Dzisiaj postaramy się omówić, jaki wpływ na organizacje w całej Unii Europejskiej będzie miało wejście w życie Rozporządzenia o Operacyjnej Odporności Cyfrowej (ang. Digital Operational Resilience Act, w skrócie DORA), szczególnie w zakresie zarządzania ryzykiem ICT i cyberbezpieczeństwa.
Dzisiaj postaramy się omówić, jaki wpływ na organizacje w całej Unii Europejskiej będzie miało wejście w życie Rozporządzenia o Operacyjnej Odporności Cyfrowej (ang. Digital Operational Resilience Act, w skrócie DORA), szczególnie w zakresie zarządzania ryzykiem ICT i cyberbezpieczeństwa.
Cel rozporządzenia DORA
Koncentrując się na zwiększaniu cyberodporności przedsiębiorstw, DORA wprowadza regulacje sektorowe mające zastosowanie do podmiotów finansowych i zewnętrznych dostawców usług.
DORA jest istotnym narzędziem regulacyjnym, mającym na celu zapewnienie bezpieczeństwa w firmach działających w przestrzeni internetowej. Jego wprowadzenie miało miejsce w kontekście coraz większej cyfryzacji gospodarki oraz zwiększających się zagrożeń związanych z cyberbezpieczeństwem.
Poniżej opisujemy, jak rozporządzenie DORA wpływa na utrzymanie bezpieczeństwa w firmie oraz jakie są jego główne założenia.
Jednym z kluczowych aspektów regulacji DORA jest ustanowienie ram prawnych dotyczących operacyjnej odporności cyfrowej. Oznacza to, że firmy, zwłaszcza te działające w sektorze finansowym, będą zobowiązane do utrzymywania wysokiego poziomu bezpieczeństwa swoich systemów informatycznych i sieciowych. DORA nakłada na przedsiębiorstwa szereg obowiązków, które mają zapewnić ochronę danych, ciągłość działania oraz szybką reakcję w przypadku incydentów cybernetycznych.
Regularna ocena ryzyka
Pierwszym istotnym wymogiem DORA jest konieczność prowadzenia regularnych ocen ryzyka oraz określenie kluczowych funkcji biznesowych, które wymagają szczególnej ochrony. Firmy muszą identyfikować potencjalne zagrożenia dla swojej infrastruktury IT oraz stosować odpowiednie środki zapobiegawcze i zaradcze. Jest to istotne nie tylko dla ochrony danych klientów czy finansowych, lecz także dla zapewnienia stabilności działania przedsiębiorstwa.
Ciągłe monitorowanie
Kolejnym ważnym aspektem DORA jest wymóg ciągłego monitorowania i testowania infrastruktury IT. Firmy muszą stale analizować swoje systemy pod kątem występowania luk w zabezpieczeniach oraz przeprowadzać regularne symulacje ataków, aby sprawdzać efektywność swoich procedur obronnych. Dzięki temu możliwe jest szybkie reagowanie na ewentualne zagrożenia oraz minimalizowanie potencjalnych szkód wynikających z ataków cybernetycznych.
Raportowanie incydentów cybernetycznych
Istotnym aspektem regulacji DORA jest również wprowadzenie obowiązku raportowania incydentów cybernetycznych organom regulacyjnym. Firmy będą zobowiązane do zgłaszania wszelkich naruszeń bezpieczeństwa danych oraz ataków hakerskich, co pozwoli organom nadzorczym na szybką reakcję oraz podejmowanie odpowiednich działań w celu ochrony innych podmiotów i całego sektora przedsiębiorstw.
Jakie najważniejsze kroki muszą podjąć organizacje, aby zapewnić zgodność przed ostatecznym terminem wprowadzenia rozporządzenia?
Przekładając powyższe wymogi regulacji DORA na praktykę, można zauważyć, że ma ona istotny wpływ na utrzymanie bezpieczeństwa w firmie. Przedsiębiorstwa muszą inwestować w rozbudowane systemy ochrony przed atakami cybernetycznymi, co wiąże się z kosztami, ale jednocześnie przynosi korzyści w postaci większej odporności na zagrożenia oraz budowania zaufania klientów. Ponadto ścisłe regulacje i raportowanie incydentów zwiększają transparentność działań firm, co sprzyja budowaniu zaufania społecznego i wizerunku marki.
