TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

DORA metrics – bezpieczeństwo teleinformatyczne

Rozporządzenie DORA, czyli Digital Operational Resilience Act, stanowi ważny krok w kierunku zwiększenia cyberbezpieczeństwa w sektorze finansowym Unii Europejskiej.

Jest to regulacja, która weszła w życie 16 stycznia 2023 roku i będzie stosowana od 17 stycznia 2025 roku.

DORA – co to jest?

Celem DORA jest wzmocnienie bezpieczeństwa IT podmiotów finansowych, takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne, oraz zapewnienie, że sektor finansowy w Europie pozostanie odporny w przypadku poważnych zakłóceń operacyjnych​​.

DORA wprowadza harmonizację przepisów dotyczących odporności operacyjnej dla sektora finansowego, obejmując 20 różnych typów podmiotów finansowych i dostawców usług ICT trzeciej strony​​.

Rrozporządzenie DORA

Rozporządzenie wprowadza bardzo konkretne i szczegółowe wymagania, które będą jednolite we wszystkich państwach członkowskich UE. Obejmuje one zarządzanie ryzykiem ICT i cybernetycznym, przeprowadzanie testów odporności, raportowanie i reagowanie na incydenty cybernetyczne oraz rozwijanie procesów wymiany informacji o zagrożeniach cybernetycznych​​.

Podstawowe aspekty DORA obejmują:

  1. Zarządzanie ryzykiem ICT: Wymaga od zarządu opracowania i zatwierdzenia strategii cyfrowej odporności operacyjnej (Digital Operational Resilience Strategy – DORS), a także wprowadzenia polityk ochrony poufności, integralności i dostępności danych​​.
  2. Raportowanie incydentów ICT: Instytucje finansowe będą musiały zgłaszać jedynie poważne incydenty ICT, a także przygotowywać się do przedstawienia raportu z przeglądu ram zarządzania ryzykiem ICT​​​​.
  3. Testowanie cyfrowej odporności operacyjnej: Wymaga od podmiotów finansowych przeprowadzania testów penetracyjnych opartych na zagrożeniach co najmniej co trzy lata​​.
  4. Zarządzanie ryzykiem związanym z dostawcami usług ICT trzeciej strony: DORA wprowadza ramy nadzoru dla krytycznych dostawców usług ICT trzeciej strony​​.

Ponad 22 000 instytucji finansowych i dostawców usług ICT z siedzibą w UE będzie podlegać DORA, w tym banki, firmy inwestycyjne, firmy ubezpieczeniowe i pośrednicy, dostawcy usług raportowania danych, dostawcy usług chmurowych i inne​​.

DORA stanowi odpowiedź na rosnącą zależność sektora finansowego od technologii i firm technologicznych w dostarczaniu usług finansowych, co czyni podmioty finansowe podatnymi na ataki cybernetyczne i incydenty. Nieodpowiednie zarządzanie ryzykiem ICT może prowadzić do zakłóceń w świadczeniu usług finansowych na poziomie transgranicznym, co może mieć wpływ na inne firmy, sektory, a nawet na całą gospodarkę​

Michał Koch
Michał Koch
Dziennikarz i researcher. Tworzy teksty o najnowszych technologiach, 5G, cyberbezpieczeństwie i polskiej branży telekomunikacyjnej.

przeczytaj najnowszy numer isporfessional

Najnowsze