DORA – регламентът на ЕС за устойчивост на цифровите технологии и как CYBER ONE може да помогне на финансовия сектор
Новият регламент на Европейския съюз DORA (Digital Operational Resilience Act) има за цел да установи цялостна и единна рамка за хармонизиране на процесите и стандартите, свързани с оперативната устойчивост на цифровите технологии във финансовия сектор. Регламентът засилва и правомощията на регулаторните органи, като предоставя възможност за пряк надзор. Екипът от експерти на CYBER ONE съдейства на финансови институции в няколко направления – подготовка за съответствие и изисквания на новата регулация, в проектирането на бизнес процеси и технологии, които да са устойчиви на цифрови рискове.
DORA е основна инициатива на ЕС за оперативна и кибер устойчивост на цифровите технологии в сектора на финансовите услуги. Регламентът въвежда единна рамка от регулаторни и надзорни правила за оперативната устойчивост на цифровите технологии във финансовия сектор. DORA предполага значителни инвестиции от страна на финансовите институции за подобряване на тяхната устойчивост срещу кибер рискове.
Регламентът беше публикуван в Официален вестник на Европейския съюз на 27 декември 2022 г. и влезе в сила на 16 януари 2023 г. След тази дата институциите имат 24 месеца, за да отразят новите правила в своите процеси.
Новите изисквания налагат промяна в подхода на ръководните органи, които ще бъдат натоварени с крайната отговорност за повишаване устойчивостта на институциите от цифрови заплахи, които се развиват и ще продължат да се развиват все по-динамично. Организациите трябва да сведат до минимум уязвимостта на бизнес моделите при такива заплахи. Управленските органи във финансовите институции ще играят важна роля за стимулирането и необходимостта от вътрешни промени в отговор на изискванията на регламента. Това ще бъде водещо за прилагане на правилата и взимането на стратегически инвестиционни решения, които са нужни за изграждането на устойчивост.
Изискванията се отнасят за традиционните финансови субекти, но и за доставчици на услуги от трети страни в областта на Информационни и комуникационни технологии (ИКТ).
Защо спазването на изискванията на DORA е от ключово значение?
Използването на услуги от трети страни е полезно за финансовите институции, но нарастващата зависимост води до пропорционално увеличаване на оперативния риск и затруднения в управлението му. Укрепването на оперативната устойчивост във финансовия сектор е от ключово значение и обща отговорност на единния пазар. Несъответствието с изискванията на регламента може да доведе до глоби в размер на 1% от среднодневния глобален оборот на организацията.
Как CYBER ONE може да помогне с DORA?
Експертите на CYBER ONE имат необходимата експертиза, за да съдействат на всяка една организация за създаване на стабилни основи на оперативната устойчивост, отговарящи на изискванията на DORA. Ние предлагаме цялостен пакет от услуги, които може да помогнат на вашата организация – от първоначалния анализ на съответствието до практическото реализиране на необходимите решения. В CYBER ONE работят доказани експерти с опит, използват се най-новите методологии и инструменти, с които подпомагаме нашите клиенти в изпълнението на изискванията на DORA.
Рамка за управление на риска:
За да отговорят на изискванията на DORA, организациите трябва да имат установени и надеждни процеси за управление на риска. CYBER ONE ще ви помогне да приведете бизнес стратегията на вашата организация в съответствие с изискванията, да се управляват кибер рисковете, за да се поддържа цялостна и ефективна рамка за управлението им.
Докладване на инциденти:
DORA цели унифициране на процесите за класифициране и докладване на инциденти. Ранното откриване на инциденти и навременната реакция са от решаващо значение. CYBER ONE подпомага клиентите в адаптирането на новите правила на ЕС за докладване на инциденти, оптимизиране на вътрешните им процедури и използването на ресурсите.
Тестване на устойчивостта:
DORA изисква от финансовите институции да тестват своите системи въз основа на свързаните с тях рискове. Това включва сканиране за уязвимости, тестове за проникване, както и проверка на плана за непрекъсваемост на дейността и възстановяване от бедствия. Регламентът налага и тестове за проникване въз основа на разузнавателна информация – TLPT (Threat-Led Penetration Testing) – върху ключови системи в организацията. Кибер практиката в CYBER ONE за Централна Европа предоставя най-висок клас услуги относно тестове за проникване, благодарение на нашите висококвалифицирани специалисти и технологичен опит.
Споделяне на информация за заплахи:
Кибер престъпниците често атакуват множество организации от финансовата индустрия едновременно. Фокусът на DORA цели да обхване обмена от информация за съществуващи заплахи и да помогне на целия сектор за по-добра информираност и проактивност в подготовката срещу нарастващия брой и разнообразни кибер атаки. Експертите на CYBER ONE съдействат на клиентите при разработването на процеса по споделяне на информация, разузнавателните сведения за заплахи, както и интегрирането в общата рамка за финансовия сектор.
Управление на риска от трети страни – TPRM (Third-Party Risk Management) и мониторинг:
Големите организации вероятно вече прилагат голяма част от изискванията на DORA за управление на риска от трети страни в областта на ИКТ. Всички субекти трябва да преценят дали техните стратегии и планове за непрекъсваемост и възстановяване от непредвидени събития, отговарят на разширените и детайлни изисквания на регламента. Рамката на CYBER ONE за TPRM се основава на водещи практики в сектора, глобални регулаторни изисквания и предоставя цялостно решение при управлението на сложни процеси, свързани с екосистемите на трети страни. С внедряването на платформата за TPRM, нашите клиенти могат да се възползват от всички предимства на една цялостна технологична платформа, включваща функционалности за събиране на мобилни данни, инструменти за подобряване на ефективността по отношение на управление на риска от трети страни, оптимизирани отчети за мобилни устройства и табла за визуален анализ.
