Rozporządzenie DORA o cyfrowej odporności operacyjnej

Rozporządzenie DORA w sprawie operacyjnej odporności cyfrowej sektora finansowego, to unijny akt prawny, który jest bezpośrednio stosowany w krajach członkowskich. Celem Rozporządzenia jest aktualizacja wymogów regulacyjnych w obszarze technologii cyfrowych, zapewnienia bezpieczeństwa i standardów odporności cyfrowej w całym sektorze finansowym oraz wśród dostawców usług ICT dla tego sektora.

Regulacje objęte Rozporządzeniem dotyczą między innymi: banków, firm ubezpieczeniowych, firm inwestycyjnych, podmiotów z obszaru cyfrowych finansów (w tym firm FinTech i giełd kryptowalut), instytucji płatniczych oraz instytucji pieniądza elektronicznego, a także podmiotów infrastruktury rynku finansowego (np. giełdy, agencje ratingowe). Osobną grupą objętą Rozporządzeniem są dostawcy technologii, w tym dostawcy usług chmury obliczeniowej i dostawcy usług ICT (technologii informacyjno-komunikacyjnych). Na przygotowanie się do nowych regulacji podmioty objęte DORA mają czas do 17 stycznia 2025 roku.
Rozporządzenie DORA stanowi uzupełnienie istniejących w Unii Europejskiej regulacji z obszaru cyberbezpieczeństwa, takich jak NIS, PSD2 oraz RODO. W Polsce DORA dodatkowo obejmie i rozszerzy obecnie istniejące regulacje wydane przez Urząd Komisji Nadzoru Finansowego o wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

Rozporządzenie DORA (Digital Operational Resilience Act) jest inicjatywą Unii Europejskiej mającą na celu wzmocnienie odporności cyfrowej w sektorze finansowym. Wprowadza ono szereg dodatkowych wymogów zabezpieczeń, które uzupełniają i w pewnych aspektach wychodzą poza te, o których wyżej wspominaliśmy. Oto niektóre z kluczowych obszarów, w których DORA wprowadza dodatkowe zabezpieczenia:

• Zarządzanie Ryzykiem ICT: DORA wymaga od instytucji finansowych opracowania i wdrożenia wszechstronnych ram zarządzania ryzykiem ICT (Information and Communication Technology), które powinny obejmować cały cykl życia usług ICT, od identyfikacji ryzyka po jego minimalizację i monitorowanie.
• Testowanie Odporności: DORA wprowadza bardziej rygorystyczne wymogi dotyczące testowania odporności na cyberataki, w tym obowiązkowe testy penetracyjne i testy „war games”, które są bardziej kompleksowe niż standardowe procedury.
• Zarządzanie Incydentami i Ciągłością Działania: Instytucje muszą mieć skuteczne plany zarządzania incydentami i ciągłości działania, które są regularnie testowane i aktualizowane, idąc poza standardowe wymagania dotyczące odzyskiwania po awarii.
• Komunikacja dotycząca Incydentów Cyberbezpieczeństwa: DORA określa szczegółowe procedury dotyczące zgłaszania incydentów bezpieczeństwa, w tym szybkiego informowania odpowiednich organów nadzorczych i, w niektórych przypadkach, opinii publicznej.
• Zarządzanie Ryzykiem Dostawców Trzecich: DORA kładzie duży nacisk na zarządzanie ryzykiem związanym z dostawcami zewnętrznymi, wymagając od instytucji finansowych przeprowadzania rygorystycznych ocen i audytów dostawców, a także zapewnienia, że umowy z dostawcami zawierają odpowiednie klauzule dotyczące cyberbezpieczeństwa.
• Ramy Nadzorcze: DORA ustanawia ramy nadzorcze, które zobowiązują instytucje finansowe do zapewnienia, że ich praktyki w zakresie cyberbezpieczeństwa są zgodne z najlepszymi praktykami i aktualnymi standardami oraz zapewniony jest przepływ informacji o stanie cyberodporności do wszystkich zainteresowanych stron.

W porównaniu do wcześniej istniejących regulacji, DORA wnosi bardziej zintegrowane i wszechstronne podejście do cyberbezpieczeństwa, koncentrując się nie tylko na technicznych aspektach bezpieczeństwa, ale także na szeroko rozumianej odporności operacyjnej i zarządzaniu ryzykiem w całym ekosystemie finansowym.

DORA wymaga od instytucji finansowych podejścia bardziej zintegrowanego i proaktywnego w zakresie ciągłości działania i planowania awaryjnego, co znacznie wykracza poza tradycyjne podejście do zarządzania ciągłością działania. Wymogi te mają na celu zapewnienie, że sektor finansowy jest odporny na szeroką gamę potencjalnych zakłóceń, w tym te wynikające z ryzyka cyfrowego. W Audytel pomagamy w opracowywaniu i testowaniu skutecznych planów ciągłości działania, które są zgodne z DORA i zapewniają, że Twoja firma jest przygotowana na różne scenariusze zakłóceń. Oto niektóre z kluczowych wymogów DORA w tych obszarach:

• Kompleksowe Plany Ciągłości Działania: Instytucje finansowe muszą opracować i wdrożyć szczegółowe plany ciągłości działania, które zapewniają, że kluczowe funkcje biznesowe mogą być utrzymane podczas i po wystąpieniu różnego rodzaju zakłóceń, w tym cyberataków.
• Regularne Testowanie i Aktualizacja Planów: Plany ciągłości działania muszą być regularnie testowane i aktualizowane, aby upewnić się, że są skuteczne w świetle zmieniających się zagrożeń i warunków operacyjnych. Testy te powinny obejmować różnorodne scenariusze, w tym te skrajne i mało prawdopodobne sytuacje.
• Odzyskiwanie po Awariach: Instytucje są zobowiązane do posiadania wyraźnie określonych procedur odzyskiwania po awariach, które umożliwiają szybkie przywrócenie operacji i usług po zakłóceniach.
• Zarządzanie Ryzykiem Operacyjnym i IT: Planowanie ciągłości działania powinno być integralną częścią szeroko pojętego zarządzania ryzykiem operacyjnym i IT, uwzględniającego ryzyko związane z używaną technologią, procesami biznesowymi i ludźmi.
• Współpraca z Dostawcami Zewnętrznymi: Instytucje muszą upewnić się, że ich dostawcy zewnętrzni, w tym dostawcy usług chmurowych i inne kluczowe podmioty, również posiadają skuteczne plany ciągłości działania i są w stanie sprostać wymogom DORA.
• Komunikacja i Powiadamianie: Plany ciągłości działania powinny zawierać procedury komunikacji i powiadamiania w przypadku zakłóceń, zarówno wewnętrznie (pracownicy, zarząd), jak i zewnętrznie (klienci, organy regulacyjne).
• Elastyczność i Adaptacja: Planowanie ciągłości działania musi być elastyczne i zdolne do adaptacji do nowych, dynamicznych zagrożeń i zmieniającego się środowiska technologicznego.

Nasz zespół w Audytel posiada zaawansowaną wiedzę w zakresie testowania odporności oraz przeprowadzania symulacji kryzysowych zgodnie z DORA. Wykorzystujemy najnowsze metodyki i narzędzia do przeprowadzania realistycznych testów, które nie tylko spełniają wymogi regulacyjne, ale także dostarczają praktycznych wskazówek do wzmacniania cyberodporności firmy. Oto główne aspekty tych wymogów:

• Regularne Testy Odporności na Cyberataki: Instytucje finansowe muszą regularnie przeprowadzać testy odporności, aby ocenić, jak ich systemy i procedury radzą sobie z różnorodnymi formami cyberzagrożeń. Testy te obejmują zarówno testy penetracyjne nazywane testami TLTP , testy podatności oraz inne.
• Zaawansowane Symulacje Kryzysowe: DORA wymaga przeprowadzania zaawansowanych symulacji kryzysowych, które imitują różne ekstremalne, ale realistyczne scenariusze ataków cyfrowych. Celem jest nie tylko przetestowanie systemów i procedur, ale także zrozumienie, jak organizacja reaguje pod presją i w sytuacjach kryzysowych.
• Włączenie Zarządu w Testowanie: Ważne jest, aby zarząd był zaangażowany w proces testowania i symulacji kryzysowych, aby zapewnić, że decyzje dotyczące zarządzania ryzykiem i reakcji na incydenty są w pełni wspierane na najwyższym szczeblu organizacji.
• Ocena Dostawców Zewnętrznych: Instytucje finansowe muszą również oceniać, w jaki sposób ich dostawcy zewnętrzni, w tym dostawcy usług chmurowych i inni kluczowi partnerzy, radzą sobie w testach odporności i symulacjach kryzysowych.
• Dokumentacja i Raportowanie: Wyniki testów odporności i symulacji kryzysowych muszą być dokładnie dokumentowane, a wnioski i zalecenia muszą być komunikowane zarządowi oraz, w niektórych przypadkach, organom regulacyjnym.
• Ciągłe Ulepszanie: Na podstawie wyników testów odporności, instytucje finansowe powinny ciągle ulepszać swoje systemy bezpieczeństwa i procedury reagowania na incydenty, aby zapewnić najwyższy poziom ochrony.
• Kompleksowe podejście: Testy odporności na cyberataki i symulacje kryzysowe powinny obejmować nie tylko aspekty techniczne, ale także ludzkie i procesowe, uwzględniając cały zakres potencjalnych zagrożeń i reakcji organizacji.

DORA podnosi poprzeczkę w zakresie testowania odporności na cyberataki i symulacji kryzysowych, wymagając od instytucji finansowych bardziej kompleksowego i systemowego podejścia, które ma na celu zapewnienie ich gotowości na szeroki zakres wyzwań cyberbezpieczeństwa.

W Audytel rozumiemy, jak ważne jest szybkie i dokładne raportowanie incydentów. Pomagamy naszym klientom w opracowaniu i wdrożeniu procedur raportowania, które są zgodne z DORA i zapewniają efektywną komunikację z odpowiednimi organami nadzorczymi. Oto kilka kluczowych aspektów, na które należy zwrócić uwagę przy tworzeniu tych procedur:

• Identyfikacja i Klasyfikacja Incydentów: Instytucje powinny opracować jasne metodyki oceny tego, co stanowi incydent bezpieczeństwa oraz kategorie incydentów, aby zapewnić, że wszystkie zdarzenia są odpowiednio identyfikowane i klasyfikowane.
• Procesy Reagowania na Incydenty: Należy opracować szczegółowe procedury dotyczące działań, które należy podjąć po wykryciu incydentu. Powinny one obejmować kroki takie jak natychmiastowe zabezpieczenie i analiza systemów, identyfikacja źródła incydentu, oraz minimalizowanie wpływu incydentu na działalność.
• Raportowanie Wewnętrzne i Komunikacja: Ustalanie procedur wewnętrznego raportowania incydentów, w tym informowanie odpowiednich osób i działów w organizacji, jest kluczowe. Powinny być wyznaczone osoby odpowiedzialne za zarządzanie incydentem.
• Raportowanie Zewnętrzne: Procedury powinny określać, kiedy i jak raportować incydenty do organów zewnętrznych, w tym do organów regulacyjnych. DORA określa konkretne ramy czasowe i formaty dla takiego raportowania.
• Dokumentacja i Archiwizacja: Należy prowadzić dokładną dokumentację wszystkich incydentów bezpieczeństwa oraz działań podjętych w ich odpowiedzi. Dokumentacja powinna być przechowywana w bezpieczny sposób, aby można było z niej korzystać dla potrzeb przeglądów wewnętrznych, audytów lub dochodzeń organów nadzorczych.
• Przegląd i Ulepszenia Procedur: Procedury raportowania incydentów powinny być regularnie przeglądane i aktualizowane na podstawie doświadczeń z wcześniejszymi incydentami oraz zmieniających się wymogów regulacyjnych i najlepszych praktyk.
• Szkolenie i Świadomość: Pracownicy na wszystkich poziomach organizacji powinni być szkoleni w zakresie procedur raportowania incydentów, aby zapewnić, że każdy wie, co robić w przypadku naruszenia bezpieczeństwa. DORA, do udziału w szkoleniach, zobowiązuje także kierownictwo.

Podejmując te kroki, instytucje finansowe mogą zapewnić, że ich procedury raportowania incydentów są zgodne z wymogami DORA, co pozwala nie tylko na spełnienie wymogów regulacyjnych, ale także na wzmocnienie ogólnej postawy organizacji wobec zagrożeń dla cyberbezpieczeństwa.

Tak, nasz zespół jest wyposażony w wiedzę potrzebną do identyfikacji i wdrożenia konkretnych wymagań technologicznych i infrastrukturalnych DORA. Skupiamy się na dostosowaniu tych wymagań do aktualnej architektury IT firmy, zapewniając zgodność i ulepszając ogólną architekturę cyberbezpieczeństwa.

W jaki sposób Audytel może przyczynić się do zwiększenia cyberodporności w świetle wymogów DORA dotyczących zarządzania ryzykiem związanym z dostawcami zewnętrznymi?

W Audytel koncentrujemy się na holistycznym (kompleksowym) podejściu do cyberodporności, począwszy od zarządzanie ryzykiem związanym z dostawcami zewnętrznymi na testowaniu odporności cyfrowej kończąc. Oferujemy analizę i ocenę ryzyka dostawców, pomagając w identyfikacji i minimalizacji potencjalnych słabych punktów w łańcuchu dostaw oraz weryfikujemy w praktyce luki w stosowanych zabezpieczeniach.

DORA wprowadza bardziej kompleksowe podejście do odporności cyfrowej, koncentrując się nie tylko na bezpieczeństwie IT, ale również na odporności operacyjnej. W Audytel, dzięki naszemu doświadczeniu, pomagamy firmom w integracji DORA z istniejącymi normami, takimi jak ISO 27001, rozporządzenie PSD2, NIS2, rekomendacje KNF, wytyczne EBA oraz GDPR, tworząc kompleksową i spójną strategię cyberbezpieczeństwa.

W Digital Operational Resilience Act szczególną uwagę zwraca się na dostawców usług zewnętrznych, którzy mają kluczowe znaczenie dla operacyjnej odporności cyfrowej instytucji finansowych. Konkretnie, sprawdzani na zgodność z DORA mogą być następujący dostawcy zewnętrzni:

• Dostawcy Usług IT: Obejmuje to firmy dostarczające oprogramowanie, infrastrukturę, platformy cloudowe, narzędzia do zarządzania bazami danych oraz wsparcie IT w zakresie tych elementów. Ze względu na kluczową rolę, jaką technologia informacyjna odgrywa w sektorze finansowym, dostawcy tych usług muszą zapewniać wysoki poziom bezpieczeństwa i odporności.
• Dostawcy Usług Chmurowych: Dostawcy usług w chmurze, oferujący zarówno publiczne, jak i prywatne rozwiązania cloudowe, są kluczowi dla wielu operacji finansowych. Zgodność z DORA wymaga od nich zapewnienia odpowiednich środków bezpieczeństwa danych i ciągłości działania.
• Dostawcy Usług Bezpieczeństwa Cybernetycznego: Firmy oferujące narzędzia i usługi związane z bezpieczeństwem cybernetycznym, takie jak firewall, antywirus, systemy wykrywania i zapobiegania włamaniom, muszą być zgodne z rygorystycznymi wymogami DORA.
• Dostawcy Usług Zarządzania Ryzykiem i Ciągłością Działania: Firmy specjalizujące się w zarządzaniu ryzykiem oraz planowaniu i zapewnianiu ciągłości działania muszą spełniać wymogi DORA w zakresie minimalizacji ryzyka operacyjnego i zapewnienia odporności.
• Dostawcy Usług Outsourcingowych: Dostawcy, którym instytucje finansowe powierzają kluczowe procesy biznesowe lub operacje, również podlegają ocenie zgodności z DORA. Jest to istotne, gdyż outsourcing może wprowadzać dodatkowe ryzyko i wymaga szczególnej uwagi w kontekście odporności operacyjnej.
• Dostawcy Usług Komunikacyjnych i Sieciowych: Dostawcy sieci, usług telekomunikacyjnych i komunikacyjnych odgrywają ważną rolę w zapewnianiu stabilności operacyjnej instytucji finansowych i muszą spełniać wymagania DORA w zakresie odporności i bezpieczeństwa.

Instytucje finansowe muszą dokładnie ocenić i monitorować swoich dostawców zewnętrznych pod kątem zgodności z DORA, aby zapewnić, że cały łańcuch wartości wspiera ich odporność operacyjną i cyberbezpieczeństwo. Wymaga to nie tylko początkowej oceny dostawcy, ale także ciągłego monitorowania i przeglądu umów oraz praktyk dostawców.

Nieprzestrzeganie wymogów Rozporządzenia DORA (Digital Operational Resilience Act) w zakresie operacyjnej odporności, zgłaszania incydentów związanych z ICT (Information and Communication Technology) oraz zarządzania dostawcami usług ICT może skutkować różnorodnymi konsekwencjami dla instytucji finansowych, w tym:

• Kary Finansowe: Naruszenia w zakresie operacyjnej odporności, nieprawidłowe zgłaszanie incydentów ICT lub niewłaściwe zarządzanie dostawcami usług ICT mogą prowadzić do nałożenia znaczących kar finansowych przez organy regulacyjne.
• Ograniczenia Operacyjne: Instytucje mogą spotkać się z ograniczeniami w swojej działalności, zwłaszcza jeśli ich zarządzanie ryzykiem ICT jest uznane za niewystarczające, co może wpłynąć na ich zdolność do prowadzenia niektórych operacji lub ekspansji na nowe rynki.
• Wymogi Naprawcze: Regulatorzy mogą wymagać wdrożenia szczegółowych działań naprawczych, aby poprawić zarządzanie ryzykiem operacyjnym, procesy zgłaszania incydentów ICT oraz relacje z dostawcami usług ICT.
• Reputacja i Zaufanie Rynkowe: Naruszenie wymogów DORA może negatywnie wpłynąć na reputację instytucji, powodując utratę zaufania klientów i partnerów biznesowych, a w konsekwencji obniżenie pozycji rynkowej.
• Odpowiedzialność Prawna Kierownictwa: W skrajnych przypadkach, naruszenia mogą prowadzić do odpowiedzialności prawnej osób zarządzających, włącznie z postępowaniami karnymi.
• Zwiększony Nadzór Regulacyjny: Instytucje, które nie spełniają wymogów DORA, mogą podlegać intensywniejszemu nadzorowi regulacyjnemu, co oznacza częstsze audyty, inspekcje oraz zwiększone wymogi raportowania.
• W Audytel oferujemy wsparcie w dostosowaniu operacji instytucji finansowych do wymogów DORA, pomagając w uniknięciu powyższych konsekwencji poprzez wzmocnienie operacyjnej odporności, usprawnienie procesów zgłaszania incydentów ICT oraz optymalizację zarządzania dostawcami usług ICT.

Rozporządzenie DORA (Digital Operational Resilience Act) weszło w życie 16 stycznia 2023 roku, ale jego stosowanie rozpocznie się od 17 stycznia 2025 roku. Jest to kluczowy element działań Unii Europejskiej, który ma na celu wzmocnienie odporności cyfrowej sektora finansowego w Europie, skupiający się na zwiększeniu bezpieczeństwa IT różnych podmiotów finansowych, takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne.
Teraz jest więc doskonały czas na wdrażanie wymagań Rozporządzenia DORA, aby od początku 2025 roku firmy były w pełni przygotowane na to nowe wyzwanie. To okres przejściowy umożliwia instytucjom finansowym dostosowanie się do nowych regulacji, opracowanie i wdrożenie skutecznych strategii zarządzania ryzykiem ICT, planów ciągłości działania, procedur zgłaszania incydentów oraz współpracy z dostawcami usług ICT. Rozpoczęcie działań już teraz pomoże zapewnić płynne przejście do nowych wymogów i uniknięcie potencjalnych kar za niezgodność z rozporządzeniem.

DORA kładzie duży nacisk na wdrożenie zarządzania ryzykiem stron trzecich w celu poprawy wydajności procesów oraz zapewnienia stabilności i bezpieczeństwa korzystania z usług ICT świadczonych przez podmioty trzecie. Nasi eksperci wspierają podmioty finansowe w przeglądzie istniejących umów z dostawcami ICT oraz w dostosowaniu ich treści do wymogów Rozporządzenia.
Niezwykle istotnym procesem objętym regulacją DORA jest testowanie odporności cyfrowej na potencjalne incydenty związane z cyberbezpieczeństwem. Proces ma obejmować działania audytowe, testy oraz stosowanie innych narzędzi pomocnych w ocenie odporności na zagrożenia. Regulacja nakłada obowiązek przeprowadzania testów bezpieczeństwa wszystkich kluczowych systemów i aplikacji informatycznych. W ramach swojej działalności tworzymy plany oraz przeprowadzamy badanie odporności cyfrowej dla naszych Klientów.

• Zamówienie audytu zgodności z DORA umożliwi określenie działań i kosztów niezbędnych do poniesienia w celu dostosowania Państwa podmiotu do wymagań Rozporządzenia.
• Zapewnienie zgodności z Rozporządzeniem poprzez ustalenie oraz wdrożenie procesów zarządzania ryzykiem w obszarze bezpieczeństwa dla systemów, protokołów i narzędzi ICT.
• Dostosowanie procesów obsługi incydentów do wymagań Rozporządzenia DORA.
• Dostosowanie lub wdrożenie nowego procesu zarządzania dostawcami w zakresie określonym w Rozporządzeniu.
• Poprawę bezpieczeństwa funkcjonowania organizacji poprzez wdrożenie procesu testowania operacyjnej odporności cyfrowej.
• Zdolność do szybkiego reagowania w przypadku wystąpienia sytuacji kryzysowych.
• Zwiększenie zaufania Klientów i partnerów biznesowych.

Dla jednego z biur maklerskich wykonaliśmy analizę zgodności w obszarze objętym regulacjami KNF oraz DORA. Następnie we współpracy z Klientem opracowaliśmy i wdrożyliśmy dokumentację systemu zarządzania bezpieczeństwem informacji zgodną z wymaganiami i rekomendacjami UKNF, biorąc pod uwagę cały istniejący kontekst organizacji. Wdrożone zostały także procedury i plany testowania zabezpieczeń technicznych oraz organizacyjnych. Wykonaliśmy również testy odporności cyfrowej istniejących zasobów informatycznych.

Zadzwoń lub wypełnij formularz