Unijna ustawa o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA) staje się kluczowym elementem regulacyjnym dla sektora usług finansowych w Europie. Jednak choć jej głównym celem jest wzmocnienie cyberbezpieczeństwa i odporności operacyjnej w cyfrowej dziedzinie usług finansowych, jej zasięg wykracza poza sektor finansowy. DORA dotyczy w końcu także kluczowych dostawców usług technologicznych, takich jak dostawcy IT i usług w chmurze, którzy – współpracując z sektorem finansowym – muszą spełniać określone standardy techniczne związane z ich systemami technologii informacyjno-komunikacyjnej (ICT) już od stycznia 2025 roku.

Stawka jest wysoka, ponieważ nieprzestrzeganie nowych regulacji może prowadzić do niepożądanych konsekwencji. Organy egzekwowania prawa będą uprawnione do nakładania kar administracyjnych, a w niektórych przypadkach także i karnych. Poza konsekwencjami prawnymi poważnie może ucierpieć także reputacja organizacji nieprzestrzegających przepisów.

Reformy w sektorze finansowym wprowadzone po kryzysie finansowym z 2008 r. wzmocniły ogólną odporność branży, jednak niektóre aspekty bezpieczeństwa ICT, takie jak odporność cyfrowa czy postrzeganie ICT jako elementu ryzyka operacyjnego, nie zostały w pełni zaadresowane. Należy pamiętać, że zgodności [z ustawą] nie można osiągnąć bez solidnego zrozumienia istniejących zagrożeń i solidnego planu reagowania na nie. By przygotować się na wyzwania specyficzne dla danej organizacji, firmy potrzebują skutecznego planu reagowania na incydenty związane z cyberbezpieczeństwem. Na tym etapie niezwykle ważne jest zidentyfikowanie zasobów zapewniających ciągłość działania i upewnienie się, że plan reagowania na incydenty jest dostosowany do ich ochrony – zaznacza Mariusz Sawczuk, F5 Senior Solutions Engineer.

Obowiązki wynikające z DORA

DORA nakłada na instytucje finansowe różnorodne obowiązki dotyczące odporności cyfrowej, które obejmują szeroki zakres działalności w ramach ICT i cyberbezpieczeństwa. W ramach nowych zobowiązań podmioty muszą przede wszystkim: tworzyć i utrzymywać systemy ICT odporne na cyberzagrożenia oraz identyfikować ryzyko związane z technologią informacyjną i telekomunikacyjną (1), rejestrować incydenty ICT (2), wdrażać kompleksowe strategie zapewniające ciągłość działania (3) oraz monitorować ryzyko związane z outsourcingiem (4).

  1. Zarządzanie ryzykiem ICT

Filar ten podkreśla potrzebę precyzyjnej identyfikacji, oceny i ograniczania ryzyka związanego z systemami ICT przez podmioty finansowe. DORA wymaga od instytucji finansowych, by te precyzyjnie identyfikowały, oceniały i minimalizowały ryzyko, szczególnie poprzez przyjęcie proaktywnego podejścia.

  1. Zgłaszanie incydentów związanych z ICT

Zgłaszanie i właściwa reakcja na cyberincydenty to sedno zgodności z DORA. Filar ten kładzie nacisk na standaryzację procesu zgłaszania incydentów w sektorze finansowym UE, m.in. poprzez implementację systemów umożliwiających monitorowanie, opisywanie i zgłaszanie incydentów ICT odpowiednim organom.

  1. Cyfrowe testy odporności operacyjnej

Filar ten podkreśla także potrzebę regularnego testowania ram zarządzania ryzykiem ICT, podkreślając wagę uzupełnienia ewentualnych luk wynikających z wyników testów, weryfikacji skuteczności środków zaradczych oraz demonstracji ich efektywności.

  1. Zarządzanie ryzykiem stron trzecich ICT

DORA koncentruje się także na zarządzaniu ryzykiem stron trzecich w zakresie ICT oraz zapewnieniu, że dostawcy przestrzegają standardów bezpieczeństwa i odporności. Ważne jest, aby umowy z dostawcami zawierały odpowiednie postanowienia dotyczące zarządzania ryzykiem i odporności operacyjnej, a także aby były regularnie przeglądane, zapewniając zgodność z najwyższymi standardami.

Innym istotnym czynnikiem w ramach DORA jest także zdolność organizacji do skutecznego odpowiadania na zapytania audytowe kierowane do organów regulacyjnych lub klientów. Obejmuje to prowadzenie kompleksowej dokumentacji, przeprowadzanie regularnych ocen i wdrażanie solidnych kontroli w celu wykazania zgodności z wymogami DORA. Organizacje muszą być przygotowane na przedstawienie dowodów potwierdzających przestrzeganie wymaganych standardów technicznych i środków zapewniających odporność operacyjną.

Jak rozwiązania F5 mogą wspierać zgodność z DORA?

F5 oferuje platformę chmurową (F5 Distributed Cloud Service), która pomaga organizacjom w uproszczeniu i optymalizacji infrastruktury bezpieczeństwa, co jest kluczowe dla zgodności z DORA. Redukcja zależności od wielopunktowych rozwiązań pozwala na centralizację zarządzania bezpieczeństwem i egzekwowania zasad w środowiskach rozproszonych, co usprawnia operacje i zwiększa ochronę.

Platforma F5 umożliwia również integrację technologii z Web Application Scanning (pozyskanej od Heyhack), zapewniając automatyczne rozpoznawanie zagrożeń i testy penetracyjne, co zwiększa bezpieczeństwo interfejsów API oraz ułatwia zarządzanie zapasami interfejsów. Dzięki elastycznym zasadom bezpieczeństwa aplikacje mogą być chronione niezależnie od miejsca ich hostowania.

W miarę zbliżania się terminu wdrożenia DORA, organizacje muszą zadbać, aby ich środki bezpieczeństwa i monitorowania były na odpowiednim poziomie. Dostępne technologie takich firm jak F5 już dziś mogą wspierać organizacje w dostosowaniu się do tych nowych wymogów regulacyjnych.

Subscribe
Powiadom o
guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments
Wojciech
Wojciech
9 dni temu

DORA to Rozporządzenie nie Ustawa !!! Ludzie nauczcie się podstaw prawa.