DORA Uredba objašnjena - plus besplatna kontrolna lista za usklađenost

Što je Zakon o digitalnoj operativnoj otpornosti (DORA)?

Zakon o digitalnoj operativnoj otpornosti (DORA) regulatorni je okvir koji je uspostavila Europska unija s ciljem poboljšanja otpornosti financijskih subjekata na digitalne i kibernetičke prijetnje.Počevši od zabrinutosti zbog povećanja digitalnih ovisnosti i kibernetičkih napada, Uredba DORA obvezuje stroge protokole za upravljanje digitalnim rizicima.Uspostavljanjem jedinstvenih pravila diljem EU-a, Zakon se usredotočuje na smanjenje operativnih poremećaja i jačanje digitalne otpornosti financijskih i ICT sustava uključenih u usluge.

DORA osigurava da financijski subjekti mogu izdržati, reagirati i oporaviti se od poremećaja u IKT-u. Zakon obuhvaća različite elemente, kao što su izvješćivanje o incidentima, strategije upravljanja rizikom i testiranje otpornosti, kako bi se zaštitile usluge na koje se potrošači oslanjaju.

Možete pronaći službeni tekst DORA zakonodavstvaovdje.

Ovo je dio niza članaka oOporavak u oblaku.

Rezervirajte svoju besplatnu demonstraciju danas i počnite optimizirati strategiju zaštite podataka s N2W na AWS Marketplaceu.

In this article:

• Ciljevi i svrha Dora
• Kada DORA propisi stupaju na snagu?
• Ključne riječi Dora
• Mehanizmi provedbe i sankcije
• DORA sukladnost u različitim regijama
• Najbolje prakse za postizanje sukladnosti s DORA-om

Ciljevi i svrha Dora

Primarni cilj DORA-e je jačanje otpornosti financijskih sustava osiguravanjem da subjekti mogu izdržati digitalne poremećaje. Cilj je standardizirati zahtjeve operativne otpornosti diljem EU-a, stvarajući ujednačeno regulatorno okruženje.

DORA također nastoji poboljšati vrijeme reakcije i oporavka financijskih institucija u slučaju neuspjeha tehnologije ili kibernapada. Zahtijevajući redovita testiranja strategija digitalne otpornosti, nastoji identificirati ranjivosti prije nego što postanu značajne prijetnje. DORA potiče razmjenu informacija među financijskim subjektima kako bi ojačao kolektivne sigurnosne napore.

Kada DORA propisi stupaju na snagu?

Zakon o digitalnoj operativnoj otpornosti (DORA) službeno je stupio na snaguJanuary 16, 2023Nakon objave u Službenom listu EU-a 27. prosinca 2022. financijskim subjektima unutar EU-a odobreno je prijelazno razdoblje kako bi se pripremili za potpuno ispunjavanje njegovih zahtjeva.fully applicable on January 17, 2025.

Ovo dvogodišnje pripremno razdoblje omogućuje organizacijama da usklade svoje sustave, procese i okvire za upravljanje rizicima s novim regulatornim standardima.

Ključne riječi Dora

Okvir za upravljanje rizicima IKT

Okvir za upravljanje rizicima u području IKT-a središnji je dio zahtjeva DORA-e.Ovaj okvir zahtijeva identifikaciju, procjenu i ublažavanje rizika u području IKT-a u cijeloj financijskoj instituciji.On zahtijeva od subjekata da donesu proaktivan pristup upravljanju rizicima, osiguravajući da se rješavaju sve potencijalne ranjivosti.Okvir bi trebao obuhvaćati upravljanje, unutarnju kontrolu i kontinuirano praćenje kako bi se učinkovito upravljalo i ublažilo rizike u području IKT-a.

Okvir za upravljanje rizicima u području IKT-a trebao bi također uključivati redovite revizije i ažuriranja kako bi se uskladio s razvojem prijetnji.Očekuje se da će financijski subjekti promicati kulturu osviještenosti o riziku i integrirati upravljanje rizicima u šire organizacijske strategije.

✅ Pro Savjet: N2W pomaže ublažiti ICT rizike kroz automatiziranu backup, brzo oporavak i proaktivno praćenje.

Obveze izvješćivanja o incidentu

DORA primjenjuje obveze izvješćivanja o incidentima na financijske subjekte i njihove pružatelje IKT-a. Te obveze osiguravaju pravodobno i standardizirano izvješćivanje o incidentima povezanim s IKT-om koji bi mogli utjecati na kontinuitet usluge.

