Šta je Zakon o digitalnoj operativnoj otpornosti (DORA)?
Zakon o digitalnoj operativnoj otpornosti (DORA) je regulatorni okvir koji je uspostavila Europska unija s ciljem poboljšanja otpornosti finansijskih subjekata na digitalne i sajber pretnje. Počeo je od zabrinutosti zbog povećanja digitalnih ovisnosti i sajber napada, uredba DORA zahtijeva stroge protokole za upravljanje digitalnim rizicima.
DORA osigurava da financijski subjekti mogu izdržati, reagovati i oporaviti se od poremećaja u IKT-u. Zakon obuhvaća različite elemente, kao što su izvješćivanje o incidentima, strategije upravljanja rizikom i testiranje otpornosti, kako bi se zaštitile usluge na koje se potrošači oslanjaju.
Možete pronaći službeni tekst DORA zakonodavstvaOvde.
Ovo je dio niza članaka oOporavak u oblaku.
Rezervirajte besplatnu demonstraciju danas i počnite optimizovati strategiju zaštite podataka pomoću N2W na AWS Marketplace-u.
Rezervirajte besplatnu demonstraciju danas i počnite optimizovati strategiju zaštite podataka pomoću N2W na AWS Marketplace-u.
In this article:
- Ciljevi i svrha DORA
- Kada DORA propisi stupaju na snagu?
- Ključne reči Dora
- Mehanizmi izvršenja i sankcije
- DORA usklađenost u različitim regijama
- Najbolje prakse za postizanje usklađenosti sa DORA
Ciljevi i svrha DORA
Glavni cilj DORA-e je jačanje otpornosti financijskih sistema osiguravanjem da entiteti mogu izdržati digitalne poremećaje. Cilj je standardizovati zahteve operativne otpornosti širom EU, stvarajući ujednačeno regulatorno okruženje. Cilj DORA-e nije samo zaštita financijske stabilnosti već i povećanje povjerenja potrošača osiguravanjem dosljedne dostupnosti usluga.
DORA takođe nastoji poboljšati vrijeme reakcije i oporavka financijskih institucija u slučaju neuspjeha tehnologije ili sajber napada. Zahtijevajući redovita testiranja strategija digitalne otpornosti, nastoji identificirati ranjivosti prije nego što postanu značajne prijetnje. DORA potiče razmjenu informacija među financijskim entitetima kako bi ojačao kolektivne sigurnosne napore.
Kada DORA propisi stupaju na snagu?
Zakon o digitalnoj operativnoj otpornosti (DORA) zvanično je stupio na snaguJanuary 16, 2023Finansijski subjekti unutar EU dobili su, međutim, prijelazno razdoblje kako bi se pripremili za potpuno poštovanje njegovih zahtjeva.fully applicable on January 17, 2025.
Ovo dvogodišnje pripremno razdoblje omogućuje organizacijama da usklade svoje sisteme, procese i okvire za upravljanje rizicima s novim regulatornim standardima.
Ključne reči Dora
Okvir za upravljanje rizicima IKT
Okvir za upravljanje rizicima u IKT-u je ključan za zahtjeve DORA-e. Ovaj okvir zahtijeva identifikaciju, procjenu i ublažavanje rizika u IKT-u u cijeloj financijskoj instituciji. Zahtijeva od entiteta da usvoje proaktivan pristup upravljanju rizicima, osiguravajući da se rješavaju sve potencijalne ranjivosti. Okvir bi trebao obuhvatiti upravljanje, unutarnju kontrolu i kontinuirano praćenje kako bi se ICT rizici učinkovito upravljali i ublažavali.
Okvir za upravljanje rizicima u IKT-u trebao bi takođe uključivati redovne revizije i ažuriranja kako bi se uskladio s razvijajućim prijetnjama. Očekuje se da će financijski subjekti promicati kulturu osviještenosti o rizicima i integrirati upravljanje rizicima u šire organizacijske strategije.
