GDPR, NIS2 a nyní přichází DORA!
- Datum: 07.03.2023
- Autor: František Nonnemann
Vzhledem ke stále rostoucímu riziku kybernetických útoků posiluje EU u finančních subjektů, jako jsou banky, pojišťovny a investiční podniky, bezpečnost v oblasti IT. Proto vzniklo klíčové nařízení o digitální provozní odolnosti (DORA), jež má v EU zajistit odolný finanční sektor, který bude schopen provádět operace i v případě závažného narušení provozu.
DORA.
The Digital Operational Resilience Act (DORA) - Regulation (EU)
Bezpečnost informací, digitální odolnost a zajištění kontinuity provozu je na finančním trhu obzvláště důležité. Myslí si to i Evropská unie, která vydala nové nařízení ukládají řadu povinností jak finančním institucím, tak jejich dodavatelům.
Nařízení DORA bude přímo účinné a závazné už od 1. ledna 2015!
Vztahovat se bude na všemožné finanční instituce: Banky, pojišťovny, investiční podniky, ale i malé platební instituce, fintechy či zprostředkovatele pojistných produktů. DORA klade požadavky i na dodavatele finančních institucí. V oblasti řízení rizik, ochrany informací a doložení některých skutečnostní auditem či certifikací.
Finančním institucím za neplnění DORA hrozí nemalé sankce. Začněte s DORA už teď!
Požadavky nařízení DORA na finanční instituce, velké i malé, banky, pojišťovny i platební brány a další menší subjekty, můžeme rozdělit do 5 hlavních oblastí:
Téma
Doporučené Skills
Řízení rizik: Nastavení a dokumentování vnitřních pravidel pro řízení ICT rizik
M_o_R Foundation pro komplexní pochopení metodiky řízení rizik a ISO 27005 Risk Manager pro správu ICT rizik
Digitální odolnost: Pravidelné testování digitální odolnosti, zejména ve formě penetračních testů.
Certified Ethical Hacker (CEH 12) je nejkomplexnější a nejpopulárnější praktický kurz testování digitální odolnosti.
Security Management: Zavedení dostatečných bezpečnostních a provozních opatření reagujících na identifikovaná rizika.
Většina expertů zná standard ISO 27001. Nicméně už nějakou chvíli je tu revidovaná norma: ISO 27001:2022 Transition.
Reporting: Nastavení procesu při včasnou identifikaci, zvládání a reporting kybernetických bezpečnostních incidentů.
Certified SOC Analyst | CSA je prvním krokem ke zvládnutí bezpečnostního operačního střediska (SOC).
Service management: Řízení ICT dodavatelů, tedy těch, kteří finanční instituci dodávají informační či komunikační služby a nástroje.
ITIL 4 Foundation je sada best practice pro přechod na nový styl řízení IT služeb (IT Service Management), který vyžaduje moderní digitální doba.
Některé z těchto kroků lze splnit jednodušeji, třeba rozvedením či doplněním existujících procesů. U jiných to ale bude náročnější, zejména pro menší finanční instituce, které dosud kybernetickou bezpečnost a provozní odolnost systematicky neřešily.
A co dodavatelé? Audity a certifikace!
ICT dodavatelé budou muset doložit svá vlastní bezpečnostní opatření, záruky za ochranu dat, nastavené vnitřní procesy pro obnovu činnosti, havarijní plány atd.
DORA výslovně počítá s tím, že by se dodavatelé, kteří poskytují nebo chtějí poskytovat služby finančním institucím, měli rovněž podrobovat auditu a mít certifikaci. Dodávat služby na finanční trh, třeba zjišťovat slabiny v zabezpečení bank či investičních podniků, s sebou totiž nese i jistou odpovědnost za to, že zjištěné chyby nebudou zneužity. A nastavení pravidel, které zneužití zabrání, se bude dokládat právě vhodnou certifikací.
Tři výhody kybernetické bezpečnosti
Věnovat pozornost, čas a zdroje kybernetické bezpečnosti, se vyplatí. Nejméně z těchto tří důvodů:
- Ochráníte svůj podnik, jeho prostředky a fungování
- Zajistíte soulad s další a další regulací, vyhnete se soudním sporům a pokutám
- Udržíte si důvěru svých zákazníků a klientů. Ostatně některým bez toho už brzy nebudete ani moci dodávat.
Další užitečné zdroje:
