DORA, czyli Digital Operational Resilience Act to europejska inicjatywa regulacyjna, dotycząca operacyjnej odporności cyfrowej sektora finansowego. To odpowiedź Komisji Europejskiej na błyskawicznie zachodzące zmiany technologiczne w sektorze finansowym, które jeszcze bardziej przyspieszyła pandemia COVID-19.
Temat projektu DORA i zmian, które wprowadza, zostanie poruszony podczas II edycji warsztatów organizowanych przez MMC Polska już w dniach 22-23.03.2023 r. w formule online. Poniżej kilka kwestii, które zostaną poruszone i rozszerzone podczas nadchodzącego wydarzenia (więcej informacji o warsztatach).
Zarządzanie ryzykiem outsourcingu
Celem DORA jest wzmocnienie bezpieczeństwa cybernetycznego sektora finansowego, na który składają się nie tylko banki, ale także pośrednicy finansowi, firmy inwestycyjne czy zakłady ubezpieczeń. Jak wskazują eksperci, obejmowanie DORA pośredników oferujących ubezpieczenia mija się z celem, ale nie da się ukryć, że KE przewiduje takie zastosowanie.
Technologie informacyjne i komunikacyjne (ICT) obejmują technologie, urządzenia i aplikacje, które bezpośrednio związane są z przepływem informacji. ICT dotyczy nie tylko samych telekomunikacji, ale również komputerów, oprogramowania, ośrodków, usług i systemów związanych z przechowywaniem i przetwarzaniem różnorodnych danych. Trudno wyobrazić sobie bez ICT działanie współczesnego sektora finansowego. Wiele firm korzysta z wewnętrznych rozwiązań, ale część z nich stawia na outsourcing, który obarczony jest ryzykiem. Rozporządzenie DORA przygotowane przez KE dotyczy wielu aspektów, w tym m.in. właśnie zarządzania ryzykiem ICT. Odnosi się to zarówno do rozwiązań funkcjonujących wewnątrz podmiotu finansowego, ale także do kwestii usług outsourcingowych.
Świadczenie usług ICT przez zewnętrznych dostawców w sektorze finansowym jest obwarowane szeregiem wymagań. Rozporządzenie DORA nakłada na podmioty finansowe nowe obowiązki w zakresie zarządzania ryzykiem (chodzi m.in. o opracowanie ram zarządzania ryzykiem, na które składa się wiele funkcji, strategii, procedur czy narzędzi).
Relacja dotychczasowych regulacji prawnych z przepisami rozporządzenia DORA
Tworzenie nowych regulacji, takich jak DORA, ma na celu między innymi ujednolicenie podejścia wszystkich państw członkowskich UE do kwestii bezpieczeństwa w sektorze finansowym. Kluczem do sukcesu jest jednak zapewnienie równowagi, pomiędzy dotychczasowymi i nowymi regulacjami prawnymi, a także zapewnienia odporności cyfrowej, przy jednoczesnym wspieraniu działań innowacyjnych w sektorze finansowym.
Jednym z celów rozporządzenia DORA jest ujednolicenie dotychczasowych ram regulacyjnych, które były do tej pory sprzeczne czy niedokładne. Obecne przepisy są mocno rozproszone, co prowadzi do powstania wielu obowiązków czy angażowania sporych zasobów. DORA ma zharmonizować przedmiotowe przepisy i zapewnić łatwą adaptację wszystkim podmiotom działającym w sektorze finansowym. Jednym z ciekawych przykładów dotyczących relacji między dotyczasowymi przepisami a DORA są chociażby notyfikacje incydentów cybernetycznych.
Więcej na temat relacji dotychczasowych regulacji z przepisami projektu DORA będzie można dowiedzieć się podczas warsztatów organizowanych przez MMC Polska.
Przegląd polityki zarządzania ryzykiem ICT i dostosowanie do wymogów rozporządzenia
Nie da się ukryć, że rozporządzenie DORA to duże wyzwanie, zarówno dla sektora finansowego, jak i dla dostawców rozwiązań technologicznych. DORA znacznie rozszerza dotychczasowe wymogi dotyczące zarządzania ryzykiem w zakresie ICT. Sprowadza się to m.in. do regulacji dotyczących obowiązku corocznej oceny ryzyka w zakresie ICT, reagowania i odzyskiwania danych, testowania rozwiązań czy identyfikacji i zgłaszania incydentów.
Wprowadzenie DORA na poziomie europejskim oznacza, że we wszystkich państwach członkowskich będą obowiązywać jednolite wymagania dotyczące bezpieczeństwa sieci i systemów informatycznych w firmach z sektora finansowego, a także podmiotach trzecich świadczących na jego rzecz różnego rodzaju usługi ICT. Nowe rozwiązania mają umożliwiać przeciwdziałanie zagrożeniom, a także odpowiednie reagowanie i odzyskiwanie operacyjnej ciągłości, na wypadek gdyby pojawiły się w tym obszarze jakiekolwiek zakłócenia.
Nowe podejście do testowania operacyjnej odporności cyfrowej
Skuteczny plan cyfrowej odporności umożliwia w przypadku ataku zminimalizowanie szkód i kontynuowanie bez przeszkód działalności operacyjnej przedsiębiorstwa. Jak w przypadku wielu rozwiązań technologicznych, również odporność cyfrowa nie może istnieć bez testów. Rozporządzenie DORA oznacza nowe podejście do tego jakże istotnego obszaru. Przede wszystkim narzuca ustawienie i utrzymanie programu testów, przy uwzględnieniu zmiennych zagrożeń od strony ICT. DORA mówi o tym, że minimum raz w roku kalendarzowym wszelkie niezbędne aplikacje i systemy ICT muszą przejść testy, zgodnie z wyszczególnionymi w projekcie metodami, narzędziami i praktykami. Testy operacyjnej odporności cyfrowej według DORA obejmują m.in. testy scenariuszowe, ocenę bezpieczeństwa całej sieci czy cykliczny przegląd kodów źródłowych. Co ciekawe, zgodnie z założeniami DORA wszystkie podmioty finansowe muszą wykonywać testy ICT, ale podmioty dojrzałe będą już zobowiązane do przeprowadzania testów w bardzo zaawansowanym stopniu przynajmniej raz na 3 lata. Zaawansowane testy będą musiały być wykonywane na podstawie testów penetracyjnych, które wykorzystują scenariusze zagrożenia cybernetycznego.
Więcej informacji i link do zapisów na warsztat: