Apa yang dimaksud dengan Digital Operational Resilience Act (DORA)?
Digital Operational Resilience Act (DORA) adalah kerangka peraturan yang ditetapkan oleh Uni Eropa yang bertujuan untuk meningkatkan ketahanan entitas keuangan terhadap ancaman digital dan cyber. Berasal dari kekhawatiran tentang meningkatnya ketergantungan digital dan serangan cyber, peraturan DORA memerintahkan protokol manajemen risiko digital yang ketat.
DORA memastikan bahwa entitas keuangan dapat menahan, menanggapi, dan pulih dari gangguan ICT. Undang-undang ini mencakup berbagai elemen, seperti pelaporan insiden, strategi manajemen risiko, dan tes resiliensi, untuk melindungi layanan yang dipercaya konsumen.
Anda dapat menemukan teks resmi dari undang-undang DORAdi sini.
Ini adalah bagian dari serangkaian artikel tentangPemulihan bencana di cloud.
Pesan demo gratis Anda hari ini dan mulai mengoptimalkan strategi perlindungan data Anda dengan N2W di AWS Marketplace.
Pesan demo gratis Anda hari ini dan mulai mengoptimalkan strategi perlindungan data Anda dengan N2W di AWS Marketplace.
In this article:
- Tujuan dan Tujuan Dora
- Kapan peraturan DORA mulai berlaku?
- Persyaratan utama dari Dora
- Mekanisme Penegakan dan Hukuman
- Kepatuhan DORA di Daerah yang Berbeda
- Praktek terbaik untuk mencapai kepatuhan dengan DORA
Tujuan dan Tujuan Dora
Tujuan utama DORA adalah untuk memperkuat ketahanan sistem keuangan dengan memastikan entitas dapat menahan gangguan digital.Tujuan utama DORA adalah untuk menyederhanakan persyaratan ketahanan operasional di seluruh UE, menciptakan lanskap peraturan yang seragam.Tujuan DORA tidak hanya untuk melindungi stabilitas keuangan tetapi juga untuk meningkatkan kepercayaan konsumen dengan memastikan ketersediaan layanan yang konsisten.
DORA juga bertujuan untuk meningkatkan respons dan waktu pemulihan lembaga keuangan dalam kasus kegagalan teknologi atau serangan siber.Dengan memaksa pengujian rutin dari strategi ketahanan digital, DORA bertujuan untuk mengidentifikasi kerentanan sebelum mereka menjadi ancaman yang signifikan.DORA mendorong berbagi informasi antara entitas keuangan untuk meningkatkan upaya keamanan kolektif.Ini memastikan bahwa baik lembaga besar dan entitas kecil memiliki sumber daya dan pengetahuan yang memadai untuk melindungi diri mereka sendiri dalam lanskap digital yang terus berkembang.
Kapan peraturan DORA mulai berlaku?
Digital Operational Resilience Act (DORA) secara resmi mulai berlaku padaJanuary 16, 2023, setelah diterbitkan dalam Jurnal Resmi Uni Eropa pada 27 Desember 2022. namun, entitas keuangan di dalam Uni Eropa diberikan periode transisi untuk mempersiapkan kepatuhan penuh dengan persyaratan.fully applicable on January 17, 2025.
Periode persiapan dua tahun ini memungkinkan organisasi untuk menyesuaikan sistem, proses, dan kerangka kerja manajemen risiko mereka dengan standar peraturan baru.
Persyaratan utama dari Dora
Kerangka Kerja Manajemen Risiko ICT
Kerangka Kerja Manajemen Risiko ICT adalah inti dari persyaratan DORA. kerangka kerja ini memerintahkan identifikasi, evaluasi, dan mitigasi risiko ICT di seluruh lembaga keuangan. ia mengharuskan entitas untuk mengadopsi pendekatan proaktif terhadap manajemen risiko, memastikan semua kerentanan potensial diatasi. kerangka kerja harus mencakup pemerintahan, kontrol internal, dan pemantauan berkelanjutan untuk mengelola dan mengurangi risiko ICT secara efisien.
Sebuah Kerangka Manajemen Risiko ICT juga harus mencakup ulasan dan pembaruan rutin untuk menyesuaikan diri dengan lanskap ancaman yang berkembang. entitas keuangan diharapkan untuk mempromosikan budaya kesadaran risiko dan memasukkan manajemen risiko ICT ke dalam strategi organisasi yang lebih luas.
