Sektor finansowy w Unii Europejskiej stoi w obliczu kolejnej dużej zmiany regulacyjnej – rozporządzenia DORA (Digital Operational Resilience Act). Wszystko wskazuje na to, że jeżeli twoja firma działa w tym sektorze lub dostarcza usługi technologiczne dla podmiotów finansowych, warto już teraz zacząć się do tego przygotowywać. Przeczytaj poniższy wpis i dowiedz się, na czym polega DORA, jakie ma konsekwencje i jakie kroki możesz podjąć, aby być w pełni przygotowanym.
Czym jest DORA i dlaczego jest ważne?
DORA (Digital Operational Resilience Act) to unijny akt prawny, który wprowadza nową erę w zarządzaniu cyberbezpieczeństwem w sektorze finansowym. Urodzony z potrzeby zabezpieczenia cyfrowego krajobrazu finansowego, DORA ma za zadanie wzmocnić odporności na incydenty cyfrowe i w efekcie lepsze zabezpieczenie klientów oraz ich danych i aktywów. Co więcej, z uwagi na ciągle rosnącą rolę technologii w usługach finansowych, regulacje DORA nie kończą się na tradycyjnych instytucjach finansowych, lecz obejmują rónież dostawców technologii informacyjno-komunikacyjnych (ICT).
Jak DORA różni się od innych regulacji w sektorze finansowym, takich jak RODO czy dyrektywy NIS/NIS2?
Podczas gdy regulacje takie jak RODO koncentrują się głównie na ochronie danych osobowych, a dyrektywy NIS/NIS2 ustanawiają ogólne ramy dotyczące cyberbezpieczeństwa, DORA idzie o krok dalej. Precyzuje, jak instytucje finansowe powinny zarządzać swoimi systemami informacyjno-komunikacyjnymi oraz daje organom nadzorczym narzędzia do głębokiej kontroli tych systemów. To pierwsze tak kompleksowe podejście, które w sposób bezpośredni łączy sektor finansowy z sektorem technologii informacyjno-komunikacyjnych.
Kogo obejmuje rozporządzenie DORA?
Największą nowością w DORA jest to, że regulacje obejmują nie tylko gigantów finansowych, jak banki czy instytucje ubezpieczeniowe, ale również FinTechy, firmy zajmujące się kryptoaktywami i, co równie ważne, dostawców usług ICT. Jeżeli jesteś dostawcą technologii dla sektora finansowego, nie możesz już stać na uboczu. DORA sprawia, że stajesz się częścią ekosystemu finansowego, z wszystkimi wynikającymi z tego obowiązkami i odpowiedzialnością.
Główne elementy i wymagania DORA
Przedstawiamy kluczowe elementy i wymagania tego innowacyjnego aktu prawnego, które każda instytucja finansowa oraz dostawca usług ICT powinien znać i implementować.
- Strategia zarządzania ryzykiem cybernetycznym:
Jednym z głównych wymagań DORA jest stworzenie i wdrożenie skutecznej strategii zarządzania ryzykiem cybernetycznym. Nie chodzi tylko o techniczne aspekty, ale również o zrozumienie i planowanie reakcji na potencjalne zagrożenia dla całej organizacji. Strategia ta powinna być zintegrowana z ogólną strategią zarządzania ryzykiem i podlegać regularnej aktualizacji.
- Obowiązek przeprowadzania regularnych testów penetracyjnych:
DORA zobowiązuje do regularnych, niezapowiedzianych testów penetracyjnych. Te testy mają na celu zidentyfikowanie potencjalnych słabości w systemach informacyjno-komunikacyjnych przed tym, jak będą one mogły zostać wykorzystane przez osoby niepowołane. Powinny być przeprowadzane zarówno wewnętrznie, jak i przez zewnętrzne firmy audytorskie.
- Konieczność zgłaszania incydentów bezpieczeństwa:
Wszystkie incydenty bezpieczeństwa muszą być zgłaszane do odpowiednich organów regulacyjnych w określonym, krótkim czasie. Szybka i transparentna komunikacja jest kluczowa dla zarządzania incydentem i może pomóc w uniknięciu dalszych problemów, zarówno dla organizacji, jak i dla jej klientów.
- Wytyczne dotyczące kontraktów z dostawcami ICT:
DORA wprowadza szczegółowe wytyczne dotyczące tego, co powinno znaleźć się w kontraktach między instytucjami finansowymi a dostawcami usług ICT. To oznacza, że dostawcy muszą spełniać określone standardy bezpieczeństwa i być gotowi na audyty oraz monitorowanie ze strony instytucji finansowych i organów regulacyjnych.
Harmonogram DORA — vacatio legis i kluczowe daty
Rozporządzenie DORA wprowadza 24-miesięczny okres vacatio legis, który stanowi okres przejściowy dla podmiotów objętych nowymi regulacjami. Vacatio legis jest czasem, w którym podmioty mają możliwość dostosować swoje działania i procedury zgodnie z wymogami DORA. Ten okres ma na celu ułatwienie instytucjom finansowym oraz dostawcom usług ICT dokładne zrozumienie i wdrożenie nowych przepisów.
Oficjalne wejście w życie DORA miało miejsce 16 stycznia 2023 roku. Oznacza to, że od tego dnia rozpoczyna się oficjalny okres dostosowawczy, podczas którego organizacje zobowiązane są do uaktualnienia swoich procedur zgodnie z DORA.
Ostateczny termin dla wszelkich działań dostosowawczych to 17 stycznia 2025 roku. Do tego czasu podmioty powinny mieć już w pełni wdrożone mechanizmy i procedury zgodne z rozporządzeniem.
DORA a Polski rynek finansowy — od dyrektyw do nowych wymagań
Na polskim rynku finansowym już wcześniej obowiązywały różne regulacje związane z zarządzaniem ryzykiem i bezpieczeństwem informacji.
Dotychczasowe regulacje w Polsce:
- Dyrektywa PSD2: Koncentrowała się na otwarciu rynku dla nowych graczy, jak również na zwiększeniu bezpieczeństwa transakcji finansowych.
- Rekomendacja D: Wydana przez Komisję Nadzoru Finansowego, skupia się na zarządzaniu ryzykiem operacyjnym, w tym ryzykiem IT.
Co DORA zmienia dla Polski?
- Zaostrzenie standardów: DORA wprowadza bardziej szczegółowe i rygorystyczne wytyczne, zwłaszcza w kontekście zarządzania ryzykiem cybernetycznym.
- Rozszerzenie zakresu: Nie tylko instytucje finansowe, ale również dostawcy usług ICT zostają objęci nowymi regulacjami.
- Harmonizacja z UE: Polskie instytucje będą musiały dostosować się do standardów obowiązujących w całej Unii, co może ułatwić im ekspansję na inne rynki europejskie.
DORA wprowadza nową jakość do polskiego sektora finansowego, niosąc ze sobą szereg wyzwań, ale i możliwości. Dotychczasowe regulacje były ważnym fundamentem, ale DORA stanowi kompleksowe podejście do zarządzania ryzykiem i bezpieczeństwem w cyfrowym świecie.
Jak się przygotować? Praktyczne wskazówki dla dostosowania się do DORA
Przygotowanie się do nowych regulacji wprowadzonych przez DORA to zadanie, które może wydawać się skomplikowane, ale jest całkowicie wykonalne. Przedstawimy kilka praktycznych wskazówek, które pomogą zarówno instytucjom finansowym, jak i dostawcom usług ICT w przejściu przez ten proces.
Analiza i ocena istniejących systemów
Pierwszym krokiem powinna być szczegółowa analiza i ocena już działających systemów i procedur. Odkrycie potencjalnych luk w zabezpieczeniach i zarządzaniu ryzykiem pozwoli na bardziej celowe działania.
