Usługi
Usługiarrow Cyberbezpieczeństwo
Cyberbezpieczeństwo

Zapewnij bezpieczeństwo IT / IOT / SCADA. Zapoznaj się z profesjonalnymi usługami z zakresu bezpieczeństwa teleinformatycznego – MSSP. Skorzystaj z kompleksowego podejście do budowy, monitorowania i utrzymania cyberbezpieczeństwa.

Rozporządzenie w sprawie operacyjnej odporności cyfrowej dla sektora finansowego

Rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) jest inicjatywą legislacyjną Unii Europejskiej mającą na celu wzmocnienie odporności sektora finansowego na zagrożenia związane z cyberprzestępczością oraz awariami systemów informatycznych.

Czym jest DORA i kiedy wchodzi w życie?

DORA została zaproponowana w odpowiedzi na coraz bardziej złożone i zróżnicowane ataki cybernetyczne, które stanowią poważne ryzyko dla stabilności finansowej oraz ochrony danych klientów instytucji finansowych. W listopadzie 2022 roku Rada Unii Europejskiej przyjęła DORA (Rozporządzenie w sprawie operacyjnej odporności cyfrowej) z celem ustanowienia spójnych standardów bezpieczeństwa informatycznego dla instytucji finansowych (banków, firm ubezpieczeniowych i firm inwestycyjnych) we wszystkich państwach członkowskich UE, aby zachować odporność sektora finansowego UE wobec zagrożeń cybernetycznych i zakłóceń operacyjnych. Według art. 64 czas na wdrożenie DORA kończy się w Styczniu 2025 r.

NIS2 vs DORA. Które wymaganie ważniejsze

Dyrektywa NIS 2 mająca na celu ustanowienie wysokiego wspólnego poziomu cyberbezpieczeństwa we wszystkich krajach Unii Europejskiej, została przyjęta jednocześnie z DORA, co zaostrza wymagania dotyczące bezpieczeństwa cybernetycznego, również w sektorze finansowym.

DORA ma pierwszeństwo wobec dyrektywy NIS 2, zgodnie z zasadą, według której prawo szczegółowe ma pierwszeństwo nad prawem ogólnym. DORA wyjaśnia i uzupełnia przepisy NIS 2.

DORA a operacyjna odporność cyfrowa

DORA nakłada na instytucje finansowe szereg obowiązków dotyczących zarządzania ryzykiem cybernetycznym, przeprowadzania testów penetracyjnych, monitorowania systemów informatycznych oraz raportowania incydentów bezpieczeństwa. Ponadto, DORA wymaga, aby instytucje finansowe stosowały najlepsze praktyki w zakresie bezpieczeństwa informatycznego i wdrażały środki mające na celu zminimalizowanie wpływu ataków cybernetycznych na ich działalność.

W europejskim krajobrazie legislacyjnym figurują od niedawna dwa główne elementy prawodawstwa w zakresie cyberbezpieczeństwa – DORA i NIS2. Formalne różnice między nimi są takie, że NIS2 to dyrektywa, a DORA to rozporządzenie. Dyrektywa wyznacza kierunek i nie może być stosowana w obecnej formie we wszystkich państwach członkowskich UE. Należy go najpierw transponować do prawa krajowego każdego kraju osobnym procesem legislacyjnym. Z drugiej strony rozporządzenie stosuje się w niezmienionej formie we wszystkich państwach członkowskich od chwili jego wejścia w życie. Jest to wiążący akt ustawodawczy, niewymagający wprowadzania krajowych aktów prawnych i należy go w całości egzekwować w niezmienionej formie.

NIS2 i DORA – podobne założenia, ale różne cele.

NIS2 i DORA nie mają tych samych celów. Dyrektywa NIS2 harmonizuje globalny poziom cyberbezpieczeństwa w całej UE. Jego celem jest zapewnienie, że firmy i organizacje najważniejsze dla sprawnego funkcjonowania naszego społeczeństwa osiągną wysoki poziom bezpieczeństwa cyfrowego.