✅ Tip Pro: N2W membantu mengurangi risiko ICT melalui cadangan otomatis, pemulihan cepat, dan pemantauan proaktif.
Kewajiban Pelaporan Insiden
DORA menegakkan kewajiban pelaporan insiden terhadap entitas keuangan dan penyedia ICT mereka. kewajiban ini memastikan pelaporan insiden terkait ICT yang tepat waktu dan standar yang dapat mempengaruhi kesinambungan layanan. lembaga keuangan harus melaporkan insiden signifikan kepada otoritas yang relevan dengan segera, memberikan rincian tentang kejadian dan langkah-langkah yang diambil.
Komponen pelaporan insiden DORA juga bertujuan untuk meningkatkan ketahanan industri secara keseluruhan dengan memungkinkan regulator untuk mengidentifikasi risiko dan tren sistemik yang lebih luas.Dengan berbagi informasi tentang insiden dan kerentanan, lembaga keuangan dapat berkolaborasi untuk meningkatkan pertahanan terhadap ancaman serupa.DORA mempromosikan budaya keterbukaan dan kolaborasi, yang pada akhirnya berkontribusi pada peningkatan keamanan digital di seluruh sektor keuangan.
✅ Tip Pro: Fungsionalitas peringatan otomatis N2W menyederhanakan pelaporan insiden dan meningkatkan kepatuhan dengan timeline DORA.
Tes Resiliensi Operasional Digital
DORA mendesak untuk Digital Operational Resilience Testing, memastikan bahwa entitas keuangan dapat bertahan dan pulih dari gangguan ICT. Ini melibatkan pengujian rutin dari sistem dan prosedur untuk menilai ketahanan mereka dan mengidentifikasi kelemahan. pengujian mencakup berbagai skenario, termasuk potensi serangan cyber dan kegagalan teknologi, untuk mempersiapkan entitas untuk tantangan dunia nyata.
Melalui Digital Operational Resilience Testing, lembaga memperoleh wawasan tentang efektivitas strategi manajemen risiko dan pemulihan mereka. pengujian harus dilakukan dalam kondisi yang berbeda dan disesuaikan sesuai kebutuhan untuk menampung ancaman yang muncul.
✅ Tip Pro: N2W mendukung pengujian ketahanan dengan memungkinkan latihan pemulihan otomatis untuk memastikan cadangan selalu dapat dipulihkan.
Manajemen Risiko ICT Pihak Ketiga
Manajemen risiko pihak ketiga ICT adalah aspek penting dari DORA. lembaga keuangan diminta untuk melakukan due diligence dan penilaian risiko dari penyedia layanan pihak ketiga mereka. proses ini melibatkan memverifikasi kemampuan penyedia untuk mempertahankan ketahanan operasional dan memastikan strategi manajemen risiko mereka selaras dengan yang dari lembaga keuangan.
DORA menekankan kebutuhan untuk perjanjian kontrak yang jelas yang menetapkan peran, tanggung jawab, dan harapan dari penyedia pihak ketiga. entitas keuangan juga harus memastikan pemantauan berkelanjutan atas kepatuhan penyedia mereka terhadap standar resiliensi. pendekatan ini tidak hanya melindungi lembaga keuangan dari kerentanan pihak ketiga tetapi juga mempromosikan budaya tanggung jawab bersama dan keamanan di seluruh rantai pasokan ICT.
✅ Tip Pro: Tidak seperti solusi berbasis SaaS, N2W beroperasi sepenuhnya dalam lingkungan AWS atau Azure Anda. desain ini memastikan bahwa kami tidak pernah memiliki akses ke data klien Anda, menghilangkan risiko paparan melalui platform pihak ketiga.
Protokol berbagi informasi
DORA memerintahkan penciptaan protokol berbagi informasi antara entitas keuangan dan badan pengatur. protokol ini memfasilitasi pertukaran informasi kritis yang tepat waktu mengenai ancaman dan insiden cyber, mempromosikan pendekatan pertahanan yang terkoordinasi di seluruh sektor keuangan.
Berbagi informasi yang efektif di bawah DORA mengharuskan entitas keuangan untuk mengatasi hambatan tradisional persaingan dan kerahasiaan. dengan mempromosikan keterbukaan, DORA mendorong lingkungan kolaboratif di mana entitas dapat memanfaatkan wawasan bersama untuk memperkuat pertahanan mereka. pendekatan ini memperkuat institusi individu dan memperkuat industri secara keseluruhan, memastikan lanskap digital yang lebih aman untuk layanan keuangan.