✅ Pro Savjet: N2W pomaže u ublažavanju ICT rizika kroz automatsku rezervnu kopiju, brzo oporavak i proaktivno praćenje.
Obaveze izvješćivanja o incidentima
DORA primjenjuje obveze izvješćivanja o incidentima na finansijske subjekte i njihove pružatelje IKT-a. Ove obveze osiguravaju pravovremeno i standardizirano izvješćivanje o incidentima povezanim s IKT-om koji mogu utjecati na kontinuitet usluge.
Komponenta izvješćivanja o incidentima DORA također ima za cilj jačanje industrijske otpornosti omogućavanjem regulatornim tijelima da identifikuju šire sistemske rizike i trendove.Djelovanjem informacija o incidentima i ranjivostima, financijske institucije mogu surađivati na jačanju odbrane od sličnih prijetnji.DORA promiče kulturu otvorenosti i saradnje, što u konačnici doprinosi jačanju digitalne sigurnosti u finansijskom sektoru.
✅ Pro Savjet: Automatizovane mogućnosti upozorenja N2W-a pojednostavljuju prijavljivanje incidenata i poboljšavaju usklađenost sa vremenskim redovima DORA-e.
Digitalno testiranje operativne otpornosti
DORA poziva na testiranje digitalne operativne otpornosti, osiguravajući da financijski subjekti mogu izdržati i oporaviti se od poremećaja u IKT-u.To uključuje redovno testiranje sistema i postupaka kako bi se procijenila njihova robusnost i identificirale slabosti.Testiranje obuhvata razne scenarije, uključujući potencijalne sajber napade i tehnološke neuspjehe, kako bi se subjekti pripremili za izazove u stvarnom svijetu.
Kroz testiranje digitalne operativne otpornosti institucije dobijaju uvid u efikasnost svojih strategija upravljanja rizicima i oporavka. Testiranje bi trebalo provoditi u različitim uslovima i prilagoditi prema potrebi kako bi se prilagodile novim prijetnjama. Primjenom opsežnih testova, DORA pomaže osigurati da financijski subjekti održavaju visoku razinu spremnosti i operativnu kontinuitet, jačajući ukupnu otpornost na digitalne prijetnje.
✅ Pro Savjet: N2W podržava testiranje otpornosti omogućavanjem automatskih vježbi za oporavak kako bi se osiguralo da su rezervne kopije uvijek obnovljive.
Upravljanje ICT rizicima treće strane
Upravljanje rizicima trećih strana povezanima sa IKT-om važan je aspekt DORA-e. Financijske institucije su dužne provoditi due diligence i procjene rizika svojih pružatelja usluga trećih strana. Ovaj proces uključuje provjeru sposobnosti pružatelja usluga za održavanje operativne otpornosti i osiguravanje njihove strategije upravljanja rizicima usklađene s onima financijske institucije.
DORA naglašava potrebu za jasnim ugovornim sporazumima koji opisuju uloge, odgovornosti i očekivanja pružatelja usluga trećih strana. Finansijski subjekti takođe moraju osigurati kontinuirano praćenje usklađenosti svojih pružatelja usluga sa standardima otpornosti.
✅ Pro Savjet: Za razliku od rešenja zasnovanih na SaaS-u, N2W radi u potpunosti unutar vašeg AWS ili Azure okruženja. Ovaj dizajn osigurava da nikada nemamo pristup vašim podacima o klijentima, eliminirajući rizik od izlaganja preko platforme treće strane.
Protokol o deljenju informacija
DORA ovlašćuje uspostavljanje protokola za razmjenu informacija između finansijskih subjekata i regulatornih tijela.Ovi protokoli olakšavaju pravovremenu razmjenu kritičnih informacija o sajber pretnjama i incidentima, promičući koordinirani pristup odbrani širom finansijskog sektora.
Učinkovita razmjena informacija u okviru DORA zahtijeva od finansijskih subjekata da prevladaju tradicionalne prepreke konkurenciji i povjerljivosti. Promicanjem otvorenosti, DORA potiče okruženje za saradnju u kojem subjekti mogu iskoristiti zajedničke uvidove kako bi ojačali svoje odbrane.
