Cyfrowa Odporność Operacyjna – Jakie instytucje muszą dostosować się do rozporządzenia?
Regulacje objęte Rozporządzeniem dotyczą między innymi: banków, firm ubezpieczeniowych, firm inwestycyjnych, podmiotów z obszaru cyfrowych finansów (w tym firm FinTech i giełd kryptowalut), instytucji płatniczych oraz instytucji pieniądza elektronicznego, a także podmiotów infrastruktury rynku finansowego (np. giełdy, agencje ratingowe). Osobną grupą objętą Rozporządzeniem są dostawcy technologii, w tym dostawcy usług chmury obliczeniowej i dostawcy usług ICT (technologii informacyjno-komunikacyjnych). Na przygotowanie się do nowych regulacji podmioty objęte DORA miały czas do 17 stycznia 2025 roku.
Sprawdź, jak przygotować swoją firmę do DORA
Umów bezpłatną konsultację ➤
Rozporządzenie DORA stanowi uzupełnienie istniejących w Unii Europejskiej regulacji z obszaru cyberbezpieczeństwa, takich jak NIS, PSD2 oraz RODO. W Polsce DORA dodatkowo obejmie i rozszerzy obecnie istniejące regulacje wydane przez Urząd Komisji Nadzoru Finansowego o wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
Jakie są dodatkowe wymagania rozporządzenia DORA w porównaniu do już wcześniej wprowadzanych przez inne obowiązujące normy?
Rozporządzenie DORA (Digital Operational Resilience Act) jest inicjatywą Unii Europejskiej mającą na celu wzmocnienie odporności cyfrowej w sektorze finansowym. Wprowadza ono szereg dodatkowych wymogów zabezpieczeń, które uzupełniają i w pewnych aspektach wychodzą poza te, o których wyżej wspominaliśmy. Oto niektóre z kluczowych obszarów, w których DORA wprowadza dodatkowe zabezpieczenia:
- Zarządzanie Ryzykiem ICT: DORA wymaga od instytucji finansowych opracowania i wdrożenia wszechstronnych ram zarządzania ryzykiem ICT (Information and Communication Technology), które powinny obejmować cały cykl życia usług ICT, od identyfikacji ryzyka po jego minimalizację i monitorowanie.
- Testowanie Odporności: DORA wprowadza bardziej rygorystyczne wymogi dotyczące testowania odporności na cyberataki, w tym obowiązkowe testy penetracyjne i testy „war games”, które są bardziej kompleksowe niż standardowe procedury.
- Zarządzanie Incydentami i Ciągłością Działania: Instytucje muszą mieć skuteczne plany zarządzania incydentami i ciągłości działania, które są regularnie testowane i aktualizowane, idąc poza standardowe wymagania dotyczące odzyskiwania po awarii.
- Komunikacja dotycząca Incydentów Cyberbezpieczeństwa: DORA określa szczegółowe procedury dotyczące zgłaszania incydentów bezpieczeństwa, w tym szybkiego informowania odpowiednich organów nadzorczych i, w niektórych przypadkach, opinii publicznej.
- Zarządzanie Ryzykiem Dostawców Trzecich: DORA kładzie duży nacisk na zarządzanie ryzykiem związanym z dostawcami zewnętrznymi, wymagając od instytucji finansowych przeprowadzania rygorystycznych ocen i audytów dostawców, a także zapewnienia, że umowy z dostawcami zawierają odpowiednie klauzule dotyczące cyberbezpieczeństwa.
- Ramy Nadzorcze: DORA ustanawia ramy nadzorcze, które zobowiązują instytucje finansowe do zapewnienia, że ich praktyki w zakresie cyberbezpieczeństwa są zgodne z najlepszymi praktykami i aktualnymi standardami oraz zapewniony jest przepływ informacji o stanie cyberodporności do wszystkich zainteresowanych stron.
W porównaniu do wcześniej istniejących regulacji, DORA wnosi bardziej zintegrowane i wszechstronne podejście do cyberbezpieczeństwa, koncentrując się nie tylko na technicznych aspektach bezpieczeństwa, ale także na szeroko rozumianej odporności operacyjnej i zarządzaniu ryzykiem w całym ekosystemie finansowym.
Jak Twoja organizacja radzi sobie z wymogami DORA dotyczącymi ciągłości działania i planów awaryjnych?
DORA wymaga od instytucji finansowych podejścia bardziej zintegrowanego i proaktywnego w zakresie ciągłości działania i planowania awaryjnego, co znacznie wykracza poza tradycyjne podejście do zarządzania ciągłością działania. Wymogi te mają na celu zapewnienie, że sektor finansowy jest odporny na szeroką gamę potencjalnych zakłóceń, w tym te wynikające z ryzyka cyfrowego.
W Audytel pomagamy w opracowywaniu i testowaniu skutecznych planów ciągłości działania, które są zgodne z DORA i zapewniają, że Twoja firma jest przygotowana na różne scenariusze zakłóceń. Oto niektóre z kluczowych wymogów DORA w tych obszarach:
- Kompleksowe Plany Ciągłości Działania: Instytucje finansowe muszą opracować i wdrożyć szczegółowe plany ciągłości działania, które zapewniają, że kluczowe funkcje biznesowe mogą być utrzymane podczas i po wystąpieniu różnego rodzaju zakłóceń, w tym cyberataków.
- Regularne Testowanie i Aktualizacja Planów: Plany ciągłości działania muszą być regularnie testowane i aktualizowane, aby upewnić się, że są skuteczne w świetle zmieniających się zagrożeń i warunków operacyjnych. Testy te powinny obejmować różnorodne scenariusze, w tym te skrajne i mało prawdopodobne sytuacje.
- Odzyskiwanie po Awariach: Instytucje są zobowiązane do posiadania wyraźnie określonych procedur odzyskiwania po awariach, które umożliwiają szybkie przywrócenie operacji i usług po zakłóceniach.
- Zarządzanie Ryzykiem Operacyjnym i IT: Planowanie ciągłości działania powinno być integralną częścią szeroko pojętego zarządzania ryzykiem operacyjnym i IT, uwzględniającego ryzyko związane z używaną technologią, procesami biznesowymi i ludźmi.
- Współpraca z Dostawcami Zewnętrznymi: Instytucje muszą upewnić się, że ich dostawcy zewnętrzni, w tym dostawcy usług chmurowych i inne kluczowe podmioty, również posiadają skuteczne plany ciągłości działania i są w stanie sprostać wymogom DORA.
- Komunikacja i Powiadamianie: Plany ciągłości działania powinny zawierać procedury komunikacji i powiadamiania w przypadku zakłóceń, zarówno wewnętrznie (pracownicy, zarząd), jak i zewnętrznie (klienci, organy regulacyjne).
- Elastyczność i Adaptacja: Planowanie ciągłości działania musi być elastyczne i zdolne do adaptacji do nowych, dynamicznych zagrożeń i zmieniającego się środowiska technologicznego.
Jak Audytel pomoże nam w zrozumieniu i wdrożeniu wymogów DORA odnośnie testowania odporności na cyberataki?
Nasz zespół w Audytel posiada zaawansowaną wiedzę w zakresie testowania odporności oraz przeprowadzania symulacji kryzysowych zgodnie z DORA. Wykorzystujemy najnowsze metodyki i narzędzia do przeprowadzania realistycznych testów, które nie tylko spełniają wymogi regulacyjne, ale także dostarczają praktycznych wskazówek do wzmacniania cyberodporności firmy.
Oto główne aspekty tych wymogów:
- Regularne Testy Odporności na Cyberataki: Instytucje finansowe muszą regularnie przeprowadzać testy odporności, aby ocenić, jak ich systemy i procedury radzą sobie z różnorodnymi formami cyberzagrożeń. Testy te obejmują zarówno testy penetracyjne nazywane testami TLTP , testy podatności oraz inne.
- Zaawansowane Symulacje Kryzysowe: DORA wymaga przeprowadzania zaawansowanych symulacji kryzysowych, które imitują różne ekstremalne, ale realistyczne scenariusze ataków cyfrowych. Celem jest nie tylko przetestowanie systemów i procedur, ale także zrozumienie, jak organizacja reaguje pod presją i w sytuacjach kryzysowych.
- Włączenie Zarządu w Testowanie: Ważne jest, aby zarząd był zaangażowany w proces testowania i symulacji kryzysowych, aby zapewnić, że decyzje dotyczące zarządzania ryzykiem i reakcji na incydenty są w pełni wspierane na najwyższym szczeblu organizacji.
- Ocena Dostawców Zewnętrznych: Instytucje finansowe muszą również oceniać, w jaki sposób ich dostawcy zewnętrzni, w tym dostawcy usług chmurowych i inni kluczowi partnerzy, radzą sobie w testach odporności i symulacjach kryzysowych.
- Dokumentacja i Raportowanie: Wyniki testów odporności i symulacji kryzysowych muszą być dokładnie dokumentowane, a wnioski i zalecenia muszą być komunikowane zarządowi oraz, w niektórych przypadkach, organom regulacyjnym.
- Ciągłe Ulepszanie: Na podstawie wyników testów odporności, instytucje finansowe powinny ciągle ulepszać swoje systemy bezpieczeństwa i procedury reagowania na incydenty, aby zapewnić najwyższy poziom ochrony.
- Kompleksowe podejście: Testy odporności na cyberataki i symulacje kryzysowe powinny obejmować nie tylko aspekty techniczne, ale także ludzkie i procesowe, uwzględniając cały zakres potencjalnych zagrożeń i reakcji organizacji.
DORA podnosi poprzeczkę w zakresie testowania odporności na cyberataki i symulacji kryzysowych, wymagając od instytucji finansowych bardziej kompleksowego i systemowego podejścia, które ma na celu zapewnienie ich gotowości na szeroki zakres wyzwań cyberbezpieczeństwa.
Czy Audytel oferuje wsparcie w zakresie tworzenia skutecznych procedur raportowania incydentów bezpieczeństwa zgodnie z wymogami DORA?
W Audytel rozumiemy, jak ważne jest szybkie i dokładne raportowanie incydentów. Pomagamy naszym klientom w opracowaniu i wdrożeniu procedur raportowania, które są zgodne z DORA i zapewniają efektywną komunikację z odpowiednimi organami nadzorczymi.
Oto kilka kluczowych aspektów, na które należy zwrócić uwagę przy tworzeniu tych procedur:
- Identyfikacja i Klasyfikacja Incydentów: Instytucje powinny opracować jasne metodyki oceny tego, co stanowi incydent bezpieczeństwa oraz kategorie incydentów, aby zapewnić, że wszystkie zdarzenia są odpowiednio identyfikowane i klasyfikowane.
- Procesy Reagowania na Incydenty: Należy opracować szczegółowe procedury dotyczące działań, które należy podjąć po wykryciu incydentu. Powinny one obejmować kroki takie jak natychmiastowe zabezpieczenie i analiza systemów, identyfikacja źródła incydentu, oraz minimalizowanie wpływu incydentu na działalność.
- Raportowanie Wewnętrzne i Komunikacja: Ustalanie procedur wewnętrznego raportowania incydentów, w tym informowanie odpowiednich osób i działów w organizacji, jest kluczowe. Powinny być wyznaczone osoby odpowiedzialne za zarządzanie incydentem.
- Raportowanie Zewnętrzne: Procedury powinny określać, kiedy i jak raportować incydenty do organów zewnętrznych, w tym do organów regulacyjnych. DORA określa konkretne ramy czasowe i formaty dla takiego raportowania.
- Dokumentacja i Archiwizacja: Należy prowadzić dokładną dokumentację wszystkich incydentów bezpieczeństwa oraz działań podjętych w ich odpowiedzi. Dokumentacja powinna być przechowywana w bezpieczny sposób, aby można było z niej korzystać dla potrzeb przeglądów wewnętrznych, audytów lub dochodzeń organów nadzorczych.
- Przegląd i Ulepszenia Procedur: Procedury raportowania incydentów powinny być regularnie przeglądane i aktualizowane na podstawie doświadczeń z wcześniejszymi incydentami oraz zmieniających się wymogów regulacyjnych i najlepszych praktyk.
- Szkolenie i Świadomość: Pracownicy na wszystkich poziomach organizacji powinni być szkoleni w zakresie procedur raportowania incydentów, aby zapewnić, że każdy wie, co robić w przypadku naruszenia bezpieczeństwa. DORA, do udziału w szkoleniach, zobowiązuje także kierownictwo.
Podejmując te kroki, instytucje finansowe mogą zapewnić, że ich procedury raportowania incydentów są zgodne z wymogami DORA, co pozwala nie tylko na spełnienie wymogów regulacyjnych, ale także na wzmocnienie ogólnej postawy organizacji wobec zagrożeń dla cyberbezpieczeństwa.
Czy Audytel wspiera Klientów w identyfikacji specyficznych wymagań DORA dotyczących technologii i infrastruktury IT, które mają zastosowanie w konkretnej firmie?
Tak, nasz zespół jest wyposażony w wiedzę potrzebną do identyfikacji i wdrożenia konkretnych wymagań technologicznych i infrastrukturalnych DORA. Skupiamy się na dostosowaniu tych wymagań do aktualnej architektury IT firmy, zapewniając zgodność i ulepszając ogólną architekturę cyberbezpieczeństwa.
W jaki sposób Audytel może przyczynić się do zwiększenia cyberodporności w świetle wymogów DORA dotyczących zarządzania ryzykiem związanym z dostawcami zewnętrznymi?
W Audytel koncentrujemy się na holistycznym (kompleksowym) podejściu do cyberodporności, począwszy od zarządzanie ryzykiem związanym z dostawcami zewnętrznymi na testowaniu odporności cyfrowej kończąc. Oferujemy analizę i ocenę ryzyka dostawców, pomagając w identyfikacji i minimalizacji potencjalnych słabych punktów w łańcuchu dostaw oraz weryfikujemy w praktyce luki w stosowanych zabezpieczeniach.