Lihatlah tips ahli kami untuk pematuhan DORA yang cepat
Pesan demo gratis Anda hari ini dan mulai mengoptimalkan strategi perlindungan data Anda dengan N2W di AWS Marketplace.
Pesan demo gratis Anda hari ini dan mulai mengoptimalkan strategi perlindungan data Anda dengan N2W di AWS Marketplace.
Mekanisme Penegakan dan Hukuman
DORA memperkenalkan mekanisme penegakan yang ketat untuk memastikan kepatuhan dan memperkuat ketahanan operasional digital dari entitas keuangan. ketidakpatuhan dengan DORA dapat mengakibatkan dampak keuangan, operasional, dan reputasi yang signifikan bagi kedua entitas dan individu.
Hukuman finansial untuk tidak mematuhi
DORA memberlakukan denda keuangan yang bervariasi tergantung pada tingkat keparahan dan sifat pelanggaran. institusi yang ditemukan dalam pelanggaran dapat menghadapi denda hingga 2% dari total penjualan global tahunan mereka atau 1% dari penjualan rata-rata harian mereka di seluruh dunia. untuk individu, denda dapat mencapai € 1.000.000, sementara penyedia ICT pihak ketiga kritis menghadapi denda yang lebih tinggi, hingga € 5.000.000 atau € 500.000 untuk individu, jika mereka tidak memenuhi standar DORA.
Untuk menempatkan sanksi ini dalam perspektif, mereka lebih ketat daripada mereka untuk kerangka peraturan tertentu, seperti GDPR, yang memberlakukan denda hingga € 20.000.000 atau 4% dari total penjualan global dalam kasus yang paling parah.
Pengawasan dan wewenang untuk memberlakukan hukuman
Seperti yang dijelaskan dalam Pasal 97, otoritas ini memiliki wewenang pengawasan dan investigasi, termasuk wewenang untuk memberlakukan sanksi administratif dan menerbitkan pemberitahuan pelanggaran untuk memastikan transparansi dan akuntabilitas.
Penyedia layanan ICT pihak ketiga penting di luar UE harus mendirikan anak perusahaan di UE dalam waktu 12 bulan dari penunjukannya untuk memfasilitasi pengawasan dan penegakan.
Faktor-faktor yang mempengaruhi beratnya hukuman
Dalam menentukan sanksi, pihak berwenang harus mempertimbangkan berbagai faktor yang tercantum dalam Pasal 51, termasuk:
- Sifat dan beratnya pelanggaran
- Durasi Ketidaksesuaian
- Kapasitas keuangan entitas
- Kemungkinan keuntungan atau kerugian yang timbul dari pelanggaran
- Tingkat kerjasama entitas dengan otoritas pengawas
Negara-negara anggota dan hukuman pidana
DORA memungkinkan negara-negara anggota untuk memberlakukan hukuman pidana untuk pelanggaran serius, seperti yang ditentukan dalam Pasal 52. koordinasi dengan otoritas pengadilan dan peradilan pidana memastikan penegakan yang efektif di tingkat nasional.
Kepatuhan DORA di Daerah yang Berbeda
Bagaimana DORA berlaku di Inggris?
Meskipun Digital Operational Resilience Act (DORA) adalah peraturan Uni Eropa, dampaknya melampaui EU, terutama mempengaruhi sektor keuangan Inggris. lembaga keuangan dan penyedia ICT yang berbasis di Inggris yang berinteraksi dengan pasar Uni Eropa harus sejalan dengan standar DORA untuk mempertahankan kepatuhan peraturan dan mendorong kepercayaan dengan mitra dan klien Eropa.
Bisnis mikro, dengan kurang dari sepuluh karyawan, mendapat manfaat dari persyaratan yang lebih fleksibel di bawah DORA, seperti tes resiliensi berbasis risiko dan ulasan kerangka kerja risiko berkala daripada jadwal yang kaku.
DORA sejalan dengan standar resiliensi operasional Inggris yang ada, termasuk pedoman PS21/3 FCA, yang berfokus pada mengidentifikasi layanan bisnis penting, pemetaan ketergantungan, dan pengujian serangan simulasi.
