Rada UE przyjęła kolejny dokument, którego celem jest zwiększenie cyberodporności. DORA przyjęta w listopadzie ubr. w sprawie tzw. operacyjnej odporności cyfrowej skierowana jest do instytucji finansowych oraz podmiotów ICT. Na wdrożenie odpowiednich procedur wskazane podmioty mają czas do połowy stycznia 2025 roku.
Ostatnio przyjęte dokumenty unijne wyraźnie wskazują jak istotne dla UE są kwestie cyberbezpieczeństwa. Dyrektywa NIS2, która znacznie rozszerzyła grono podmiotów kluczowych i istotnych to jasny sygnał dla adresatów, że powinny ostatecznie przyjąć politykę zapobiegania cyberatakom i identyfikacji słabych punktów, a nie wyłącznie gaszenia już zaistniałych pożarów. W podobnym tonie wypowiada się DORA, która skierowana jest konkretnie do podmiotów finansowych oraz ICT. Dokument odpowiada na problem bezpieczeństwa produktów takich jak brak aktualizacji oprogramowania dla IoT.
W myśl dokumentu dostawcy usług chmurowych oraz SOC będą podlegali nadzorowi organów unijnych. Instytucje finansowe będą zobowiązane do prowadzenia dokumentacji działań przed i w trakcie incydentu. Wprowadzony zostanie również wymóg przywrócenia danych z kopii zapasowej w odrębnym środowisku operacyjnym. Incydenty będą musiały być monitorowane, a znaczące naruszenia będą zgłaszane organom krajowym. To rozwinięcie istniejącego już TIBER-EU, czyli systemu do gromadzenia ostrzeżeń o zagrożeniach.
To, co jest światełkiem w tunelu to fakt, że DORA jest kompatybilna z NIS i umożliwia ciągłe podnoszenie poziomu cyberodporności. Tym samym powstaje spójny regulacyjny standard, co daje duże szanse na powodzenie całego przedsięwzięcia.
Jakie podmioty są adresatem dokumentu:
Instytucje sektora finansowego m.in. banki, firmy ubezpieczeniowe, instytucje kredytowe, firmy inwestycyjne.
Podmioty z obszaru cyfrowych finansów, dostawcy usług w zakresie krypto aktywów, instytucje płatnicze, instytucje pieniądza elektronicznego.
Dostawcy technologii, w tym dostawcy usług chmury obliczeniowej i inni dostawcy usług ICT.
CO DORA oznacza w praktyce dla jej adresatów? Nowe przepisy będą wymagały na nowo przejrzenie standardów wewnątrz organizacji w zakresie środków organizacyjnych i technicznych na potrzeby przetwarzania danych. Skłoni instytucje do projektowania bezpieczniejszej architektury i dbania o jej bezpieczeństwo. W ten kierunek wpisuje się cała polityka zarządzania ryzykiem w firmie oraz terminowego zgłaszania incydentów. Nieodzownym elementem dbania o bezpieczeństwo są i będą testy odporności, czyli m.in. testy penetracyjne, testy ciągłości działania oraz skanowanie luk w zabezpieczeniach. Ze względu na łańcuch wzajemnych powiązań i otoczenie przedsiębiorstwa istotne stanie się także zarządzanie ryzykiem stron trzecich, czyli podmiotów współpracujących z instytucjami finansowymi czy dostawcami usług ICT.
Najnowsze komentarze