DORA dotyczy w końcu także kluczowych dostawców usług technologicznych, takich jak dostawcy IT i usług w chmurze, którzy – współpracując z sektorem finansowym – muszą spełniać określone standardy techniczne związane z ich systemami technologii informacyjno-komunikacyjnej (ICT) już od stycznia 2025 roku.
Stawka jest wysoka, ponieważ nieprzestrzeganie nowych regulacji może prowadzić do niepożądanych konsekwencji. Organy egzekwowania prawa będą uprawnione do nakładania kar administracyjnych, a w niektórych przypadkach także i karnych. Poza konsekwencjami prawnymi poważnie może ucierpieć także reputacja organizacji nieprzestrzegających przepisów.
Reformy w sektorze finansowym wprowadzone po kryzysie finansowym z 2008 r. wzmocniły ogólną odporność branży, jednak niektóre aspekty bezpieczeństwa ICT, takie jak odporność cyfrowa czy postrzeganie ICT jako elementu ryzyka operacyjnego, nie zostały w pełni zaadresowane[i] – zaznacza Mariusz Sawczuk, F5 Senior Solutions Engineer. – Należy pamiętać, że zgodności [z ustawą] nie można osiągnąć bez solidnego zrozumienia istniejących zagrożeń i solidnego planu reagowania na nie. By przygotować się na wyzwania specyficzne dla danej organizacji firmy potrzebują skutecznego planu reagowania na incydenty związane z cyberbezpieczeństwem. Na tym etapie niezwykle ważne jest zidentyfikowanie zasobów zapewniających ciągłość działania i upewnienie się, że plan reagowania na incydenty jest dostosowany do ich ochrony.
Obowiązki wynikające z DORA
DORA nakłada na instytucje finansowe różnorodne obowiązki dotyczące odporności cyfrowej, które obejmują szeroki zakres działalności w ramach ICT i cyberbezpieczeństwa. W ramach nowych zobowiązań, podmioty muszą przede wszystkim: tworzyć i utrzymywać systemy ICT odporne na cyberzagrożenia oraz identyfikować ryzyko związane z technologią informacyjną i telekomunikacyjną, rejestrować incydenty ICT, wdrażać kompleksowe strategie zapewniające ciągłość działania, oraz monitorować ryzyko związane z outsourcingiem.
- Zarządzanie ryzykiem ICT. Filar ten podkreśla potrzebę precyzyjnej identyfikacji, oceny i ograniczania ryzyka związanego z systemami ICT przez podmioty finansowe. DORA wymaga od instytucji finansowych, by te precyzyjnie identyfikowały, oceniały i minimalizowały ryzyko, szczególnie poprzez przyjęcie proaktywnego podejścia.
- Zgłaszanie incydentów związanych z ICT. Zgłaszanie i właściwa reakcja na cyber incydenty to sedno zgodności z DORA. Filar ten kładzie nacisk na standaryzację procesu zgłaszania incydentów w sektorze finansowym UE, m.in. poprzez implementację systemów umożliwiających monitorowanie, opisywanie i zgłaszanie incydentów ICT odpowiednim organom.
- Cyfrowe testy odporności operacyjnej. Filar ten podkreśla także potrzebę regularnego testowania ram zarządzania ryzykiem ICT podkreślając wagę uzupełnienia ewentualnych luk wynikających z wyników testów, weryfikacji skuteczności środków zaradczych oraz demonstracji ich efektywności.
- Zarządzanie ryzykiem stron trzecich ICT. DORA koncentruje się także na zarządzaniu ryzykiem stron trzecich w zakresie ICT oraz zapewnieniu, że dostawcy przestrzegają standardów bezpieczeństwa i odporności. Ważne jest, aby umowy z dostawcami zawierały odpowiednie postanowienia dotyczące zarządzania ryzykiem i odporności operacyjnej, a także aby były regularnie przeglądane, zapewniając zgodność z najwyższymi standardami.
Innym istotnym czynnikiem w ramach DORA jest także zdolność organizacji do skutecznego odpowiadania na zapytania audytowe kierowane do organów regulacyjnych lub klientów. Obejmuje to prowadzenie kompleksowej dokumentacji, przeprowadzanie regularnych ocen i wdrażanie solidnych kontroli w celu wykazania zgodności z wymogami DORA. Organizacje muszą być przygotowane na przedstawienie dowodów potwierdzających przestrzeganie wymaganych standardów technicznych i środków zapewniających odporność operacyjną.
Jak rozwiązania F5 mogą wspierać zgodność z DORA?
F5 oferuje platformę chmurową (F5 Distributed Cloud Service), która pomaga organizacjom w uproszczeniu i optymalizacji infrastruktury bezpieczeństwa, co jest kluczowe dla zgodności z DORA. Redukcja zależności od wielopunktowych rozwiązań pozwala na centralizację zarządzania bezpieczeństwem i egzekwowania zasad w środowiskach rozproszonych, co usprawnia operacje i zwiększa ochronę.
Platforma F5 umożliwia również integrację technologii z Web Application Scanning (pozyskanej od Heyhack), zapewniając automatyczne rozpoznawanie zagrożeń i testy penetracyjne, co zwiększa bezpieczeństwo interfejsów API oraz ułatwia zarządzanie zapasami interfejsów. Dzięki elastycznym zasadom bezpieczeństwa aplikacje mogą być chronione niezależnie od miejsca ich hostowania.
W miarę zbliżania się terminu wdrożenia DORA, organizacje muszą zadbać, aby ich środki bezpieczeństwa i monitorowania były na odpowiednim poziomie. Dostępne technologie takich firm jak F5 już dziś mogą wspierać organizacje w dostosowaniu się do tych nowych wymogów regulacyjnych.
Polecany artykuł:
