Czym jest DORA, czyli Digital Operational Resilience Act

Pandemia COVID-19 przyniosła sporo zmian nie tylko w codziennym funkcjonowaniu społeczeństwa, ale także w podejściu do tematu cyberbezpieczeństwa. Gwałtowny wzrost liczby osób pracujących zdalnie, wzajemne powiązania w łańcuchu dostaw, a w końcu rosnąca presja związana z koniecznością digitalizacji organizacji skłania do podejmowania coraz szerszych działań w kierunku zapewnienia większego bezpieczeństwa na wypadek wystąpienia cyberataków. Jest to szczególnie istotne w sektorze finansowym, który w ostatnich latach narażony jest na wzrost liczby ataków cybernetycznych.

Digital Operational Resilience Act

Czym jest Digital Operational Resilience Act (DORA)?

W związku z licznymi zmianami technologicznymi zachodzącymi w sektorze finansowym, we wrześniu 2020 roku Komisja Europejska opracowała unijny pakiet przepisów dotyczących finansów cyfrowych. Obejmuje on m.in. projekt rozporządzenia związanego z operacyjną odpornością cyfrową sektora finansowego, tzw. DORA (Digital Operational Resilience Act).

Rozporządzenie to pozwala nie tylko na wypracowanie wspólnego podejścia państw członkowskich Unii Europejskiej do kwestii bezpieczeństwa usług finansowych, ale także na stworzenie silnych fundamentów dla bezpiecznego i odpornego na wszelkie zagrożenia cyfrowego sektora finansowego w UE. Prace Komisji Europejskiej mają wesprzeć działanie takich podmiotów finansowych jak m.in. instytucje płatnicze, kredytowe i pieniądza elektronicznego, a także firmy inwestycyjne czy też centralne depozyty papierów wartościowych. 

Dlaczego cyfrowa odporność operacyjna jest ważna?

Pod pojęciem cyfrowej odporności operacyjnej rozumieć należy zdolność podmiotu finansowego do zapewnienia ciągłości oraz utrzymania najwyższej jakości świadczonych usług w obliczu potencjalnych zagrożeń, które mogą wpływać na wdrożone technologie informatyczne oraz informacyjne. Co to dokładnie oznacza? Każdy podmiot finansowy, którego dotyczy rozporządzenie DORA, jest zobowiązany do systematycznego kontrolowania systemów i narzędzi informatycznych, z których korzysta, by zapewnić sobie i klientom najwyższy stopień bezpieczeństwa na wypadek zagrożenia cybernetycznego.

Obowiązkiem podmiotów finansowych jest przede wszystkim identyfikowanie źródeł potencjalnego cyberataku, wykrywanie podejrzanych operacji, raportowanie incydentów, a także wdrażanie strategii zapobiegania i przeciwdziałania zagrożeniom. Zastosowanie wszystkich tych metod umożliwia instytucjom zwiększenie odporności przed niebezpieczeństwem cybernetycznym, co docelowo ma przyczynić się do powstania powszechnej cyfrowej odporności operacyjnej w całym unijnym systemie finansowym.

Główne założenia DORA

W ramach projektu rozporządzenia DORA wyróżnia się 5 filarów, które mają na celu wzmocnić cyfrową odporność operacyjną wśród podmiotów finansowych. Wśród nich wymienia się:

  • zarządzanie ryzykiem ICT – organy zarządzające podmiotami finansowymi obarczone są odpowiedzialnością za zarządzanie ryzykiem związanym z technologią cyfrowo-informacyjną, a także jego monitoringiem, kontrolą i wykrywaniem wszelkich potencjalnie niebezpiecznych zdarzeń;
  • zgłaszanie incydentów teleinformatycznych – jakiekolwiek nieprawidłowości związane z wykorzystaniem nowych technologii powinny monitorowane, odpowiednio sklasyfikowane, a następnie zgłaszane zgodnie z procedurami opracowanymi przez Europejskie Urzędy Nadzoru;
  • cyfrowe testy odporności operacyjnej – podmioty finansowe mają obowiązek przeprowadzania okresowego przeglądu rozwiązań i systemów stosowanych w zakresie cyberbezpieczeństwa;
  • udostępnienie informacji i danych wywiadowczych – by zwiększyć skuteczność obrony cyfrowej odporności operacyjnej, podmioty finansowe są zobligowane do wymienienia się miedzy sobą informacjami na temat metod ochrony przed cyberatakami;
  • zarządzanie ryzykiem stron trzecich w zakresie ICT – w sytuacji, gdy dostawcy usług w chmurze (CSP) zostaną zaklasyfikowani przez system jako „krytyczni”, mają oni obowiązek przestrzegać przepisów określonych przez Europejskie Urzędy Nadzoru.

Prace nad rozporządzeniem DORA wciąż trwają. W połowie maja Rada UE osiągnęła wstępne porozumienie w tej sprawie, jednak ostateczna treść dokumentu nie została jeszcze opublikowana. Mimo to podmioty sektora finansowego już muszą przygotowywać się na duże zmiany w podejściu do tematu zarządzania cyberbezpieczeństwem. 

Oznacza to, że nasze rozwiązania, takie jak biometria behawioralna, PureSecure czy Device Fingerprinting, już za niedługo mogą stać się niezastąpionym wsparciem dla instytucji finansowych. Zachęcamy do zapoznania się z artykułami na blogu, które przybliżą sposób działania naszych rozwiązań.  

Subscribe
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments