DORA (Digital Operational Resilience Act) wchodzi w życie 17 stycznia 2025 r., otwierając nowy rozdział w zarządzaniu ryzykiem cyfrowym dla sektora finansowego. To ogromny krok w kierunku zwiększenia bezpieczeństwa i stabilności operacyjnej, ale też wyzwanie, które wymaga przemyślanego podejścia. Przyjrzyjmy się, co zmienia DORA, jakie są jej cele i jakie wyzwania stawia przed organizacjami.

Cele DORA: budowanie stabilności i zaufania
Głównym celem DORA jest zwiększenie odporności cyfrowej sektora finansowego na zagrożenia technologiczne. Regulacja nie tylko chroni dane klientów i integralność systemów finansowych, ale także kładzie nacisk na proaktywne zarządzanie ryzykiem.
DORA promuje kulturę bezpieczeństwa, zachęcając organizacje do identyfikacji i eliminacji ryzyk jeszcze zanim staną się problemem. Efektem tego jest nie tylko minimalizacja zakłóceń, ale też budowanie zaufania klientów, które w erze cyfrowej jest kluczowe dla sukcesu.
Wyzwania związane z nowymi wymaganiami
Przestrzeganie regulacji DORA to złożony proces. Dwa kluczowe obszary wymagają szczególnej uwagi:
Zarządzanie ryzykiem związanym z dostawcami ICT
Testy penetracyjne pod kątem wyszukiwania zagrożeń (TLPT)
DORA wymaga od organizacji pełnej transparentności w relacjach z dostawcami technologii. Należy nie tylko identyfikować kluczowych partnerów, ale też oceniać ryzyko związane z ich działalnością. Kluczowe pytania, na które trzeba odpowiedzieć:
- Którzy dostawcy są najważniejsi dla działalności organizacji?
- Jakie procesy biznesowe są od nich uzależnione?
- Jakie strategie wyjścia mamy na wypadek przerwania współpracy?
Warto przeprowadzać symulacje zakłóceń, by ocenić zależności i przygotować się na nagłe sytuacje, np. cyberatak na kluczowego dostawcę.
DORA wprowadza obowiązek zaawansowanych testów penetracyjnych, które symulują realistyczne cyberataki. Dzięki TLPT organizacje mogą ocenić swoje zabezpieczenia i zidentyfikować słabe punkty. To nie tylko test technologii, ale również kompetencji zespołów bezpieczeństwa.
Przeprowadzenie TLPT może być wyzwaniem, dlatego istotne jest korzystanie z pomocy ekspertów, którzy zapewnią zgodność działań z wymogami regulacji.
Kluczowe ryzyka – na co zwracać uwagę?
DORA pomaga organizacjom lepiej zarządzać ryzykiem, ale istnieją dwa główne scenariusze, które wymagają szczególnej uwagi:
- zakłócenie działania systemów ICT – solidne plany odzyskiwania danych i strategia zarządzania incydentami są kluczowe, by szybko wrócić do normalności;
- nagła utrata kluczowego dostawcy ICT – organizacje muszą być gotowe na znalezienie alternatyw i zapewnienie ciągłości działania w sytuacjach kryzysowych.
Dlaczego Warto Dostosować Się do DORA?
Choć dostosowanie się do wymogów DORA jest kosztowne i czasochłonne, przynosi długoterminowe korzyści:
Jeśli Twoja organizacja zmaga się z wyzwaniami DORA, nie jesteś sam.
W ComCERT mamy zespół ekspertów, którzy pomogą Ci w:
- zarządzaniu ryzykiem i relacjami z dostawcami ICT;
- przeprowadzaniu zaawansowanych testów penetracyjnych TLPT;
- budowaniu strategii zgodnych z wymaganiami DORA.
Zapewnij swojej organizacji bezpieczeństwo i stabilność w nowej rzeczywistości regulacyjnej.
Skontaktuj się z nami, by dowiedzieć się więcej!