Komponenta izvješćivanja o incidentima DORA-e također ima za cilj jačanje otpornosti u cijeloj industriji omogućavanjem regulatornim tijelima da identificiraju šire sustavne rizike i trendove.Djelovanjem informacija o incidentima i ranjivostima, financijske institucije mogu surađivati na jačanju obrane od sličnih prijetnji.DORA promiče kulturu otvorenosti i suradnje, što u konačnici doprinosi povećanju digitalne sigurnosti u cijelom financijskom sektoru.

✅ Pro Savjet: Automatizirane mogućnosti upozorenja N2W-a pojednostavljuju izvješćivanje o incidentima i poboljšavaju usklađenost s vremenskim okvirima DORA-e.

Digitalno testiranje operativne otpornosti

DORA poziva na testiranje digitalne operativne otpornosti, osiguravajući da financijski subjekti mogu izdržati i oporaviti se od poremećaja u IKT-u.To uključuje redovito testiranje sustava i postupaka kako bi se procijenila njihova robusnost i identificirale slabosti.

Kroz testiranje digitalne operativne otpornosti institucije dobivaju uvid u učinkovitost svojih strategija upravljanja rizicima i oporavka.Testiranje bi trebalo provoditi u različitim uvjetima i prilagoditi prema potrebi kako bi se prilagodile novim prijetnjama.Dora primjenom opsežnih testova pomaže osigurati da financijski subjekti održavaju visoku razinu pripravnosti i operativnu kontinuitet, jačajući ukupnu otpornost na digitalne prijetnje.

✅ Pro Savjet: N2W podržava testiranje otpornosti omogućavanjem automatskih vježbi za oporavak kako bi se osiguralo da su sigurnosne kopije uvijek oporavljive.

Upravljanje ICT rizicima trećih strana

Upravljanje rizicima trećih strana povezanima s informacijskom i komunikacijskom tehnologijom važan je aspekt DORA-e. Financijske institucije obvezne su provoditi due diligence i procjene rizika svojih pružatelja usluga trećih strana. Ovaj proces uključuje provjeru sposobnosti pružatelja usluga za održavanje operativne otpornosti i osiguravanje njihove strategije upravljanja rizicima usklađene s onima financijske institucije.

DORA naglašava potrebu za jasnim ugovornim sporazumima koji opisuju uloge, odgovornosti i očekivanja pružatelja usluga trećih strana. Financijski subjekti također moraju osigurati kontinuirano praćenje usklađenosti svojih pružatelja usluga sa standardima otpornosti.

✅ Pro Savjet: Za razliku od rješenja zasnovanih na SaaS-u, N2W djeluje u cijelosti unutar vašeg AWS ili Azure okruženja.

Protokol o dijeljenju informacija

DORA ovlašćuje uspostavu protokola za razmjenu informacija među financijskim subjektima i regulatornim tijelima.Ovi protokoli olakšavaju pravodobnu razmjenu kritičnih informacija o kibernetičkim prijetnjama i incidentima, promičući koordinirani pristup obrani diljem financijskog sektora.

Učinkovita razmjena informacija u okviru DORA-e zahtijeva od financijskih subjekata da prevladaju tradicionalne prepreke tržišnom natjecanju i povjerljivosti. Promicanjem otvorenosti, DORA potiče okruženje suradnje u kojem subjekti mogu iskoristiti zajedničke uvidove kako bi ojačali svoje obrane.

Pogledajte naše savjete stručnjaka za brzu DORA usklađenost

Rezervirajte svoju besplatnu demonstraciju danas i počnite optimizirati strategiju zaštite podataka s N2W na AWS Marketplaceu.

Mehanizmi provedbe i sankcije

DORA uvodi stroge mehanizme izvršenja kako bi osigurala usklađenost i ojačala digitalnu operativnu otpornost financijskih subjekata.

Financijske kazne za neusklađenost

DORA nametne novčane kazne koje se razlikuju ovisno o ozbiljnosti i prirodi povrede. Institucije u kršenju mogu biti kažnjene do 2% ukupnog godišnjeg svjetskog prometa ili 1% prosječnog dnevnog prometa diljem svijeta. Za pojedince, kazne mogu doseći do 1.000.000 eura, dok kritični treći pružatelji ICT-a suočavaju se s još većim kaznama, do 5.000.000 eura ili 500.000 eura za pojedince, ako ne ispunjavaju standarde DORA-e.

Da bi se te kazne stavile u perspektivu, one su strože od onih za određene regulatorne okvire, kao što je GDPR, koji u najtežim slučajevima nameće novčane kazne do 20 milijuna eura ili 4% ukupnog globalnog prometa.

Nadzor i ovlast za izricanje kazni

Kao što je navedeno u članku 97., ta tijela imaju nadzorne i istražne ovlasti, uključujući ovlast nametanja administrativnih sankcija i objavljivanja obavijesti o povredama kako bi se osigurala transparentnost i odgovornost.