Warto również zauważyć, że rozporządzenie DORA ma wymiar europejski, co oznacza konieczność dostosowania się do jego wymogów przez firmy z całego obszaru Unii Europejskiej. Jest to istotne z punktu widzenia utrzymania spójności w zakresie bezpieczeństwa cyfrowego na terenie UE oraz zapobiegania ewentualnym lukom w ochronie danych między poszczególnymi państwami członkowskimi.
W jaki sposób DORA jest zgodne z innymi dyrektywami dotyczącymi cyberbezpieczeństwa, takimi jak NIS2, czym różni się od nich i jakie wyjątkowe wyzwania stawia?
DORA i NIS2 (zmieniona dyrektywa w sprawie bezpieczeństwa sieci i informacji) mają te same cele i zostały wprowadzone w tym samym czasie, z mniej więcej podobnymi harmonogramami wdrażania. Kluczowa różnica polega na tym, że DORA jest rozporządzeniem sektorowym mającym bezpośrednie zastosowanie do 20 podmiotów finansowych, podczas gdy NIS2 to dyrektywa horyzontalna mająca zastosowanie do 18 sektorów, począwszy od energetyki, transportu, infrastruktury cyfrowej po produkcję i handel detaliczny. Aby uniknąć powielania działań, organy regulacyjne określiły, że podmioty objęte zakresem DORA nie będą musiały przestrzegać niektórych kluczowych przepisów NIS2, takich jak ramy zarządzania ryzykiem i obowiązki sprawozdawcze.
Jaki jest harmonogram wdrożenia DORA i jakie kroki powinny podjąć organizacje, aby zapewnić zgodność do terminu wyznaczonego na rok 2025?
DORA weszła w życie 16 stycznia 2023 r., ale ostateczny termin wdrożenia to 17 stycznia 2025 r. Data ta może wydawać się dość odległa, jednak w złożonym świecie technologii informacyjno-komunikacyjnych (ICT) w zakresie usług finansowych jeden rok to za mało.
Objęte rozporządzeniem DORA firmy muszą wzmocnić (lub zbudować) testy odpornościowe cybersecurity oraz wdrożyć krytyczne systemy i protokoły, które będą chronić zarówno dane operacyjne, jak i osobiste przed niepożądaną manipulacją, zniszczeniem lub kradzieżą. Jeśli tego nie zrobią, będą podlegać sankcjom i karom – łącznie z kierownictwem wyższego szczebla i zarządem – oprócz szkód operacyjnych i szkód dla reputacji.
Jak DORA wpływa na rolę audytu wewnętrznego w instytucjach finansowych, szczególnie w zakresie outsourcingu zewnętrznego?
DORA będzie wymagać od funkcji audytu wewnętrznego przeglądu i potencjalnego udoskonalenia wszystkich swoich obecnych planów i programów, ponieważ będą one teraz musiały wskazać potencjalne ryzyko dla podmiotów finansowych za pośrednictwem zewnętrznych dostawców ICT. Oznacza to, że komórki audytu wewnętrznego powinny regularnie podawać w wątpliwość ustalony proces identyfikacji ryzyka, prowadzić rejestr informacji związanych ze wszystkimi ustaleniami umownymi i co roku składać sprawozdania organom regulacyjnym.
Podmioty finansowe mogą zlecić swoje obowiązki sprawozdawcze stronie trzeciej, ale ostatecznie pozostaną odpowiedzialne za przestrzeganie obowiązków wynikających z DORA. Stosowanie bezpiecznych protokołów DORA nie powinno być traktowane jako ćwiczenie przeciwpożarowe, ponieważ właściwe planowanie krytycznej aktywności cybernetycznej wymaga znacznych i regularnych szkoleń, wsparcia wyższej kadry kierowniczej oraz odpowiednio przygotowanych zespołów ds. operacji bezpieczeństwa, aby było jak najskuteczniejsze.
Podsumowanie
Podsumowując, DORA stanowi istotny krok w kierunku zwiększenia bezpieczeństwa w firmach działających w przestrzeni internetowej. Jego wprowadzenie wymusza na przedsiębiorstwach wdrażanie zaawansowanych rozwiązań w zakresie ochrony danych oraz reakcji na ewentualne zagrożenia cybernetyczne. Jednocześnie rozporządzenie może przyczynić się do budowania większego zaufania klientów oraz zwiększenia stabilności sektora przedsiębiorstw w Unii Europejskiej.
W kolejnym artykule opiszemy, jakie systemy informatyczne i w jakim zakresie pomagają organizacjom spełniać wymagania DORA.