Rozporządzenie DORA ma z kolei na celu wzmocnienie cyfrowej odporności operacyjnej całego sektora finansowego. Jego rolą jest zapewnienie, aby podmioty finansowe były w stanie przeciwstawić się i działać nieprzerwanie nawet w przypadku cyberataku. Sednem rozporządzenie jest zapewnienie dostępności usług i  prawidłowego ich działania dla klientów.

W praktyce oba teksty raczej się uzupełniają niż ze sobą konkurują. NIS2 ma na celu wzmocnienie ogólnego poziomu cyberbezpieczeństwa w UE, natomiast DORA dba o to, aby system finansowy pozostał funkcjonalny nawet w przypadku cyberataku.

NIS2 kładzie nacisk na bezpieczeństwo łańcucha dostaw, podczas gdy DORA koncentruje się na zarządzaniu ryzykiem stron trzecich.

Podobnie kary finansowe są wysokie i wymierne w przypadku NIS2 – aż do 2% światowego rocznego obrotu. Natomiast DORA woli pozostawić ocenę sankcji państwom członkowskim i ich właściwym organom. Z drugiej strony DORA stawia znacznie większe wymagania, jeśli chodzi o testy bezpieczeństwa: program testów odporności przynajmniej raz w roku i test penetracji pod kątem zagrożeń przynajmniej co 3 lata.

W przypadku mojej organizacji pytanie brzmi, który tekst ma pierwszeństwo NIS2 czy DORA?

Odpowiedź jest prosta! Jeśli Twoja organizacja jest celem DORA – to ma ona pierwszeństwo przed NIS2.

Można przyjąć, że DORA to „lex specialis” bazujący na NIS2 ale dedykowany dla sektora finansowego.

Jaki jest cel rozporządzenia DORA

Rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) ma kilka głównych celów, które obejmują:

  1. Zapewnienie spójnych standardów bezpieczeństwa informatycznego: DORA stara się ustanowić spójne i wysokie standardy bezpieczeństwa informatycznego dla instytucji finansowych (takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne) we wszystkich krajach członkowskich Unii Europejskiej. Celem jest zwiększenie odporności sektora finansowego na cyberzagrożenia i zakłócenia operacyjne.
  2. Ochrona danych klientów: DORA dąży do zapewnienia ochrony danych klientów instytucji finansowych poprzez zaostrzenie wymagań dotyczących zarządzania ryzykiem cybernetycznym oraz sposobów reagowania na incydenty bezpieczeństwa.
  3. Stabilność finansowa: Poprzez zwiększenie operacyjnej odporności sektora finansowego na cyberzagrożenia, DORA ma na celu zapewnienie stabilności finansowej w Unii Europejskiej i ochronę interesów konsumentów oraz inwestorów.
  4. Wzmocnienie współpracy i wymiany informacji: DORA stawia sobie za cel poprawę współpracy między instytucjami finansowymi, organami regulacyjnymi oraz innymi podmiotami w zakresie cyberbezpieczeństwa, aby szybciej i skuteczniej reagować na zagrożenia.
  5. Ułatwienie innowacji technologicznej: Pomimo ustanowienia restrykcyjnych standardów bezpieczeństwa, DORA dąży do zachęcania do innowacji technologicznej w sektorze finansowym poprzez promowanie bezpiecznego i odpowiedzialnego wykorzystania nowych technologii.

Poprzez realizację tych celów, DORA ma na celu zwiększenie bezpieczeństwa cyfrowego w sektorze finansowym Unii Europejskiej oraz zwiększenie zaufania klientów i inwestorów do instytucji finansowych.