Kritični treći pružatelji usluga IKT-a izvan EU-a moraju uspostaviti podružnicu unutar EU-a u roku od 12 mjeseci od imenovanja kako bi se olakšali nadzor i provedba.

Čimbenici koji utječu na težinu kazne

Prilikom određivanja kazni nadležna tijela uzimaju u obzir različite čimbenike navedene u članku 51., uključujući:

• Priroda i težina povrede
• Trajanje neusklađenosti
• Financijski kapacitet subjekta
• Potencijalni dobit ili gubitak koji proizlaze iz povrede
• Razina suradnje subjekta s nadzornim tijelima

Države članice i kaznene sankcije

DORA omogućuje državama članicama da nametnu kaznene sankcije za teška kršenja, kako je navedeno u članku 52. Koordinacija s pravosudnim i kaznenim pravosudnim tijelima osigurava učinkovitu provedbu na nacionalnoj razini.

DORA sukladnost u različitim regijama

Kako se DORA primjenjuje u Velikoj Britaniji?

Iako je Zakon o digitalnoj operativnoj otpornosti (DORA) propis EU-a, njegov utjecaj prelazi granice EU-a, osobito utječući na financijski sektor Ujedinjene Kraljevine. financijske institucije i pružatelji IKT-a sa sjedištem u Ujedinjenom Kraljevstvu koji surađuju s tržištima EU-a moraju se uskladiti sa standardima DORA-e kako bi se održala usklađenost s propisima i ojačalo povjerenje s europskim partnerima i klijentima.

Mikro poduzeća, s manje od deset zaposlenika, imaju koristi od fleksibilnijih zahtjeva u okviru DORA-e, kao što su testiranje otpornosti na temelju rizika i periodični pregledi okvira rizika umjesto rigidnih rasporeda.

DORA se usklađuje s postojećim standardima operativne otpornosti u Ujedinjenom Kraljevstvu, uključujući smjernice FCA-e PS21/3 koje se usredotočuju na identifikaciju važnih poslovnih usluga, mape ovisnosti i simulirane testove napada.

Ujedinjena Kraljevina može usvojiti sličan regulatorni okvir u budućnosti kako bi povećala digitalnu otpornost u svom financijskom sektoru. Potencijalna verzija DORA-e u Ujedinjenom Kraljevstvu vjerojatno bi se usredotočila na upravljanje rizicima povezanim s tehnologijom i osiguravanje stabilnosti u financijskim uslugama.

Je li DORA primjenjiva izvan EU-a?

DORA se prvenstveno odnosi na financijske subjekte i pružatelje usluga IKT-a unutar EU-a, međutim, njegov se doseg proširuje na pružatelje usluga IKT-a izvan EU-a ako su njihove usluge ključne za poslovanje financijskih institucija u EU-u.

Ova ekstrateritorijalna primjena znači da pružatelji usluga izvan EU-a moraju poštivati DORA prilikom pružanja usluga financijskim subjektima EU-a.

Razmatranja za multinacionalne korporacije

Multinacionalne korporacije koje posluju u različitim jurisdikcijama moraju se uklopiti u različite regulatorne krajolike. Za one s poslovima ili klijentima unutar EU-a, usklađivanje s DORA-om je ključno.

• Regulatorno usklađivanje: osiguravanje da prakse upravljanja rizicima u području IKT-a i operativne otpornosti zadovoljavaju norme DORA-e zajedno s drugim primjenjivim propisima, kao što je okvir operativne otpornosti Ujedinjenog Kraljevstva.
• Ugovorne obveze: Preispitivanje i ažuriranje ugovora s trećim pružateljima usluga IKT-a kako bi se uključile odredbe koje su u skladu s DORA-om, posebno u pogledu upravljanja rizicima i izvješćivanja o incidentima.
• Operativne prilagodbe: Uvođenje potrebnih promjena u ICT sustavima i procesima kako bi se zadovoljili zahtjevi DORA-e, što može uključivati značajno raspodjelu resursa i strateško planiranje.
• Praćenje napretka: Ostati informiran o regulatornim promjenama u svim operativnim regijama kako bi se osigurala stalna usklađenost i brzo prilagoditi novim zahtjevima.

Najbolje prakse za postizanje sukladnosti s DORA-om

Razvoj strategije upravljanja rizicima

Razvoj strategije upravljanja rizikom ključan je za usklađenost DORA-e.To uključuje mapiranje svih kritičnih ovisnosti o IKT-u i identifikaciju potencijalnih rizika za kontinuitet poslovanja.Financijski subjekti trebaju provoditi sustavni pristup koji uključuje redovite procjene rizika i usvajanje najboljih praksi u industriji.Ta strategija treba uključivati upravljanje, unutarnje kontrole i kontinuirano praćenje kako bi se osigurala otpornost na poremećaje.

Proaktivno ažuriranje strategija upravljanja rizikom kako bi se prilagodile novim prijetnjama također je ključno. Financijski subjekti moraju promicati kulturu osviještenosti o riziku među zaposlenicima, integrirajući upravljanje rizikom u poslovne ciljeve.

2. uspostaviti postupke odgovora na incidente

Postupci odgovora na incidente ključni su za postizanje usklađenosti s DORA-om. Financijski subjekti moraju uspostaviti planove koji opisuju korake za brzo otkrivanje, izvješćivanje i ublažavanje ICT incidenata. Ti postupci trebaju uključivati jasne komunikacijske kanale i unaprijed određene uloge za članove tima, osiguravajući brzu reakciju i akcije oporavka.

Standardiziranjem protokola izvješćivanja o incidentima, subjekti osiguravaju dosljednost i olakšavaju bržu intervenciju regulatornih tijela i drugih dionika.

Redovito provođenje testova otpornosti

Provođenje redovitih testova otpornosti ključan je dio usklađenosti DORA-e. Financijski subjekti moraju sustavno testirati svoje sustave i procese kako bi procijenili svoju sposobnost otpornosti na poremećaje u IKT-u.Ovi testovi trebaju uključivati simulacije potencijalnih scenarija kao što su cyber napadi, tehnički neuspjesi i prirodne katastrofe.Identificirajući slabosti putem redovitih testova, subjekti mogu poduzeti korektivne mjere za jačanje svojih mjera otpornosti.

Testiranje bi trebalo biti sveobuhvatno i uključivati unutarnje sustave i interakcije s trećim stranama kako bi se osigurala otpornost od kraja do kraja. entiteti također moraju ažurirati svoje protokole za testiranje kako bi odražavali nove prijetnje i tehnološke promjene.

Jačanje upravljanja rizicima trećih strana

DORA naglašava upravljanje rizicima trećih strana, što zahtijeva od financijskih institucija da usko upravljaju svojim interakcijama s pružateljima ICT usluga.To uključuje provođenje dužne pažnje, redovite revizije uspješnosti i procjene rizika.

Financijski subjekti trebaju uspostaviti kontinuirano praćenje i komunikaciju s pružateljima usluga trećih strana kako bi se brzo riješili svi problemi.Poticanjem snažnih partnerstava i suradnje, institucije mogu uskladiti strategije otpornosti i postići uzajamnu usklađenost s DORA-om.Poticanje transparentnosti i odgovornosti unutar tih odnosa dodatno jača financijski ekosustav, smanjujući potencijalni utjecaj poremećaja na kritične usluge.

Dijeljenje informacija među sugrađanima

Omogućavanje razmjene informacija među vršnjacima ključna je praksa u okviru DORA-e. Uspostavljanjem protokola za razmjenu informacija, financijski subjekti i njihovi pružatelji usluga IKT-a mogu zajednički rješavati digitalne prijetnje i poboljšati svoje strategije otpornosti.

Važno je prevladati konkurentne prepreke i usvojiti kolektivni pristup obavješćivanju o prijetnjama. Razne skupine dionika, uključujući regulatorna tijela i udruženja industrije, mogle bi sudjelovati u inicijativama razmjene informacija.

Usklađivanje sa zahtjevima DORA Backup i Recovery sa N2W-om

U N2W-u nismo stranci u stalno rastućem kontekstu usklađenosti. Od 2012. godine surađujemo s financijskim institucijama kako bismo odgovorili na njihove najstrože regulatorne zahtjeve – od upravljanja rizicima u području ICT-a i izvješćivanja o incidentima do otpornosti i kontinuiteta poslovanja. Naše namjerno izgrađeno rješenje radi u cijelosti unutar vašeg AWS-a ili Azure okruženja, dajući vam potpunu kontrolu nad vašim podacima i eliminirajući izloženost trećih strana.

Jeste li spremni racionalizirati svoje napore u pogledu sukladnosti?

Rezervirajte svoju besplatnu demonstraciju danas i počnite optimizirati strategiju zaštite podataka s N2W na AWS Marketplaceu.

Preuzmite našu besplatnu DORA Compliance kontrolnu listuosigurati da je vaša organizacija spremna za svaki aspekt propisa – od upravljanja rizicima IKT-a do izvješćivanja o incidentima.

Napisano od: uSebastian Straub