Inggris mungkin akan mengadopsi kerangka peraturan yang serupa di masa depan untuk meningkatkan ketahanan digital di sektor keuangannya. versi UK potensial dari DORA kemungkinan akan berfokus pada mengelola risiko terkait teknologi dan memastikan stabilitas dalam layanan keuangan. organisasi harus memantau pembaruan dari regulator Inggris, seperti FCA, untuk tetap terinformasi tentang perkembangan di bidang ini.
Apakah DORA berlaku di luar Uni Eropa?
DORA terutama menargetkan entitas keuangan dan penyedia layanan ICT di dalam Uni Eropa, namun, jangkauan DORA meluas ke penyedia ICT non-UE jika layanan mereka sangat penting untuk operasi lembaga keuangan yang berbasis di Uni Eropa.
Aplikasi ekstrateritori ini berarti bahwa penyedia non-EU harus mematuhi DORA ketika melayani entitas keuangan UE. ketidakpatuhan dapat menyebabkan tantangan kontrak dan peraturan, berpotensi mempengaruhi hubungan bisnis dengan klien UE.
Pertimbangan untuk Perusahaan Multinasional
Perusahaan multinasional yang beroperasi di berbagai yurisdiksi harus menavigasi lanskap peraturan yang berbeda. Bagi mereka yang memiliki operasi atau klien di dalam Uni Eropa, penyesuaian dengan DORA sangat penting. pertimbangan utama meliputi:
- Penyesuaian peraturan: memastikan bahwa praktik manajemen risiko ICT dan resiliensi operasional memenuhi standar DORA bersama dengan peraturan yang berlaku lainnya, seperti kerangka kerja resiliensi operasional Inggris.
- Kewajiban kontrak: Meninjau dan memperbarui kontrak dengan penyedia layanan ICT pihak ketiga untuk mencakup klausa yang mematuhi DORA, terutama mengenai manajemen risiko dan pelaporan insiden.
- Penyesuaian Operasional: Implementasi perubahan yang diperlukan dalam sistem dan proses ICT untuk memenuhi persyaratan DORA, yang mungkin melibatkan alokasi sumber daya yang signifikan dan perencanaan strategis.
- Memantau perkembangan: Tetap terinformasi tentang perubahan peraturan di semua wilayah operasi untuk memastikan kepatuhan berkelanjutan dan beradaptasi dengan cepat dengan persyaratan baru.
Praktek terbaik untuk mencapai kepatuhan dengan DORA
1) Mengembangkan strategi manajemen risiko
Mengembangkan strategi manajemen risiko adalah dasar untuk kepatuhan DORA. Ini melibatkan memetakan semua ketergantungan ICT kritis dan mengidentifikasi potensi risiko untuk kontinuitas operasional. entitas keuangan perlu menerapkan pendekatan sistematis yang mencakup penilaian risiko rutin dan penerapan praktik terbaik industri. strategi ini harus mencakup pemerintahan, kontrol internal, dan pemantauan berkelanjutan untuk memastikan ketahanan terhadap gangguan.
Proaktif memperbarui strategi manajemen risiko untuk menampung ancaman baru juga sangat penting. entitas keuangan harus mempromosikan budaya kesadaran risiko di antara karyawan, memasukkan manajemen risiko ke dalam tujuan bisnis. dengan melakukan ini, mereka memastikan bahwa manajemen risiko menjadi bagian integral dari alur kerja operasional. sesi pelatihan dan latihan teratur dapat membantu staf tetap siap dan responsif.
Menetapkan prosedur respons insiden
Prosedur respons insiden sangat penting untuk mencapai kepatuhan dengan DORA. entitas keuangan harus menetapkan rencana yang menggambarkan langkah-langkah untuk mendeteksi, melaporkan, dan mengurangi insiden ICT dengan cepat. prosedur ini harus mencakup saluran komunikasi yang jelas dan peran yang ditentukan sebelumnya untuk anggota tim, memastikan respon cepat dan tindakan pemulihan. simulasi dan latihan rutin sangat penting untuk memperbaiki prosedur ini dan mempersiapkan tim untuk tantangan dunia nyata.
Dengan menyederhanakan protokol pelaporan insiden, entitas memastikan konsistensi dan memfasilitasi intervensi lebih cepat oleh otoritas pengawas dan pemangku kepentingan lainnya. perbaikan berkelanjutan dari rencana tanggapan insiden, dipandu oleh umpan balik dan pelajaran dari insiden sebelumnya, sangat penting untuk mempertahankan keadaan persiapan.
