Autor: Chris Dimitriadis, Chief Global Strategy Officer, ISACA
W obliczu nowego krajobrazu regulacyjnego, który czeka sektor finansowy w Unii Europejskiej, jedno pojęcie jest obecnie na ustach wszystkich: DORA. Digital Operational Resilience Act (Rozporządzenie o Operacyjnej Odporności Cyfrowej) wejdzie w życie w styczniu 2025 roku i zapowiada rewolucję w podejściu instytucji finansowych do cyberbezpieczeństwa i cyfrowej odporności. Jednak z mniej niż czterema miesiącami do tego terminu, większość firm gorączkowo stara się zrozumieć i wdrożyć jego dalekosiężne wymagania.
DORA oznacza przełom w regulacjach finansowych Unii Europejskiej. Po raz pierwszy cyfrowa odporność operacyjna staje się centralnym elementem regulacyjnej zgodności, wykraczając poza tradycyjne środki dotyczące stabilności finansowej. Biorąc pod uwagę, że ponad 22 000 podmiotów finansowych oraz dostawców usług ICT działa w UE, a także całą infrastrukturę ICT spoza UE, która je wspiera, wdrożenie DORA będzie miało znaczenie dla całego ekosystemu finansowego.
Podstawą regulacji DORA są pięć kluczowych filarów:
- Zarządzanie Ryzykiem ICT,
- Zarządzanie i Raportowanie Incydentów,
- Testowanie Cyfrowej Odporności Operacyjnej,
- Zarządzanie Ryzykiem Stron Trzecich,
- Wymiana Informacji.
Te filary stanowią szerokie ramy, mające na celu zwiększenie zdolności sektora do opierania się, reagowania i odzyskiwania po incydentach cybernetycznych.
W momencie, gdy instytucje finansowe wciąż borykają się ze zrozumieniem złożoności GDPR (Ogólne rozporządzenie o ochronie danych), jak przygotują się na ten nowy regulacyjny gigant? Odpowiedź może leżeć w tym, jak wykorzystają już istniejące ramy zgodności oraz zainwestują w skoncentrowany rozwój umiejętności.
Instytucje finansowe nie powinny postrzegać DORA jako konieczności budowania wszystkiego od podstaw. Wiele zasad, które stanowią fundament innych wymogów zgodności, już istnieje. Jednak DORA wprowadza nowe, specyficzne dla sektora finansowego wymagania w zakresie operacyjnej odporności.
Zakres DORA jest szeroki, obejmuje wszystko, od dostawców usług chmurowych po analityków danych. Wiele międzynarodowych firm może napotkać trudności z harmonizacją swojego podejścia w różnych jurysdykcjach UE. Co więcej, DORA wprowadza bezpośredni nadzór Europejskich Organów Nadzoru nad „krytycznymi” dostawcami zewnętrznych usług ICT.
Zbliżający się termin 2025 roku wymaga szybkich działań ze strony instytucji finansowych. Ocena istniejących możliwości, identyfikacja luk oraz opracowanie planów wdrożeniowych będą priorytetowe. Kluczowe będzie również wykorzystanie już istniejących mechanizmów zgodnych z GDPR oraz inwestowanie w rozwój kadry pracowniczej. Organizacje powinny również szukać wsparcia ekspertów branżowych, aby skutecznie poruszać się w przestrzeni regulacji DORA.
Równocześnie z wdrażaniem tych regulacji, podnoszenie kwalifikacji pracowników staje się kluczowe. Tutaj dużą rolę odgrywają organizacje, takie jak ISACA, oferujące certyfikaty. Certyfikaty takie jak CISA, CISM i CRISC ściśle odpowiadają wymaganiom DORA, dając specjalistom niezbędną wiedzę do wdrożenia i zarządzania solidnymi ramami zarządzania ryzykiem ICT.
Przykładowo, certyfikat CISA (Certified Information Systems Auditor) umożliwia specjalistom przeprowadzanie testów odporności cyfrowej — kluczowego aspektu DORA, audytowanie wdrożenia ram zgodnych z DORA oraz wspieranie zarządzania ryzykiem ICT. Certyfikat CRISC (Certified in Risk and Information Systems Control) pomaga w holistycznym zarządzaniu ryzykiem ICT oraz ryzykiem związanym z dostawcami zewnętrznymi ICT, które są również kluczowymi aspektami DORA. Z kolei certyfikat CISM (Certified Information Security Manager) koncentruje się na zarządzaniu incydentami i raportowaniu, co stanowi kolejny istotny wymóg regulacji DORA.
Droga do zgodności z DORA może być wyzwaniem, ale również stanowi szansę. Przyjmując zasady DORA, instytucje finansowe mogą nie tylko spełnić wymagania regulacyjne, ale także wzmocnić swoją ogólną odporność operacyjną w coraz bardziej cyfrowym świecie.
Stojąc na progu nowej ery regulacyjnej, jedno jest pewne: w dzisiejszym świecie finansów UE, cyfrowa odporność nie jest już tylko kwestią techniczną, ale biznesowym priorytetem. Czas rozpocząć przygotowania na cyfrowy świt DORA.
Aby ułatwić spełnienie wymogów DORA, CTS oferuje profesjonalne szkolenia prowadzone przez doświadczonych specjalistów w dziedzinie cyberbezpieczeństwa. Udział w tych szkoleniach umożliwia zdobycie praktycznej wiedzy i umiejętności, które wspierają organizacje w skutecznym zarządzaniu zagrożeniami oraz zapewnieniu zgodności z nowymi przepisami DORA.