Opcje dostosowania istniejących procedur
- Aktualizacja polityk bezpieczeństwa: Weryfikacja i ewentualna aktualizacja istniejących polityk oraz procedur zarządzania ryzykiem.
- Szkolenia dla personelu: Świadomość personelu jest istotna, dlatego inwestycja w szkolenia z zakresu cyberbezpieczeństwa jest niezbędna.
- Integracja z nowymi narzędziami: Na rynku dostępne są narzędzia, które mogą ułatwić dostosowanie do DORA.
Wprowadzenie do narzędzi
- Systemy SIEM (Security Information and Event Management): Umożliwiają gromadzenie i analizę danych z różnych systemów, co pomaga w monitoringu bezpieczeństwa.
- Platformy SOAR (Security Orchestration, Automation, and Response): Automatyzują odpowiedzi na incydenty, co pozwala na szybsze reagowanie i minimalizację ryzyka.
Wdrożenie tych wskazówek i narzędzi ułatwi dostosowanie się do wymogów DORA oraz przyczyni się do ogólnej poprawy poziomu bezpieczeństwa i efektywności operacyjnej instytucji. To także okazja do zbudowania silniejszej, bardziej konkurencyjnej organizacji.
Jak ITH wspiera adaptację do DORA w sektorze finansowym?
ITH przeprowadza audyt infrastruktury pod kątem technicznym oraz formalno-prawnym, dodatkowo ITH oferuje szeroką gamę usług, które mogą pomóc instytucjom finansowym w dostosowaniu się do wymagań DORA.
Bezpieczeństwo sieciowe
- Zarządzany Firewall: Ochrona na poziomie bramy sieciowej, zgodna z DORA.
- Network as a Service: Elastyczne zarządzanie infrastrukturą sieciową zgodne z wymaganiami DORA.
Audyty i testy bezpieczeństwa
- Audyt bezpieczeństwa IT: Dokładna analiza pod kątem potencjalnych zagrożeń i luk.
- Skany podatności infrastruktury: Regularne testy zgodne z wymaganiami DORA w zakresie testowania penetracyjnego.
Zarządzanie danymi
- Kopie zapasowe: Szybkie odzyskiwanie danych, co jest zgodne z wymaganiami DORA dotyczącymi ciągłości operacyjnej.
Każda z tych usług jest zaprojektowana tak, aby wspierać sektor finansowy w pełnym dostosowaniu się do nowych regulacji. Wykorzystanie tych usług może znacząco ułatwić proces adaptacji do wymagań DORA, jednocześnie podnosząc poziom bezpieczeństwa w organizacji.
Co musisz wiedzieć i jak się przygotować na DORA? – Podsumowanie
Rozporządzenie DORA nie jest jedynie kolejnym zbiorem reguł do przestrzegania. To kompilacja najlepszych praktyk, standardów i obowiązków, które mają na celu podniesienie poziomu cyberbezpieczeństwa w całym sektorze finansowym. Niezastosowanie się do tych wymogów nie tylko narazi organizację na ryzyko sankcji prawnych, ale również podważy jej reputację i zaufanie w branży.
Organizacje muszą zatem działać proaktywnie, zaczynając od weryfikacji i aktualizacji swoich strategii zarządzania ryzykiem, przez implementację regularnych testów penetracyjnych, aż po formalizację procedur zgłaszania incydentów i zarządzania relacjami z dostawcami ICT. Każdy z tych etapów wymaga ścisłej współpracy pomiędzy działami IT, bezpieczeństwa i zarządzania oraz zrozumienia i akceptacji na najwyższych szczeblach zarządzania.
DORA jest okazją do podniesienia standardów, zwiększenia odporności na cyberzagrożenia i budowania trwałych, bezpiecznych relacji z partnerami i klientami. Ostatecznie, jest to inwestycja w długoterminową stabilność i sukces firmy.