Jak skutecznie wdrożyć zgodność z DORA

Dnia 17 stycznia 2023 roku weszło w życie nowe rozporządzenie DORA (Digital Operational Resilience Act) - Ustawa o Cyfrowej Odporności Operacyjnej. Jest to rozporządzenie UE, które ma na celu poprawę bezpieczeństwa i odporności podmiotów finansowych i ich dostawców usług z zakresu technologii informatycznych i komunikacyjnych na zagrożenia i zakłócenia cyfrowe. Przepisy te będą miały zastosowanie do wszystkich instytucji finansowych działających na terenie Unii Europejskiej, w tym banków, firm inwestycyjnych, platform negocjacyjnych, centralnych kontrahentów i innych infrastruktur rynków finansowych.

Wspomniane nowe rozporządzenie zacznie obowiązywać od dnia 17 stycznia 2025 roku, w związku z czym jego wejście w życie zapoczątkowało dwuletni okres na dostosowanie działalności podmiotów do określonych w rzeczonej normie wymogów. Ogólnie rzecz ujmując, dyrektywa ta dąży do osiągnięcia następujących celów:

• Ustanowienie jednolitych wymogów dotyczących zarządzania ryzykiem, sprawowania rządów, nadzoru, raportowania, testowania i audytu instytucji finansowych oraz ich dostawców usług z zakresu technologii informatycznych i komunikacyjnych do obsługi funkcji podstawowych.

• Zwiększenie stopnia odporności podmiotów finansowych, koncentrując się na wdrażaniu kompleksowych strategii ciągłości działania, gwarantujących nieprzerwane świadczenie usług na rzecz klientów w obliczu zdarzeń zakłócających wspomniane działanie. Podmioty muszą wzmocnić swoje plany przywracania sprawności funkcjonowania po awarii, systemy awaryjne oraz systemy ochrony i zapisu danych.

• Utworzenie skoordynowanego mechanizmu nadzoru dla organizacji i dostawców kluczowych usług z zakresu technologii informatycznych i komunikacyjnych, działających w wielu państwach członkowskich, w celu uniknięcia powielania podejmowanych działań i zapewnienia spójnego procesu ich wdrażania. Właściwe organy zapewnią zgodność z ustalonymi ramami regulacyjnymi, przeprowadzając audyt organizacji, a te ostatnie mają obowiązek okresowo powiadamiać o wszelkich istotnych incydentach lub zdarzeniach.

• Wzmocnienie wymiany informacji i współpracy pomiędzy właściwymi organami a organami UE w zakresie cyberbezpieczeństwa i cyfrowej odporności operacyjnej.

Dla firmy GMV konsekwencje i wyzwania wynikające z rozporządzenia DORA będą odgrywać ogromną rolę transformacyjną w architekturze procesów i systemów podmiotów finansowych. Wśród rozmaitych aspektów należy wymienić następujące:

• Integracja ryzyka ICT na najwyższym szczeblu zarządzania poprzez ustalenie modelu kalkulacji ryzyka wobec wszelkiej zmiany zachodzącej w procesach, systemach i w obrębie dostawców technologii informatycznych i komunikacyjnych danej organizacji.

• Kompleksowe przeformułowanie strategii ciągłości:

  • Konkretne, specyficzne procesy i sposoby reagowania w zależności od rodzaju incydentu.

  • Model kalkulacji kosztów bezpośrednich i pośrednich wynikających ze skutków zdarzenia oraz obowiązek zgłaszania ich właściwemu organowi.

  • Zapis aktywności przed, w trakcie i po incydencie.

  • Nowe strategie segmentacji i natychmiastowe odłączenie sieci i aktywów.

  • Ustrukturyzowany plan testów dla całości, podlegający audytowi, wraz z towarzyszącym mu planem ciągłego doskonalenia.

