Rozporządzenie Cyfrowej Odporności Operacyjnej (DORA – Digital Operational Resilience Act) to europejski akt prawny mający na celu zwiększenie odporności sektora finansowego na zagrożenia cybernetyczne. DORA wprowadza nowe wymogi dotyczące cyberbezpieczeństwa, zarządzania ryzykiem oraz sprawozdawczości dla instytucji finansowych, ich dostawców usług oraz organów nadzoru. Niniejszy artykuł ma na celu przedstawić kluczowe aspekty DORA oraz omówić, jak eksperci z dziedziny cyberbezpieczeństwa mogą przygotować się na wdrożenie tego rozporządzenia.
DORA: Jak przygotować się na wdrożenie europejskiego rozporządzenia zwiększającego odporność na cyberzagrożenia
1. Główne założenia DORA
DORA ma na celu zapewnienie spójnego i harmonijnego podejścia do cyberbezpieczeństwa w sektorze finansowym na poziomie Unii Europejskiej. Główne założenia DORA obejmują:
a) Wzmocnienie odporności operacyjnej: DORA zobowiązuje instytucje finansowe do wdrażania skutecznych procedur zarządzania ryzykiem oraz utrzymania odpowiedniego poziomu odporności operacyjnej.
b) Nadzór i kontrola: DORA wprowadza wymóg regularnych ocen ryzyka, testów penetracyjnych oraz przeglądów bezpieczeństwa przez organy nadzoru.
c) Zasada proporcjonalności: DORA uwzględnia wielkość, strukturę oraz profil ryzyka instytucji finansowych, co pozwala na dostosowanie wymagań do indywidualnych potrzeb.
d) Współpraca między podmiotami: DORA promuje wymianę informacji oraz współpracę między instytucjami finansowymi, dostawcami usług oraz organami nadzoru w celu zapewnienia skuteczniejszego podejścia do cyberbezpieczeństwa.
2. Wymogi wobec instytucji finansowych
DORA wprowadza szereg wymagań, którym instytucje finansowe muszą sprostać, w tym:
a) Opracowanie i wdrożenie polityki cyberbezpieczeństwa oraz zarządzania ryzykiem, uwzględniającej identyfikację, ocenę, monitorowanie i kontrolowanie zagrożeń cybernetycznych.
b) Zatrudnienie odpowiedniej liczby wykwalifikowanych pracowników odpowiedzialnych za cyberbezpieczeństwo.
c) Stworzenie i utrzymanie procedur reagowania na incydenty, w tym planów kontynuacji działalności oraz planów naprawczych.
d) Regularne przeprowadzanie testów penetracyjnych, ocen ryzyka oraz przeglądów bezpieczeństwa, aby zapewnić wysoki poziom ochrony.
e) Sprawozdawczość: Instytucje finansowe są zobowiązane do regularnego raportowania na temat swojej odporności operacyjnej, incydentów cyberbezpieczeństwa oraz działań naprawczych.
3. Wymogi wobec dostawców usług
DORA nie obejmuje jedynie instytucji finansowych – również dostawcy usług mają kluczowe role do odegrania. DORA wymaga, aby instytucje finansowe monitorowały i zarządzały ryzykiem związanym z korzystaniem z usług dostawców. Dostawcy usług muszą:
a) Współpracować z instytucjami finansowymi, aby zapewnić odpowiedni poziom cyberbezpieczeństwa i zarządzania ryzykiem.
b) Udostępniać informacje na temat swoich procedur, kontroli oraz wyników testów bezpieczeństwa.
c) W miarę konieczności, uczestniczyć w testach penetracyjnych i ocenach ryzyka zleconych przez instytucje finansowe.
4. Przygotowanie do wdrożenia DORA
Eksperci z dziedziny cyberbezpieczeństwa powinni przygotować się na wdrożenie DORA poprzez:
a) Zapoznanie się z treścią rozporządzenia oraz wymogami dotyczącymi cyberbezpieczeństwa i zarządzania ryzykiem.
b) Ocena aktualnego poziomu cyberbezpieczeństwa i zarządzania ryzykiem w swojej organizacji oraz identyfikacja obszarów wymagających zmian lub ulepszeń.
c) Wdrożenie odpowiednich procedur i kontroli związanych z zarządzaniem ryzykiem oraz reagowaniem na incydenty.
d) Współpraca z innymi podmiotami, takimi jak dostawcy usług, organy nadzoru oraz instytucje finansowe, w celu wymiany informacji i doświadczeń dotyczących cyberbezpieczeństwa.
DORA ma na celu zwiększenie odporności sektora finansowego na zagrożenia cybernetyczne poprzez wprowadzenie nowych wymogów dotyczących cyberbezpieczeństwa, zarządzania ryzykiem oraz sprawozdawczości. Eksperci z dziedziny cyberbezpieczeństwa powinni zapoznać się z treścią rozporządzenia, ocenić swoją obecną sytuację i wprowadzić niezbędne zmiany, aby spełnić wymogi DORA. Współpraca między instytucjami finansowymi, dostawcami usług oraz organami nadzoru będzie kluczowa dla osiągnięcia celów tego rozporządzenia oraz zwiększenia cyberbezpieczeństwa na poziomie Unii Europejskiej.
