Co warto wiedzieć o DORA?
DORA to unijny akt prawny, który zaostrza wymogi dotyczące cyberbezpieczeństwa w sektorze finansowym, fintechach oraz u dostawców usług ICT działających na terenie UE.
Głównym celem nowych przepisów jest zwiększenie odporności tych podmiotów na zagrożenia związane z zakłóceniami operacyjnymi (awarie systemów informatycznych, błędy ludzkie) oraz cyberatakami.
Operacyjna odporność cyfrowa, definiowana przez DORA, to zdolność instytucji finansowych do zapewnienia ciągłości i jakości usług bazujących na technologiach ICT, zarówno wewnętrznie, jak i w ramach współpracy z zewnętrznymi organizacjami.
Podmioty finansowe muszą być przygotowane na potencjalne kryzysy i zakłócenia, które mogą negatywnie wpłynąć na funkcjonowanie ich infrastruktury informatycznej i w konsekwencji świadczone przez nie usługi.
DORA określa więc nowe ramy w zakresie operacyjnych możliwości w sektorze ICT, cyberbezpieczeństwa, a także efektywnego zarządzania ryzykiem oraz zewnętrznymi dostawcami usług. Ma to na celu zagwarantowanie stabilności i bezpieczeństwa unijnego sektora finansowego.
Regulacja ta wyróżnia się również wprowadzeniem jednolitych zasad nadzoru nad największymi dostawcami usług ICT.
Instytucje finansowe muszą dostosować się do tych wymagań do 17 stycznia 2025 roku, co oznacza konieczność niezwłocznego rozpoczęcia procesu wdrażania nowych standardów.
DORA dotyczy szerokiej grupy podmiotów działających w sektorze finansowym, w tym tradycyjnych instytucji finansowych, firm fintech oraz dostawców usług ICT. Nowe przepisy będą miały wpływ na ponad 22 tys. instytucji finansowych w całej UE.
Kompletna lista podmiotów podlegających regulacjom DORA:
- banki i inne instytucje kredytowe;
- instytucje płatnicze;
- dostawcy usług udostępniający informacje o rachunkach bankowych;
- instytucje emitujące pieniądz elektroniczny;
- firmy inwestycyjne (domy maklerskie oraz banki prowadzące działalność maklerską);
- dostawcy usług związanych z kryptoaktywami;
- centralne depozyty papierów wartościowych;
- kontrahenci centralni (CCP);
- systemy obrotu (rynku regulowanego, ASO, OTF);
- repozytoria transakcji;
- zarządzający alternatywnymi funduszami inwestycyjnymi;
- spółki zarządzające funduszami;
- dostawcy usług udostępniających informacje;
- towarzystwa ubezpieczeń i reasekuracji;
- pośrednicy ubezpieczeniowi, reasekuracyjni i oferujący ubezpieczenia dodatkowe;
- instytucje zarządzające programami emerytalnymi dla pracowników;
- agencje ratingowe;
- administratorzy kluczowych wskaźników referencyjnych;
- dostawcy usług crowdfundingowych;
- repozytoria sekurytyzacji;
- zewnętrzni dostawcy usług ICT.
DORA skupia się na pięciu kluczowych obszarach:
1. Zarządzanie ryzykiem związanym z ICT podmiotu finansowego.
Regulacje DORA nakładają na podmioty finansowe obowiązek wprowadzenia kompletnych i szczegółowo opisanych struktur zarządzania ryzykiem związanym z technologiami ICT. Struktury te muszą obejmować polityki, kluczowe strategie oraz mechanizmy niezbędne do odpowiedniej ochrony środowiska informatycznego. Zgodnie z wymogami, instytucje są zobligowane do identyfikacji, kategoryzacji i dokumentowania procesów biznesowych dotyczących ICT.
DORA wymaga również wytworzenia i dostosowania takich elementów, jak systemy wykrywania zagrożeń, polityki bezpieczeństwa danych, plany ciągłości działania w ramach ICT, procedury tworzenia backupów oraz plany komunikacji związane z incydentami cyberbezpieczeństwa. Organizacje są zobowiązane także do organizowania obowiązkowych szkoleń dla pracowników.
2. Zarządzanie incydentami związanymi z ICT.
DORA standaryzuje zasady dotyczące zarządzania incydentami związanymi z ICT, obejmując ich klasyfikację oraz ocenę skutków na podstawie ustalonych kryteriów. Regulacje te nakładają również obowiązek raportowania istotnych incydentów odpowiednim instytucjom nadzorczym.
3. Testowanie operacyjnej odporności cyfrowej.
Regulacja zobowiązuje do przynajmniej corocznego testowania najważniejszych systemów i aplikacji IT. Plan testów powinien uwzględniać różnorodne elementy, takie jak ocena zabezpieczeń sieci, przeprowadzanie testów penetracyjnych, testowanie różnych scenariuszy, a także analiza narzędzi open source.
4. Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT.
DORA ustala zasady dotyczące współpracy z zewnętrznymi dostawcami usług ICT. W ramach regulacji instytucje muszą przeprowadzić ocenę dostawców, przygotować plan wyjścia oraz strategię przejścia. Dodatkowo konieczne jest wskazanie kluczowych dostawców zewnętrznych w obszarze usług IT.
5. Ustalenia dotyczące wymiany informacji.
DORA zobowiązuje instytucje finansowe do wymiany informacji na temat zagrożeń cybernetycznych oraz rezultatów ich analizy. Obowiązek ten dotyczy nie tylko sygnałów świadczących o naruszeniu integralności systemów, ale także narzędzi, metod, procedur, technik oraz ostrzeżeń związanych z cyberbezpieczeństwem.
Jak spełnić wymagania DORA?
Digital Operational Resilience Investigation and Analysis (DORIAN) – nasza oferta
DORIAN (Digital Operational Resilience Investigation and Analysis) to nowoczesne oprogramowanie stworzone w odpowiedzi na dyrektywę DORA, wspierające instytucje finansowe w ochronie przed zagrożeniami cyfrowymi.
System pomaga spełniać wymagania rozporządzenia, zminimalizować ryzyko operacyjne oraz zwiększyć odporność na incydenty w obszarze ICT poprzez odpowiednią analizę oraz skuteczne zarządzanie ryzykiem.
Rozwiązanie automatycznie pobiera, a następnie identyfikuje ryzyka operacyjne i wysyła powiadomienia z rekomendacją podjęcia działań naprawczych.
DORIAN oferuje konfigurowalny interfejs użytkownika zapewniający kompletny i szybki dostęp do kluczowych informacji związanych z oceną ryzyka.
System DORIAN wraz z dodatkowymi usługami eksperckimi wspiera wszystkie 5 obszarów regulacji DORA.
Import zdarzeń i obiektów
Import zdarzeń z różnych źródeł do wspólnego modelu danych ułatwiającego ich analizę. Obsługiwany jest za pomocą narzędzi rekomendowanych przez DORIAN, a także przez inne preferowane przez użytkownika. Proces obejmuje przygotowanie danych z systemów źródłowych, takich jak ERP, CMDB, CRM itp.
Obsługa katalogu zdarzeń ryzyka
Zarządzanie katalogiem zidentyfikowanych zdarzeń ryzyka oraz powiązanych obiektów, w tym systemów IT i aplikacji. Funkcje aplikacji umożliwiają kategoryzację zdarzeń oraz korektę ocen na podstawie automatycznych reguł. System śledzi cykl życia obsługi zdarzeń wraz ze zmianami ich stanu w systemie przepływu pracy.
Wyznaczanie poziomu ryzyka operacyjnego
DORIAN automatycznie określa poziom ryzyka operacyjnego na podstawie reguł biznesowych ustalonych przez użytkownika. Otwarta metoda implementacji reguł pozwala na elastyczne kształtowanie ocen ryzyka. Użytkownicy mogą dostosowywać reguły zgodnie z własnymi potrzebami oraz wymogami organizacji.
Ocena wpływu ryzyka
System automatycznie ocenia wpływ ryzyka na inne obiekty, umożliwiając analizę propagacji ryzyka w sieci powiązań. DORIAN przeprowadza badania wpływu na podstawie konfigurowalnych reguł oceny. Dzięki temu można dokładnie określić poziom oddziaływania ryzyka w różnych miejscach sieci.
Wizualizacja kluczowych informacji
DORIAN oferuje wizualizację powiązań między analizowanymi obiektami, umożliwiając odkrywanie złożonych relacji. Analitycy ryzyka mogą korzystać z mapy (grafu), co usprawnia ich pracę. Przejrzysta prezentacja kluczowych wskaźników kondycji (KPI) wspomaga szybką ocenę sytuacji i wpływu ryzyka na poszczególne obiekty i obszary organizacji.
Raportowanie
System umożliwia raportowanie danych z katalogów i wyników analiz w formacie wybranym przez użytkownika. Funkcjonalność ta wspiera regulacyjne wymagania dotyczące raportowania ryzyka operacyjnego. Użytkownicy mogą także definiować własne raporty, co pozwala na efektywne wykorzystanie analiz jako wiedzy organizacyjnej.
Zarządzanie dostępem do informacji
DORIAN zapewnia zarządzanie dostępem do informacji zgodnie z modelem opartym na rolach (ang. Role Based Access Control, RBAC). Umożliwia to pełną kontrolę nad dostępem do poszczególnych obszarów badanych obiektów w sieci.
- Audyt wstępny i ocena gotowości.
- Opracowanie założeń operacyjnej odporności cyfrowej.
- Przygotowanie systemu zarządzania ryzykiem ICT.
- Wdrożenie polityki bezpieczeństwa informacji.
- Opracowanie planów ciągłości działania i odtwarzania.
- Implementacja systemu zarządzania incydentami.
- Procedura zarządzania cyberzagrożeniami.
- Wdrożenie procesów raportowania i komunikacji.
- Przygotowanie programu testowania odporności cyfrowej.
- Realizacja zaawansowanych testów TLPT.
- Audyt kontraktów z zewnętrznymi dostawcami usług ICT.
- Dostosowanie umów z dostawcami usług ICT.
- Opieka zastępcza nad komponentami open source nieobjętymi wsparciem.
- Szkolenia.
- Końcowa ocena zgodności oraz wsparcie w utrzymaniu.
- Zwiększenie odporności cyfrowej poprzez zbudowanie sprawniejszych i bardziej efektywnych mechanizmów ochrony przed cyberatakami.
- Lepsze zarządzanie ryzykiem dzięki skutecznej identyfikacji oraz minimalizowaniu ryzyk technicznych i operacyjnych.
- Zachowanie ciągłości działania dzięki szybszemu reagowaniu oraz przywracaniu sprawnego działania organizacji po wystąpieniu zakłóceń.
- Zapewnienie zgodności z regulacjami oraz spełnienie wymagań legislacyjnych dzięki ustaleniu jasnych i ustandaryzowanych ram prawnych.
- Wzmocnienie reputacji wśród klientów i partnerów biznesowych.
- Zintegrowane zarządzanie ryzykiem dzięki wytworzeniu jednolitego systemu zarządzania ryzykiem oraz eliminacji silosowego podejścia do gromadzenia informacji w organizacji.
- Lepsza jakość analiz ryzyk pozasystemowych dzięki holistycznemu podejściu.
- Umożliwienie proaktywnego zarządzania incydentami pozwalające na szybsze wykrywanie i eliminowanie problemów.
- Zwiększona świadomość zagrożeń oraz lepsze przygotowanie organizacji na incydenty, w tym poważne – zwiększenie ogólnej odporności operacyjnej.
- Możliwość analizowania incydentów pod kątem ich wpływu na kluczowe procesy biznesowe oraz działalność firmy klienta.
Dlaczego warto skorzystać z rozwiązania DORIAN?
Zgodność z regulacją DORA
DORIAN kompleksowo wspiera instytucje finansowe w spełnianiu wymogów rozporządzenia DORA.
Automatyczna ocena poziomu ryzyka operacyjnego
System automatycznie identyfikuje ryzyka operacyjne i wysyła powiadomienia z rekomendacjami działań naprawczych.
Kompleksowa integracja danych o zdarzeniach ryzyka
Dzięki importowi zdarzeń z różnych źródeł do wspólnego modelu danych DORIAN umożliwia pełne i spójne spojrzenie na ryzyko w organizacji, co ułatwia analizę i zarządzanie zdarzeniami ryzyka.
Elastyczność w dostosowywaniu metod oceny ryzyka
Otwarta metoda implementacji reguł pozwala na elastyczne kształtowanie ocen ryzyka.