Czym jest Dora? Digital Operational Resilience Act dla usług finansowych

Ostatnia aktualizacja:
4 czas czytania: 4 minuty
Czym jest Dora? Digital Operational Resilience Act dla usług finansowych

Przyjęto: listopad 2022 r.
Weszło w życie: 16 stycznia 2023 r.
Obowiązuje od: 17 stycznia 2025 r. (data pełnej zgodności)

Ustawa o odporności operacyjnej w obszarze cyfrowym (DORA) to wiążące rozporządzenie UE mające na celu wzmocnienie odporności operacyjnej sektora finansowego w obszarze cyfrowym. DORA nie zastępuje istniejących regulacji finansowych, lecz je uzupełnia, ustanawiając ujednolicone ramy zarządzania ryzykiem ICT i ryzykiem operacyjnym w podmiotach finansowych i ich kluczowych dostawcach technologii.

Od 17 stycznia 2025 r. wszystkie podmioty finansowe objęte zakresem stosowania rozporządzenia oraz odpowiedni zewnętrzni dostawcy usług ICT działający w UE muszą spełniać wymogi DORA.

Celem DORA jest zapewnienie, aby organizacje były w stanie zapobiegać zakłóceniom związanym z technologiami informacyjno-komunikacyjnymi, w tym cyberatakami, oraz reagować na nie i usuwać ich skutki, przy jednoczesnym zachowaniu ciągłości świadczenia kluczowych usług finansowych.

Zobacz: Nowe zasady Deloitte dotyczące zgodności z DORA

Kluczowe wnioski

  1. DORA jest uchwalonym prawem UE, a nie propozycją, którego obowiązkowe przestrzeganie rozpocznie się 17 stycznia 2025 r.
  2. Dotyczy to podmiotów finansowych UE oraz dostawców usług ICT, którzy je wspierają.
  3. DORA opiera się na pięciu obowiązkowych filarach obejmujących ryzyko związane z technologiami informacyjno-komunikacyjnymi, obsługę incydentów, testowanie i nadzór zewnętrzny.
  4. Organizacje muszą ustanowić ustrukturyzowane zdolności w zakresie zarządzania ryzykiem ICT i reagowania na incydenty.
  5. Poważne incydenty związane z ICT muszą być klasyfikowane i zgłaszane w ściśle określonych terminach regulacyjnych.
  6. Nadzór nad krytycznymi zewnętrznymi dostawcami usług ICT (CTPP) sprawują europejskie organy nadzoru (ESA).

Co oznacza ustawa o odporności operacyjnej w środowisku cyfrowym (DORA) dla Twojej firmy?

DORA wprowadza istotne zmiany w sposobie zarządzania odpornością cyfrową i operacyjną przez instytucje finansowe. Zgodnie z rozporządzeniem organizacje muszą wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, które obejmują określone polityki, procedury, kontrole i mechanizmy zarządzania.

Podmioty finansowe są zobowiązane do prowadzenia udokumentowanych planów reagowania na incydenty i przywracania sprawności, zawierających szczegółowe informacje na temat sposobu wykrywania zakłóceń w funkcjonowaniu systemów teleinformatycznych, reagowania na nie i przywracania sprawności, w tym incydentów cybernetycznych, takich jak ataki phishingowe, oprogramowanie ransomware lub przerwy w świadczeniu usług.

Ponadto zewnętrzni dostawcy usług ICT obsługujący instytucje finansowe wchodzą w zakres obowiązywania DORA i podlegają zaostrzonym wymogom w zakresie umów, monitorowania i zarządzania ryzykiem.

Uprość Dora z PowerDMARC!

Zakres i stosowanie DORA

DORA ma zastosowanie do:

  • Podmioty finansowe działające w UE (w tym banki, ubezpieczyciele, firmy inwestycyjne, fintechy i instytucje płatnicze)
  • Zewnętrzni dostawcy usług ICT obsługujący te podmioty finansowe

Dostawcy usług ICT uznani za kluczowych podlegają bezpośredniemu nadzorowi europejskich organów nadzoru (ESA) w celu zapewnienia, że ich odporność i kontrola ryzyka spełniają standardy DORA.

DORA nie oferuje dobrowolnej certyfikacji dla organizacji spoza tego zakresu. Organizacje niefinansowe mogą przyjąć podobne najlepsze praktyki, ale nie można ich uznać za „zgodne z DORA” w rozumieniu rozporządzenia.

