Secure Academy

DORA

Przygotujemy Twoje przedsiębiorstwo do wymagań DORA.

DORA (Digital Operational Resilience Act)

DORA (Digital Operational Resilience Act) to unijne rozporządzenie (UE 2022/2554) mające na celu wzmocnienie odporności operacyjnej instytucji finansowych na incydenty ICT. Nowe regulacje nakładają na podmioty finansowe obowiązek zapewnienia skutecznego zarządzania ryzykiem ICT oraz wdrożenia mechanizmów minimalizujących skutki incydentów cybernetycznych.

DORA koncentruje się na pięciu kluczowych obszarach:

1. Zarządzanie ryzykiem ICT

Firmy finansowe powinny wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, obejmujące:
✅ Identyfikację i klasyfikację aktywów ICT
✅ Mechanizmy kontroli dostępu (np. PAM – Privileged Access Management)
✅ Strategie minimalizujące wpływ incydentów ICT
✅ Testowanie i monitorowanie systemów ICT w celu wykrywania słabych punktów

2. Raportowanie incydentów ICT

Organizacje powinny:
✅ Szybko wykrywać, dokumentować i zgłaszać poważne incydenty ICT
✅ Prowadzić rejestr incydentów oraz analizować ich wpływ na operacje biznesowe
✅ Zgłaszać incydenty do właściwych organów nadzoru zgodnie z procedurami DORA

3. Testowanie odporności operacyjnej ICT

DORA wymaga:
✅ Regularnych testów penetracyjnych (TLPT – Threat-Led Penetration Testing) dostosowanych do skali i ryzyka organizacji
✅ Symulacji incydentów i testów awaryjnych w celu oceny gotowości organizacji
✅ Zaangażowania stron trzecich w testowanie, jeśli dostawca odgrywa kluczową rolę w świadczeniu usług ICT

4. Zarządzanie ryzykiem stron trzecich

Firmy powinny:
✅ Weryfikować dostawców IT i zarządzać ryzykiem związanym z ich usługami
✅ Mieć procedury na wypadek awarii dostawców krytycznych usług ICT
✅ Monitorować zgodność dostawców z wymaganiami DORA i weryfikować ich polityki bezpieczeństwa

5. Udostępnianie informacji i współpraca

✅ Organizacje mogą wymieniać się informacjami o zagrożeniach cybernetycznych w celu wzmocnienia bezpieczeństwa sektora finansowego
✅ Współpraca z innymi instytucjami finansowymi oraz regulatorami pozwala na skuteczniejsze reagowanie na nowe zagrożenia

DORA stanowi kluczowy krok w kierunku poprawy odporności cyfrowej instytucji finansowych, zmniejszając ryzyko zakłóceń operacyjnych i cyberataków. Implementacja regulacji wymaga proaktywnego podejścia do zarządzania ryzykiem ICT oraz stałego monitorowania zgodności z wytycznymi UE.

Jak się przygotować?

10 punktów do zgodności z DORA

Krok 1: Zdefiniowanie ról i odpowiedzialności

Aby zapewnić zgodność z DORA, organizacja powinna wyznaczyć osoby odpowiedzialne za:

  • Nadzór nad zgodnością z DORA
  • Zarządzanie ryzykiem ICT
  • Reagowanie na incydenty
  • Monitorowanie dostawców ICT

Krok 2: Inwentaryzacja aktywów IT

  1. Klasyfikacja zasobów IT
  2. Ocena krytyczności systemów dla organizacji
  3. Identyfikacja zależności między systemami ICT

Krok 3: Inwentaryzacja procesów biznesowych

  1. Identyfikacja kluczowych procesów i ich zależności od systemów ICT
  2. Określenie poziomu krytyczności procesów dla ciągłości działania
  3. Analiza ryzyk ICT i ich wpływu na operacje biznesowe
  4. Ocena zgodności z wymaganiami DORA dotyczącymi zarządzania ryzykiem i odporności operacyjnej

Krok 4: Strategia cyfrowej odporności operacyjnej (DOR)

  1. Zarządzanie ryzykiem ICT
  2. Ciągłość działania
  3. Reagowanie na incydenty

Krok 5: Analiza ryzyka ICT

  1. Określenie ram zarządzania ryzykiem ICT
  2. Ocena ryzyka stron trzecich ICT i ich zarządzanie
  3. Wdrożenie mechanizmów ochrony i odporności aktywów
  4. Regularny audyt ram zarządzania ryzykiem ICT

Krok 6: Badanie operacyjnej odporności cyfrowej

  1. Opracowanie polityki ciągłości działania ICT
  2. Wykonanie planów komunikacji kryzysowej
  3. Analiza scenariuszy awaryjnych
  4. Procedury tworzenia kopii zapasowych i przywracania

Krok 7: Zarządzanie incydentami

  1. Budowa procesu wykrywania, rejestrowania i raportowania incydentów
  2. Ustalenie procesu zarządzania incydentami
  3. Plan reagowania na incydenty
  4. Plan testów penetracyjnych
  5. Regularne testy penetracyjne i symulacje cyberataków
  6. Wdrażanie rozwiązań do wykrywania zagrożeń
  7. Wdrożenie systemu raportowania incydentów zgodnie z DORA
  8. Przygotowanie procedur raportowania incydentów do regulatorów

Krok 8: Nadzór nad dostawcami ICT

  1. Przegląd umów z dostawcami
  2. Ocena i monitorowanie dostawców IT
  3. Monitorowanie ciągłości działania usług krytycznych
  4. Plan awaryjny dla kluczowych dostawców

Krok 9: Szkolenia i budowanie świadomości

  1. Szkolenia dla pracowników i kadry zarządzającej
  2. Ćwiczenia z reagowania na incydenty
  3. Edukacja w zakresie cyberbezpieczeństwa
  4. Zachęcanie do bezpiecznego rozwoju systemów

Krok 10: Monitorowanie zmian w regulacjach i audyty

  1. Stałe monitorowanie aktualizacji DORA
  2. Regularne audyty zgodności
  3. Raportowanie do zarządu i regulatorów

Podsumowanie

  • Przygotowanie do DORA wymaga kompleksowego podejścia obejmującego analizę ryzyka, testowanie odporności operacyjnej oraz nadzór nad dostawcami IT.
  • Ważne jest wdrożenie procesów raportowania incydentów oraz regularne szkolenia pracowników.
  • Compliance z DORA to proces ciągły, a nie jednorazowy projekt.