Pogledajte naše savjete stručnjaka za brzu DORA usklađenost
Rezervirajte besplatnu demonstraciju danas i počnite optimizovati strategiju zaštite podataka pomoću N2W na AWS Marketplace-u.
Mehanizmi izvršenja i sankcije
DORA uvodi stroge mehanizme izvršenja kako bi se osigurala usklađenost i ojačala digitalna operativna otpornost financijskih entiteta.
Finansijske kazne za neusklađenost
DORA nameće novčane kazne koje se razlikuju u zavisnosti od ozbiljnosti i prirode povrede. Institucije pronađene u povredi mogu biti kažnjene kaznama do 2% od ukupnog godišnjeg globalnog prometa ili 1% od prosječnog dnevnog prometa širom svijeta. Za pojedince, kazne mogu dostići do 1.000.000 €, dok kritični treći pružatelji ICT-a suočavaju se sa još većim kaznama, do 5.000.000 € ili 500.000 € za pojedince, ako ne ispunjavaju standarde DORA-e.
Da bi se ove kazne stavile u perspektivu, one su strože od onih za određene regulatorne okvire, kao što je GDPR, koji u najtežim slučajevima nameće kazne do 20.000.000 eura ili 4% ukupnog globalnog prometa.
Nadzor i ovlast za izricanje kazni
Kao što je navedeno u članku 97, ta tijela imaju nadzorne i istražne ovlasti, uključujući ovlast za nametanje administrativnih sankcija i objavljivanje obavijesti o povredama kako bi se osigurala transparentnost i odgovornost.
Kritični treći pružatelji ICT usluga izvan EU moraju uspostaviti podružnicu unutar EU u roku od 12 mjeseci od imenovanja kako bi se olakšao nadzor i izvršenje.
Faktori koji utiču na ozbiljnost kazne
Prilikom određivanja kazni nadležna tijela uzimaju u obzir različite čimbenike navedene u članku 51., uključujući:
- Priroda i ozbiljnost povrede
- Trajanje neusklađenosti
- Finansijski kapaciteti entiteta
- Potencijalni dobitak ili gubitak koji proizlazi iz povrede
- Razina suradnje entiteta sa nadzornim tijelima
Države članice i kaznene sankcije
DORA omogućuje državama članicama da nametnu kaznene sankcije za teška kršenja, kako je navedeno u članku 52. Koordinacija sa sudskim i kaznenim pravosudnim tijelima osigurava učinkovito izvršenje na nacionalnoj razini.
DORA usklađenost u različitim regijama
Kako se DORA primjenjuje u Velikoj Britaniji?
Iako je Zakon o digitalnoj operativnoj otpornosti (DORA) propis EU-a, njegov utjecaj seže izvan EU-a, posebno utječući na financijski sektor Ujedinjene Kraljevine. financijske institucije sa sjedištem u Ujedinjenom Kraljevstvu i pružatelji IKT-a koji interaktuju s tržištima EU-a moraju se uskladiti sa standardima DORA-e kako bi održali regulatornu usklađenost i poticali povjerenje sa evropskim partnerima i klijentima.
Mikropoduzeća, sa manje od deset zaposlenih, imaju koristi od fleksibilnijih zahtjeva u okviru DORA-e, kao što su testovi otpornosti zasnovani na riziku i periodične revizije okvira rizika umjesto rigidnih rasporeda.
DORA se usklađuje sa postojećim standardima operativne otpornosti Ujedinjenog Kraljevstva, uključujući smjernice FCA-e PS21/3 koje se fokusiraju na identifikaciju važnih poslovnih usluga, kartiranje ovisnosti i simulirane testove napada. Međutim, usklađenost sa propisima Ujedinjenog Kraljevstva ne jamči potpuno pridržavanje DORA-e.
Ujedinjena Kraljevina može usvojiti sličan regulatorni okvir u budućnosti kako bi povećala digitalnu otpornost u svom finansijskom sektoru. Potencijalna verzija DORA u Velikoj Britaniji vjerojatno bi se usredotočila na upravljanje rizicima povezanim s tehnologijom i osiguravanje stabilnosti u finansijskim uslugama.
Da li se DORA primjenjuje izvan EU?
DORA prvenstveno ima za cilj financijske subjekte i pružatelje usluga IKT-a unutar EU-a, međutim, njegov doseg se proširuje na pružatelje IKT-a izvan EU-a ako su njihove usluge ključne za poslovanje financijskih institucija sa sjedištem u EU-u.
Ova ekstrateritorijalna primjena znači da pružatelji usluga izvan EU moraju poštovati DORA kada služe financijskim entitetima EU.
Razmatranja za multinacionalne korporacije
Multinacionalne korporacije koje posluju u različitim jurisdikcijama moraju upravljati različitim regulatornim pejzažima. Za one s poslovima ili klijentima unutar EU, usklađivanje s DORA je neophodno.
- Regulatorno usklađivanje: osiguravanje da prakse upravljanja rizicima u IKT-u i operativne otpornosti zadovoljavaju standarde DORA-e zajedno s drugim važećim propisima, kao što je okvir operativne otpornosti Ujedinjenog Kraljevstva.
- Ugovorne obaveze: Preispitivanje i ažuriranje ugovora s trećim stranama pružateljima usluga IKT kako bi se uključile odredbe koje su u skladu sa DORA, posebno u vezi sa upravljanjem rizicima i prijavljivanjem incidenata.
- Operativne prilagodbe: Uvođenje potrebnih promjena u ICT sistemima i procesima kako bi se zadovoljili DORA zahtjevi, što može uključivati značajno raspodjelu resursa i strateško planiranje.
- Praćenje napretka: Biti obavešten o regulatornim promjenama u svim operativnim regijama kako bi se osigurala stalna usklađenost i da se brzo prilagode novim zahtjevima.
Najbolje prakse za postizanje usklađenosti sa DORA
Razvoj strategije upravljanja rizikom
Razvoj strategije upravljanja rizikom je temelj za usklađenost DORA. To uključuje mapiranje svih kritičnih ovisnosti o IKT-u i identifikaciju potencijalnih rizika za kontinuitet poslovanja. Finansijski subjekti moraju implementirati sistematski pristup koji uključuje redovne procjene rizika i usvajanje najboljih praksi u industriji. Ova strategija treba da obuhvata upravljanje, unutarnju kontrolu i kontinuirano praćenje kako bi se osigurala otpornost na poremećaje.
Proaktivno ažuriranje strategija upravljanja rizikom kako bi se prilagodile novim prijetnjama je takođe ključno. Finansijski subjekti moraju promicati kulturu osviještenosti o riziku među zaposlenima, integrirajući upravljanje rizikom u poslovne ciljeve. Time osiguravaju da upravljanje rizikom postane sastavni deo operativnih tokova rada. Redovne obuke i vežbe mogu pomoći osoblju da ostane spremno i odgovorno.
2. uspostavljanje postupaka odgovora na incidente
Postupci odgovora na incidente ključni su za postizanje usklađenosti sa DORA-om. Finansijski subjekti moraju uspostaviti planove koji opisuju korake za brzo otkrivanje, izvješćivanje i ublažavanje incidenata IKT-a. Ovi postupci trebaju uključivati jasne komunikacijske kanale i unaprijed određene uloge za članove tima, osiguravajući brzu reakciju i akcije oporavka. Redovne simulacije i obuke su ključne za unapređenje tih postupaka i pripremu timova za izazove u stvarnom svijetu.
Standardiziranjem protokola za prijavljivanje incidenata, subjekti osiguravaju dosljednost i olakšavaju bržu intervenciju regulatora i drugih dionika.