Podstawowe wymagania zgodnie z DORA

DORA opiera się na pięciu obowiązkowych filarach:

Zarządzanie ryzykiem ICT
Ustanowienie zasad zarządzania, polityk, kontroli i procedur w celu zarządzania ryzykiem ICT

Zgłaszanie incydentów związanych z ICT
Klasyfikacja poważnych incydentów i obowiązkowe zgłaszanie ich organom regulacyjnym w określonych terminach
(w tym wstępne powiadomienie w ciągu kilku godzin, a następnie aktualizacje i raport końcowy)

Cyfrowe testy odporności operacyjnej
Regularne testowanie systemów, procesów i mechanizmów kontroli w celu identyfikacji słabych punktów

Zarządzanie ryzykiem związanym z usługami zewnętrznymi w zakresie ICT
Zarządzanie ryzykiem wynikającym z outsourcingu usług ICT poprzez umowy, monitorowanie i strategie wyjścia

Wymiana informacji
Zachęcanie do dobrowolnej wymiany informacji o cyberzagrożeniach w sektorze finansowym

Środki te mają na celu zapewnienie, że zarówno podmioty finansowe, jak i ich partnerzy z branży ICT będą mogli bezpiecznie funkcjonować nawet w przypadku poważnych zakłóceń cyfrowych.

Osiągnięcie zgodności z przepisami DORA

Aby spełnić wymagania DORA, organizacje powinny wdrożyć dobrze zdefiniowany program dotyczący ryzyka i odporności ICT, który zazwyczaj obejmuje:

  • Bieżące oceny ryzyka i testy podatności
  • Procedury wykrywania incydentów, klasyfikacji i reagowania
  • Planowanie ciągłości działania i odzyskiwania danych po awarii
  • Programy podnoszenia świadomości i szkolenia pracowników
  • Nadzór nad dostawcami i podwykonawcami ICT

Udokumentowane i konsekwentnie wdrażane ramy pomagają organizacjom wykazać zgodność z przepisami i budować zaufanie w ekosystemie finansowym.

Ustawa DORA: Główne warunki i cele

Celem DORA jest zapewnienie, aby sektor finansowy UE pozostał bezpieczny, stabilny i odporny w obliczu rosnących zagrożeń cyfrowych. Kluczowe oczekiwania regulacyjne obejmują:

  • Jasno określony plan reagowania na incydenty związane z ICT i przywracania sprawności
  • Ciągła ocena i ograniczanie ryzyka związanego z technologiami informacyjno-komunikacyjnymi
  • Silne zabezpieczenia w sieciach, systemach i infrastrukturze
  • Terminowe i uporządkowane zgłaszanie poważnych incydentów związanych z ICT organom regulacyjnym
  • Środki zapewniające ciągłość świadczenia usług krytycznych podczas zakłóceń

Krok bliżej w kierunku zgodności z DORA dzięki PowerDMARC

W miarę jak organizacje wzmacniają swoją odporność cyfrową w odpowiedzi na DORA, poczta elektroniczna pozostaje krytycznym wektorem ataku, który należy chronić w ramach szerszej strategii bezpieczeństwa ICT.

Chociaż DORA nie nakłada wyraźnie obowiązku stosowania protokołów uwierzytelniania poczty elektronicznej, wymaga od organizacji zabezpieczenia swoich sieci, systemów i infrastruktury komunikacyjnej. Wdrożenie silnych zabezpieczeń poczty elektronicznej jest zgodne z szerszymi celami DORA w zakresie ograniczania ryzyka i zapobiegania incydentom.

PowerDMARC to wielodostępna platforma SaaS, która pomaga organizacjom wzmocnić bezpieczeństwo kanałów poczty elektronicznej dzięki kompleksowemu pakietowi narzędzi do uwierzytelniania wiadomości e-mail. Posiadamy certyfikaty ISO 27001, SOC 2 Type II i jesteśmy zgodni z RODO. Współpracujemy z organizacjami finansowymi w celu ograniczenia zagrożeń związanych z pocztą elektroniczną i poprawy widoczności ryzyka związanego z uwierzytelnianiem.

Pomagamy:

  • Chroń się przed spoofingiem i podszywaniem się za pomocą DMARC
  • Zmniejsz ryzyko związane z atakami typu downgrade i przechwytywanie danych dzięki MTA-STS.
  • Uzyskaj wgląd w wyniki uwierzytelniania wiadomości e-mail dzięki raportom DMARC.
  • Unikaj błędów wyszukiwania SPF dzięki automatycznemu spłaszczaniu SPF

Skontaktuj się z nami już dziś, aby wzmocnić bezpieczeństwo poczty elektronicznej w ramach strategii zarządzania ryzykiem ICT zgodnej z DORA.