Jakie podmioty podlegają rozporządzeniu DORA

  • Instytucje bankowe, kredytowe, płatnicze i pieniądza elektronicznego (credit, payment and e-money institutions)
  • Firmy inwestycyjne (investment firms)
  • Rynki kryptowalut, dostawcy usług w zakresie aktywów kryptograficznych (crypto-asset service providers – CASPs, Markets in Crypto-Assets Regulation (MiCA)
  • Emitenci tokenów opartych na aktywach (issuers of asset-referenced tokens)
  • Centralne depozyty papierów wartościowych (central securities depositories – (CSDs)
  • Kontrahenci centralni (central counterparties – CCPs)
  • Systemy obrotu (trading venues)
  • Repozytoria transakcji (trade repositories)
  • Zarządzający alternatywnymi funduszami inwestycyjnymi (alternative investment fund managers – AIFMs)
  • Spółki zarządzające (management companies)
  • Dostawcy usług w zakresie udostępniania informacji (data reporting service providers – AIS)
  • Zakłady ubezpieczeń i reasekuracji (insurance and reinsurance undertakings)
  • Pośrednicy ubezpieczeniowi i reasekuracyjni (insurance and reinsurance intermediaries)
  • Instytucje pracowniczych programów emerytalnych (institutions for occupational retirement pensions)
  • Agencje ratingu kredytowego (credit rating agencies)
  • Agencje audytu ustawowego i firmy audytorskie (statutory audit and audit firms)
  • Administratorzy kluczowych wskaźników referencyjnych (administrators of critical benchmarks)
  • Dostawcy usług finansowania społecznościowego (crowdfunding service providers)
  • Repozytoria sekurytyzacji (securitisation repositories)
  • Dostawcy usług ICT dla sektora, FinTech (ICT third-party service providers)

Kluczowe wymagania DORA dla sektora

1.Ramy zarządzania ryzykiem ICT

  • Zarządzanie ryzykiem musi być kompleksowe – na bazie całego otoczenia w jakim funkcjonuje firma (w tym w zakresie dostawców zew.)

2.Cyfrowa strategia odporności operacyjnej

  • Strategia obejmuje całą firmę, jest monitorowana, wspiera cele biznesowe i obejmuje sposoby zarządzania ryzykami ICT na jakie wyeksponowana jest instytucja (z uwzględnieniem perspektywy stron trzecich/dostawców ICT)

3.Klasyfikacja i zgłaszanie incydentów

  • Rozbudowany mechanizm zarządzania (szczególnie wykrywania incydentów – procesy, narzędzia SIEM, etc.) i rejestrowania incydentów
  • Zgłaszanie poważnych incydentów ICT do nadzoru (KNF) i współpraca w ramach incydentu

4.Zwiększone wymagania dotyczące cyfrowych testów odporności operacyjnej

  • Rozbudowane testy penetracyjne (w zależności od wielkości instytucji fin)
  • Ćwiczenia symulacyjne sytuacji kryzowych (war games)

5.Zarządzanie dostawcami zew.

  • Minimalizowanie ryzyka koncentracji i nadmiernej zależności od kluczowych stron trzecich z branży ICT (szacowanie ryzyka koncentracji – korzyści i koszty – business case)
  • Wdrożenie strategii „wielu dostawców” dla zmniejszenia ryzyka
  • Strategia wyjścia – plan na wypadek zawodności dostawcy (utrata ciągłości działania, reputacji, incydent bezp., bankructwo, monitorowanie dostawców)
  • Podmioty finansowe mogą zawierać umowy jedynie z zewnętrznymi dostawcami usług ICT, którzy spełniają odpowiednie standardy bezpieczeństwa informacji

Jak eksperci BLUE energy pomagają wdrożyć regulacje DORA

  1. Ustalenie punktu startu: w jakim zakresie mnie to dotyczy? Co i kiedy muszę zrobić? Ile będzie mnie to kosztować?
  2. Finansowanie, budżet, roadmapa, strategia – spójna całość
  3. Big Picture – identyfikacja krajobrazu w jakim funkcjonuje instytucja i jej otoczenie, zarządzanie ryzykiem, wypracowanie zasady proporcjonalności
  4. Identyfikacja zależności od krytycznych dostawców ICT (ocena wpływu, kryteria, niezbędne zabezpieczenia umowne)
  5. Dla dostawców ICT – wypracowanie jednego podejścia wobec swoich klientów w sektorze
  6. Dla małych instytucji – wypracowany framework dla zapewnienia zgodności
  7. Automatyzacja wdrożenia DORA za pomocą narzędzi BPM GRC