Czym jest DORA?
DORA, czyli Digital Operational Resilience Act, to unijne rozporządzenie mające na celu zaktualizowanie regulacji dotyczących technologii finansowych oraz ujednolicenie standardów odporności cyfrowej w sektorze finansowym. Projekt rozporządzenia DORA został przedstawiony 24 września 2020 r. przez Komisję Europejską. Był on elementem pakietu skupionego na promowaniu postępu technologicznego na poziomie europejskim, przy jednoczesnym zapewnieniu stabilności sektora finansowego i bezpieczeństwa interesów konsumentów.
Wcześniejsze zasady wykorzystania technologii informatycznych przez podmioty finansowe ustanawiane były zazwyczaj na poziomie danego kraju czy konkretnej instytucji. Rozporządzenie DORA zmienia to tworząc paneuropejskie zasady współpracy dla firm finansowych i dostawców usług ICT. Rozporządzenie zwraca szczególną uwagę na zarządzanie ryzykiem ICT, ryzyko związane w zakresie współpracy z dostawcami, testowanie odporności operacji cyfrowych i zapisów w umowach z dostawcami usług ICT. Digital Operational Resilience Act wpływa na działanie zakładów ubezpieczeń, towarzystw funduszy inwestycyjnych i innych podmiotów finansowych takich jak banki czy instytucje płatnicze.
Twoje obowiązki wynikające z DORA
Twoim zadaniem, jako przedstawiciela podmiotu finansowego, jest wdrożenie oraz utrzymanie strategii zapewniających możliwość monitorowania bezpieczeństwa informacji i systemów informatycznych. Cytując DORA, Twoim piorytetem jest “zapewnienie odporności, ciągłości działania oraz dostępności systemów ICT, jednocześnie dbając o standardy bezpieczeństwa, poufności i integralności danych”.
Przechodząc na poziom konkretów wdrożenie DORA ma na celu zapewnienie bezpiecznej komunikacji w organizacji i poza nią, minimalizację możliwości utraty danych, zapobieganie wyciekom informacji oraz ochronę danych przed potencjalnymi zagrożeniami wynikającymi z niewłaściwego zarządzania nimi.
Twój zespół powinien wprowadzić proces regularnego identyfikowania, klasyfikowania i dokumentowania wszystkich procesów związanych z ICT oraz zasobów cyfrowych, w tym połączenia między wewnętrznymi i zewnętrznymi systemami. Pamiętaj, że minimum raz w roku powinniście realizować przeglądy aktualności dokumentacji. Kolejnym stałym procesem, który nakłada DORA, jest monitorowanie ryzyk związanych z systemami innych instytuji finansowych, zagrożeń cybernetycznych oraz luk w wykorzystywanych systemach ICT. Wyniki tego procesu również powinny być ewaluowane rokrocznie.