Ustawa o cyfrowej odporności operacyjnej (Digital Operational Resilience Act - DORA), której celem jest zwiększenie odporności na nadchodzące cyberataki w sektorze finansowym, jest propozycją legislacyjną, nad którą wciąż trwają prace. Należy zauważyć, że ustawa ta nie zastępuje istniejących regulacji, ale raczej je uzupełnia, zapewniając ramy dla zarządzania ryzykiem operacyjnym w środowisku cyfrowym.
Celem DORA jest zapewnienie, że instytucje finansowe są w stanie wytrzymać cyberataki poprzez wdrożenie najlepszych praktyk, takich jak ochrona danych i planowanie reakcji na incydenty. Oznacza to, że firmy muszą mieć przygotowany plan na wypadek ataku, aby mogły utrzymać działalność operacyjną podczas odzyskiwania wszelkich szkód spowodowanych przez atak.
Zobacz: Nowe zasady Deloitte dotyczące zgodności z DORA
Co oznacza Digital Operational Resilience Act (DORA) dla Twojej firmy?
Ustawa Digital Operational Resilience Act (DORA) wprowadzi znaczące zmiany w sposobie, w jaki firmy świadczące usługi finansowe obsługują swoje praktyki w zakresie bezpieczeństwa danych. Zgodnie z DORA wszystkie instytucje finansowe muszą wdrożyć program cyberbezpieczeństwa, który obejmuje zasady, procedury i działania związane z zarządzaniem ryzykiem. Zasady te muszą być corocznie weryfikowane przez zewnętrzny organ nadzoru finansowego, który oceni, czy są one odpowiednie w oparciu o standardy branżowe.
Instytucje finansowe muszą również wdrożyć plan reagowania na incydenty, który opisuje sposób reagowania w przypadku wystąpienia cybernetycznego naruszenia lub gdy istnieją przesłanki, że może ono wystąpić w najbliższej przyszłości. Plan ten musi zawierać strategię radzenia sobie z różnymi rodzajami ataków (np. oszustwami typu phishing), a także procedury odzyskiwania danych po ataku.
Program DORA określa pewne scenariusze, w których może mieć zastosowanie:
Na przykład, wszystkie organizacje, które bezpośrednio współpracują z instytucjami finansowymi i firmami jako usługodawcy, podlegają przepisom DORA i są bezpośrednio nadzorowane przez finansowy organ regulacyjny. Nadzór ten zapewnia zgodność z przepisami DORA w celu utrzymania środowiska wolnego od ryzyka w zakresie obsługi wrażliwych danych finansowych
Miałoby to na celu ustalenie, czy protokoły i praktyki bezpieczeństwa dostawcy są zgodne z normami określonymi przez DORA oraz czy są one w stanie zapewnić wolne od ryzyka środowisko do obsługi wrażliwych danych finansowych.
Organizacje, które nie współpracują bezpośrednio z żadną instytucją finansową, mogą dobrowolnie zdecydować się na osiągnięcie zgodności z ustawą DORA za pośrednictwem niezależnego audytora.
Aby osiągnąć zgodność z przepisami ustawy DORA, ważne jest, aby organizacje posiadały dobrze zdefiniowany plan bezpieczeństwa i zarządzania ryzykiem. Plan ten powinien obejmować takie środki, jak regularne oceny podatności na zagrożenia, plany reagowania na incydenty oraz programy szkoleniowe dla pracowników. Kompleksowa propozycja określająca te środki i ich wdrożenie może pomóc organizacjom w osiągnięciu zgodności z przepisami ustawy DORA i zdobyciu pozycji godnych zaufania dostawców usług w branży finansowej.
Ustawa DORA: Główne warunki i cele
Digital Operational Resilience Act (DORA) zapewnia zdolność sektora finansowego do działania w sposób bezpieczny i odporny. Ustawa ma następujące podstawowe wymagania:
- Firmy muszą mieć plan reagowania na incydenty, który zawiera szczegółowy opis tego, co stanowi cyberatak, jak pracownicy powinni reagować i jak operacje zostaną przywrócone, jeśli dojdzie do naruszenia.
- Firmy muszą prowadzić program bezpieczeństwa cybernetycznego, który obejmuje ocenę ryzyka stwarzanego przez cyberataki oraz plan działań ograniczających to ryzyko.
- Firmy muszą utrzymywać odpowiednie kontrole bezpieczeństwa nad swoją infrastrukturą cyfrową. Kontrole te obejmują szyfrowanie, uwierzytelnianie, kontrolę dostępu, ścieżki audytu, systemy monitorowania, systemy zarządzania zdarzeniami oraz plany reagowania na incydenty.
- Firmy muszą zgłaszać incydenty w momencie ich wystąpienia, aby organy regulacyjne mogły ocenić ich słabości i wydać zalecenia dotyczące poprawy ich postawy w zakresie bezpieczeństwa.
- Firmy powinny posiadać plan zapewniający ciągłość usług podczas wszelkich zakłóceń, które mogą wystąpić.
Krok bliżej w kierunku zgodności z DORA dzięki PowerDMARC
Organizacje zwiększają swój poziom bezpieczeństwa ze względu na ustawę DORA, która wymaga bezpieczeństwa cyfrowego, sieciowego i chmurowego, a także bezpieczeństwa poczty elektronicznej. Ponieważ poczta elektroniczna jest podstawą dzisiejszej komunikacji i stanowi centralną platformę komunikacyjną dla większości firm, zabezpieczenie infrastruktury poczty elektronicznej ma kluczowe znaczenie dla osiągnięcia zgodności z ustawą DORA.
PowerDMARC to platforma typu multi-tenant SaaS, która zabezpiecza kanały e-mailowe poprzez wykorzystanie pełnego pakietu uwierzytelniania poczty elektronicznej. Jesteśmy zgodni z ISO 27001, SOC Type 2 oraz GDPR i z powodzeniem współpracowaliśmy z różnymi organizacjami finansowymi, aby chronić ich dane e-mail i domeny przed zagrożeniami bezpieczeństwa.
Pomagamy:
- Chroń swoje e-maile przed spoofingiem i podszywaniem się dzięki DMARC
- Obroń się przed podsłuchami i atakami typu man-in-the-middle dzięki MTA-STS
- Monitoruj wyniki uwierzytelniania wiadomości e-mail i rozwiązuj problemy związane z incydentami kryminalistycznymi dzięki Raportowanie DMARC
- Nie przekraczaj limitu wyszukiwania SPF, aby uniknąć Permerrors z SPF spłaszczenie
Skontaktuj się z nami już dziś, aby osiągnąć zgodność ze swoimi wiadomościami e-mail!
- Yahoo Japan zaleca użytkownikom przyjęcie DMARC w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.