firma/przedsiębiorca/laptop

i

Autor: Dora

DORA

Wyzwania w obliczu kolejnego akronimu na horyzoncie krajobrazu regulacyjnego

2024-07-22 0:36

Unijna ustawa o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA) staje się kluczowym elementem regulacyjnym dla sektora usług finansowych w Europie. Jednak choć jej głównym celem jest wzmocnienie cyberbezpieczeństwa i odporności operacyjnej w cyfrowej dziedzinie usług finansowych, jej zasięg wykracza poza sektor finansowy.

DORA dotyczy w końcu także kluczowych dostawców usług technologicznych, takich jak dostawcy IT i usług w chmurze, którzy – współpracując z sektorem finansowym – muszą spełniać określone standardy techniczne związane z ich systemami technologii informacyjno-komunikacyjnej (ICT) już od stycznia 2025 roku.

Stawka jest wysoka, ponieważ nieprzestrzeganie nowych regulacji może prowadzić do niepożądanych konsekwencji. Organy egzekwowania prawa będą uprawnione do nakładania kar administracyjnych, a w niektórych przypadkach także i karnych. Poza konsekwencjami prawnymi poważnie może ucierpieć także reputacja organizacji nieprzestrzegających przepisów.

Reformy w sektorze finansowym wprowadzone po kryzysie finansowym z 2008 r. wzmocniły ogólną odporność branży, jednak niektóre aspekty bezpieczeństwa ICT, takie jak odporność cyfrowa czy postrzeganie ICT jako elementu ryzyka operacyjnego, nie zostały w pełni zaadresowane[i] – zaznacza Mariusz Sawczuk, F5 Senior Solutions Engineer. – Należy pamiętać, że zgodności [z ustawą] nie można osiągnąć bez solidnego zrozumienia istniejących zagrożeń i solidnego planu reagowania na nie. By przygotować się na wyzwania specyficzne dla danej organizacji firmy potrzebują skutecznego planu reagowania na incydenty związane z cyberbezpieczeństwem. Na tym etapie niezwykle ważne jest zidentyfikowanie zasobów zapewniających ciągłość działania i upewnienie się, że plan reagowania na incydenty jest dostosowany do ich ochrony.

Obowiązki wynikające z DORA

DORA nakłada na instytucje finansowe różnorodne obowiązki dotyczące odporności cyfrowej, które obejmują szeroki zakres działalności w ramach ICT i cyberbezpieczeństwa. W ramach nowych zobowiązań, podmioty muszą przede wszystkim: tworzyć i utrzymywać systemy ICT odporne na cyberzagrożenia oraz identyfikować ryzyko związane z technologią informacyjną i telekomunikacyjną, rejestrować incydenty ICT, wdrażać kompleksowe strategie zapewniające ciągłość działania, oraz monitorować ryzyko związane z outsourcingiem.

  1. Zarządzanie ryzykiem ICT. Filar ten podkreśla potrzebę precyzyjnej identyfikacji, oceny i ograniczania ryzyka związanego z systemami ICT przez podmioty finansowe. DORA wymaga od instytucji finansowych, by te precyzyjnie identyfikowały, oceniały i minimalizowały ryzyko, szczególnie poprzez przyjęcie proaktywnego podejścia.
  2. Zgłaszanie incydentów związanych z ICT. Zgłaszanie i właściwa reakcja na cyber incydenty to sedno zgodności z DORA. Filar ten kładzie nacisk na standaryzację procesu zgłaszania incydentów w sektorze finansowym UE, m.in. poprzez implementację systemów umożliwiających monitorowanie, opisywanie i zgłaszanie incydentów ICT odpowiednim organom.
  3. Cyfrowe testy odporności operacyjnej. Filar ten podkreśla także potrzebę regularnego testowania ram zarządzania ryzykiem ICT podkreślając wagę uzupełnienia ewentualnych luk wynikających z wyników testów, weryfikacji skuteczności środków zaradczych oraz demonstracji ich efektywności.
  4. Zarządzanie ryzykiem stron trzecich ICT. DORA koncentruje się także na zarządzaniu ryzykiem stron trzecich w zakresie ICT oraz zapewnieniu, że dostawcy przestrzegają standardów bezpieczeństwa i odporności. Ważne jest, aby umowy z dostawcami zawierały odpowiednie postanowienia dotyczące zarządzania ryzykiem i odporności operacyjnej, a także aby były regularnie przeglądane, zapewniając zgodność z najwyższymi standardami.

Innym istotnym czynnikiem w ramach DORA jest także zdolność organizacji do skutecznego odpowiadania na zapytania audytowe kierowane do organów regulacyjnych lub klientów. Obejmuje to prowadzenie kompleksowej dokumentacji, przeprowadzanie regularnych ocen i wdrażanie solidnych kontroli w celu wykazania zgodności z wymogami DORA. Organizacje muszą być przygotowane na przedstawienie dowodów potwierdzających przestrzeganie wymaganych standardów technicznych i środków zapewniających odporność operacyjną.

Jak rozwiązania F5 mogą wspierać zgodność z DORA?

F5 oferuje platformę chmurową (F5 Distributed Cloud Service), która pomaga organizacjom w uproszczeniu i optymalizacji infrastruktury bezpieczeństwa, co jest kluczowe dla zgodności z DORA. Redukcja zależności od wielopunktowych rozwiązań pozwala na centralizację zarządzania bezpieczeństwem i egzekwowania zasad w środowiskach rozproszonych, co usprawnia operacje i zwiększa ochronę.

Platforma F5 umożliwia również integrację technologii z Web Application Scanning (pozyskanej od Heyhack), zapewniając automatyczne rozpoznawanie zagrożeń i testy penetracyjne, co zwiększa bezpieczeństwo interfejsów API oraz ułatwia zarządzanie zapasami interfejsów. Dzięki elastycznym zasadom bezpieczeństwa aplikacje mogą być chronione niezależnie od miejsca ich hostowania.

W miarę zbliżania się terminu wdrożenia DORA, organizacje muszą zadbać, aby ich środki bezpieczeństwa i monitorowania były na odpowiednim poziomie. Dostępne technologie takich firm jak F5 już dziś mogą wspierać organizacje w dostosowaniu się do tych nowych wymogów regulacyjnych.

QUIZ PRL. Zawody w Polsce Ludowej, których już nie ma
Pytanie 1 z 15
Osoba do której oddawało się podarte pończochy to:
Zawody PRL, których już nie ma. Czy masz pojęcie, czym zajmowali się Ci ludzie
Najnowsze