• Rozszerzony spis kluczowych zasobów i usług poprzez mapowanie wsparcia zewnętrznych dostawców i systemów oraz identyfikację źródeł ryzyka.

• Duże zaangażowanie w szkolenia i zwiększanie świadomości w zakresie odporności i cyberbezpieczeństwa. Kompleksowe i audytowane programy, które muszą obejmować wszystkie grupy wchodzące w skład organizacji.

• Nowy model relacji z kluczowymi dostawcami technologii informatycznych i komunikacyjnych. Należy wyraźnie zidentyfikować łańcuchy podwykonawców i należące do nich obiekty oraz informować właściwy organ o zmianach wprowadzanych w zawartych umowach. Organizacje będą zobowiązane zaprojektować i wdrożyć strategie wyjściowe oraz strategie redundancji dla dostawców obsługujących jedną lub więcej podstawowych funkcji.  W ramach europejskich wprowadzony zostanie również zestaw wymogów dotyczących zatwierdzania wspomnianych kluczowych dostawców, co przyczyni się do poprawy ogólnej odporności sektora finansowego z perspektywy technologii informatyczno-komunikacyjnych.

• Ustrukturyzowane i ujednolicone schematy zarządzania operacyjnego. Zostaną ustanowione wspólne modele klasyfikacji, rejestracji, obliczania skutków i powiadamiania o incydentach, z obowiązkiem zgłaszania takich zdarzeń właściwemu organowi i udostępniania tych informacji innym podmiotom z branży, jeśli wymaga tego waga zaszłego incydentu. Konieczne może okazać się wprowadzenie nowych strategii monitorowania.

• Skupienie się na komunikacji i zarządzaniu kryzysowym poprzez ustanowienie wyznaczonych w tym celu osób i zakresu obowiązków oraz usprawnienie mechanizmów automatyzacji, w tym powiadamiania własnych klientów danego podmiotu.

Dla firmy GMV, w obliczu konieczności zwiększenia skuteczności prac nad dostosowaniem swojej działalności do rozporządzenia DORA, konieczne jest przyjęcie trzech kluczowych kierunków działania. Pierwszym z nich jest przyjęcie kompleksowych ram procesowych, które w naturalny sposób zintegrują bezpieczeństwo z operacjami związanymi z ICT, umożliwiając jednocześnie przyjęcie globalnych rozwiązań z zakresu GRC do monitorowania ryzyka. Drugi opowiada się za skupieniem się na danych poprzez utworzenie jeziora danych w zakresie odporności, które umożliwi integrację źródeł informacji z zastosowaniem sztucznej inteligencji w celu podejmowania decyzji. Trzecim, nie mniej ważnym, jest wzmocnienie hiperautomatyzacji we wszystkich działaniach i systemach związanych z aktywacją Planów Reagowania i Przywracania Sprawności.

Rozporządzenie DORA, będące czymś znacznie więcej niż tylko instrumentem zapewniającym zgodność z przepisami, może stanowić świetną okazję do poprawy doświadczenia klienta, przyczyniając się do wzrostu jakości, dostępności i bezpieczeństwa usług, a jednocześnie zwiększając poziom zaufania i zaangażowanie klienta końcowego. Jego oddziaływanie będzie również oznaczać znaczny skok w zakresie jakości i dojrzałości w świadczeniu usług ICT, poprzez wprowadzenie mechanizmów konkurencyjności i ciągłego doskonalenia, które niewątpliwie przełożą się na rozwój wszystkich zaangażowanych w cały ten proces graczy. Zaangażowanie firmy GMV w tym obszarze jest jasne: innowacyjność, aktywny udział i solidna wiedza, poparta rozległym doświadczeniem w zakresie technologii i bezpieczeństwa informacji.

**Ten artykuł został po raz pierwszy opublikowany w internetowym wydaniu Comunicaciones Hoy.

Ángel García-Madrid Velázquez
Head of GMV's Resilience Services
Business Continuity Manager