. Klasyfikacja poważnych incydentów i istotnych cyberzagrożeń
2. Określenie polityki dotyczącej usług ICT wspierających krytyczne lub ważne funkcje
3. Rejestrowanie informacji

Przykładem zagadnień poruszanych w RTS jest prezentowany poniżej schemat klasyfikacji incydentów.

Prezentowanie wyników obejmujących obszary techniczne i procesowe powierzamy systemowi Red Into Green, który dzięki automatycznemu transferowi danych o podatnościach i braku zgodności z Security Center Plus pozwala na pełne pokrycie wymagań i prezentacji matryc ryzyka dla Ciągłości Działania, Bezpieczeństwa Informacji, Ochrony danych osobowych i innych.

DORA kładzie bardzo duży nacisk m.in. na dokładne kontrole regulacji wewnętrznych czy odpowiednią weryfikacje umów z dostawcami usług ICT tak aby wszystko było zgodne z wymogami rozporządzenia. Odpowiednie wsparcie prawne potrzebne jest również przy analizie kluczowych procesów biznesowych w organizacji i łączeniu ich z informacjami technicznymi. Dlatego właśnie rozpoczęliśmy współpracę z kancelaria DWF Poland, która świadczy wsparcie w powyższych kwestiach a także w wielu innych. Aby dowiedzieć się więcej na temat naszego partner kliknij tu