Provedite redovne testove otpornosti
Finansijski subjekti moraju sistematski testirati svoje sustave i procese kako bi procijenili svoju sposobnost da izdrže poremećaje u IKT-u. Ti testovi trebaju uključivati simulacije potencijalnih scenarija kao što su sajber napadi, tehnički neuspjesi i prirodne katastrofe. Identifikacijom slabosti kroz redovno testiranje, subjekti mogu poduzeti korektivne akcije kako bi ojačali svoje mjere otpornosti.
Testiranje bi trebalo biti sveobuhvatno i uključivati unutrašnje sisteme i interakcije sa trećim stranama kako bi se osigurala otpornost od kraja do kraja. entiteti također moraju ažurirati svoje protokole za testiranje kako bi odražavali nove prijetnje i tehnološke promjene.
Jačanje upravljanja rizicima treće strane
DORA naglašava upravljanje rizicima treće strane, zahtijevajući od finansijskih institucija da usko upravljaju svojim interakcijama sa pružateljima usluga IKT. To uključuje provođenje dužne pažnje, redovne revizije performansi i procjene rizika. Jasni ugovorni sporazumi koji opisuju očekivanja i odgovornosti su ključni, osiguravajući da pružatelji usluga zadovoljavaju standarde otpornosti DORA.
Finansijski subjekti bi trebali uspostaviti kontinuirano praćenje i komunikaciju sa trećim stranama kako bi se brzo riješili svi problemi. Poticanjem snažnih partnerstava i saradnje, institucije mogu uskladiti strategije otpornosti i postići uzajamnu usklađenost sa DORA. Poticanje transparentnosti i odgovornosti unutar tih odnosa dodatno jača financijski ekosustav, smanjujući potencijalni utjecaj poremećaja na kritične usluge.
Dijeljenje informacija među kolegama
Omogućavanje razmjene informacija među kolegama ključna je praksa u okviru DORA. Uspostavom protokola za razmjenu informacija, finansijski subjekti i njihovi pružatelji ICT-a mogu zajednički rješavati digitalne prijetnje i poboljšati svoje strategije otpornosti.
Važno je prevazići prepreke tržišnom natjecanju i usvojiti kolektivni pristup obaveštenju o prijetnjama. Razne grupe dionika, uključujući regulatorna tijela i udruženja industrije, mogle bi učestvovati u inicijativama za razmjenu informacija. Ovi kolektivni napori idu daleko u stvaranju snažnijeg, sigurnijeg finansijske industrije koja može učinkovito da se suprotstavi digitalnim neprijateljstvima.
Usklađivanje sa zahtevima DORA Backup i Recovery sa N2W
U N2W-u nismo stranci u stalno rastućem kontekstu usaglašenosti. Od 2012. godine partner smo s finansijskim institucijama kako bismo odgovorili na njihove najstrože regulatorne zahtjeve – od upravljanja rizicima i izvješćivanja o incidentima u oblasti IKT-a do otpornosti i kontinuiteta poslovanja. Naše namjerno izgrađeno rešenje radi u potpunosti unutar vašeg AWS ili Azure okruženja, dajući vam potpunu kontrolu nad vašim podacima i eliminirajući izloženost trećih strana. Sa automatskim planiranjem rezervnih kopija, trenutnim oporavkom, nepromjenjivosti zasnovanom na politikama, automatskim vježbama i granularnim izvješćivanjem o usaglašenosti, N2W vam pomaže da označite svako polje u DORA-
Spremni da racionalizirate svoje napore u pogledu usklađenosti?
Rezervirajte besplatnu demonstraciju danas i počnite optimizovati strategiju zaštite podataka pomoću N2W na AWS Marketplace-u.
ČovekPreuzmite našu besplatnu DORA kontrolnu listu za usklađenostosigurati da je vaša organizacija spremna za svaki aspekt propisa – od upravljanja rizicima IKT-a do izvješćivanja o incidentima. Ostanite otporni, sigurni i u potpunosti u skladu s N2W.
Written byUslovi :Sebastijan Straub
Napisano odSebastijan Straub