Lakukan pengujian resiliensi secara teratur
Melakukan pengujian resiliensi secara teratur adalah komponen penting dari kepatuhan DORA. entitas keuangan harus secara sistematis menguji sistem dan proses mereka untuk mengevaluasi kemampuan mereka untuk menahan gangguan ICT. pengujian ini harus mencakup simulasi skenario potensial seperti serangan cyber, kegagalan teknis, dan bencana alam.
Pengujian harus komprehensif dan menggabungkan sistem internal dan interaksi dengan penyedia pihak ketiga untuk memastikan ketahanan end-to-end. entitas juga harus memperbarui protokol pengujian mereka untuk mencerminkan ancaman yang muncul dan perubahan teknologi.
Meningkatkan manajemen risiko pihak ketiga
DORA menekankan manajemen risiko pihak ketiga, yang mengharuskan lembaga keuangan untuk mengelola interaksi mereka dengan penyedia layanan ICT. Ini melibatkan melakukan due diligence, evaluasi kinerja reguler, dan penilaian risiko. perjanjian kontrak yang jelas yang menggambarkan harapan dan tanggung jawab sangat penting, memastikan penyedia memenuhi standar resiliensi DORA.
Entitas keuangan harus menetapkan pemantauan dan komunikasi berkelanjutan dengan penyedia pihak ketiga untuk segera mengatasi masalah apa pun.Dengan mempromosikan kemitraan dan kolaborasi yang kuat, lembaga dapat menyesuaikan strategi resiliensi dan mencapai kepatuhan bersama dengan DORA.Menggalakkan transparansi dan akuntabilitas dalam hubungan ini terus memperkuat ekosistem keuangan, mengurangi dampak potensial gangguan pada layanan penting.
Berbagi informasi antara peer
Memfasilitasi berbagi informasi antara rekan-rekan adalah praktik penting di bawah DORA. Dengan menetapkan protokol berbagi informasi, entitas keuangan dan penyedia ICT mereka dapat secara kolaboratif mengatasi ancaman digital dan meningkatkan strategi resiliensi mereka. berbagi wawasan tentang kerentanan dan insiden dapat membantu mencegah kejadian di masa depan, meningkatkan sikap keamanan keseluruhan dari semua entitas yang terlibat.
Penting untuk mengatasi hambatan kompetitif dan mengadopsi pendekatan kolektif untuk intelijen ancaman. berbagai kelompok pemangku kepentingan, termasuk badan pengawas dan asosiasi industri, dapat berpartisipasi dalam inisiatif berbagi informasi. upaya kolektif ini berjalan jauh dalam menciptakan industri keuangan yang lebih kuat dan lebih aman yang mampu melawan kesulitan digital secara efektif.
Memenuhi persyaratan cadangan dan pemulihan DORA dengan N2W
Di N2W, kami tidak asing dengan lanskap kepatuhan yang terus berkembang. Sejak 2012, kami telah bermitra dengan lembaga keuangan untuk menangani persyaratan peraturan yang paling ketat mereka – mulai dari manajemen risiko ICT dan pelaporan insiden hingga ketahanan dan kontinuitas bisnis. solusi kami yang dibuat khusus berjalan sepenuhnya di lingkungan AWS atau Azure Anda, memberi Anda kontrol penuh atas data Anda dan menghilangkan paparan pihak ketiga. Dengan perencanaan cadangan otomatis, pemulihan instan, immutabilitas berbasis kebijakan, latihan otomatis dan pelaporan kepatuhan granular, N2W membantu Anda mengetik setiap kotak dalam persyaratan DORA untuk ketahanan operasional, pemulihan, dan pengawasan risiko.
Siap untuk menyederhanakan upaya kepatuhan Anda?
Pesan demo gratis Anda hari ini dan mulai mengoptimalkan strategi perlindungan data Anda dengan N2W di AWS Marketplace.
Pesan demo gratis Anda hari ini dan mulai mengoptimalkan strategi perlindungan data Anda dengan N2W di AWS Marketplace.
Unduh daftar pemeriksaan pematuhan DORA kami secara gratisuntuk memastikan organisasi Anda siap untuk setiap aspek peraturan – dari manajemen risiko ICT hingga pelaporan insiden. tetap tahan lama, aman dan sepenuhnya mematuhi N2W.
Ditulis oleh: :oleh Sebastian Straub
Ditulis oleholeh Sebastian Straub
