actioma_logo_sekundarni_fixed

9 ključnih zahtev, določenih v uredbi DORA

Ključne zahteve uredbe DORA za varnost in odpornost finančnih organizacij.

Uredba DORA je precej obsežna: vsebuje 106 uvodnih točk in 64 členov, skupaj 79 strani – branje vsega bi vam lahko vzelo nekaj dni (če ne tednov). Da bi vam prihranili čas, ta članek povzema najpomembnejše točke iz DORA.

Uredba DORA določa več zahtev za zagotavljanje varnosti in odpornosti finančnih organizacij:

  • Zahteve za upravljanje tveganj IKT,
  • Poenostavljen okvir za upravljanje tveganj IKT za manjše finančne subjekte,
  • Klasifikacija in poročanje incidentov ter groženj,
  • Testiranje digitalne operativne odpornosti, vključno s penetracijskim testiranjem,
  • Upravljanje tveganj, povezanih z zunanjimi ponudniki IKT storitev,
  • itd.

Spodaj je devet ključnih zahtev, določenih v uredbi DORA. Te zahteve se nanašajo na finančne organizacije in njihove IT dobavitelje, ki morajo izpolnjevati določbe uredbe, in ne na pristojne organe (tj. državne organe, ki so odgovorni za izvrševanje te uredbe).

1. Zelo podrobne zahteve za upravljanje tveganj IKT

Te zahteve so opisane v II. poglavju DORA in v Uredbi o regulativnih tehničnih standardih CDR 2024/1774, ki določa orodja, metode, postopke in politike za upravljanje tveganj IKT ter poenostavljen okvir za upravljanje tveganj IKT. Skupaj obsegajo 54 členov na 42 straneh.

DORA strukturira zahteve za upravljanje tveganj IKT na naslednji način:

  • Upravljanje in organizacija,
  • Okvir za upravljanje tveganj IKT,
  • Sistemi, protokoli in orodja IKT,
  • Identifikacija,
  • Zaščita in preprečevanje,
  • Zaznavanje,
  • Odziv in okrevanje,
  • Politike in postopki varnostnega kopiranja ter obnove,
  • Učenje in prilagajanje,
  • Komunikacija.

2. Poenostavljen okvir za upravljanje tveganj IKT za manjše finančne subjekte

Manjše finančne organizacije lahko zahteve za upravljanje tveganj IKT doživljajo kot preobsežne, zato DORA določa “poenostavljeno” različico teh zahtev, opisano v členu 16 in III. naslovu CDR 2024/1774. Ta poenostavljen okvir ima podobno strukturo kot redni okvir, vendar so zahteve manj podrobne in manj stroge.

Vir: ADVISERA

3. Klasifikacija in poročanje incidentov ter groženj

DORA v celoti posveča III. poglavje upravljanju, klasifikaciji in poročanju incidentov ter groženj. Organizacije morajo vzpostaviti proces za upravljanje incidentov, opredeliti kriterije za klasifikacijo ter vzpostaviti protokole za poročanje pristojnim organom.

4. Testiranje digitalne operativne odpornosti, vključno s penetracijskim testiranjem

V IV. poglavju DORA zahteva, da finančne organizacije izvajajo program testiranja digitalne operativne odpornosti. Program vključuje različne vrste ocen, testov, metodologij, praks in orodij.

Testiranje je potrebno izvajati vsaj enkrat na leto na vseh IKT sistemih, ki podpirajo kritične ali pomembne funkcije. Člen 25 navaja, da lahko ti testi vključujejo naslednje:

  • ocene ranljivosti,
  • analize odprtokodnih rešitev,
  • ocene omrežne varnosti,
  • pregled vrzeli (gap analyses),
  • fizične varnostne preglede,
  • vprašalnike in programske rešitve za skeniranje,
  • preglede izvorne kode (kjer je izvedljivo),
  • testiranja na podlagi scenarijev,
  • testiranja združljivosti,
  • testiranja zmogljivosti,
  • testiranja od začetka do konca (end-to-end testing),
  • penetracijska testiranja.

Člen 26 uvaja koncept penetracijskega testiranja, ki ga vodi grožnja (Threat-Led Penetration Testing – TLPT). Takšna testiranja je potrebno izvajati najmanj vsaka tri leta, pri čemer so podrobno opredeljena pravila za izvedbo teh testov.

5. Upravljanje tveganj, povezanih z zunanjimi ponudniki IKT storitev

DORA določa stroga pravila za ravnanje finančnih organizacij z njihovimi ponudniki IKT storitev, z namenom zmanjšanja tveganj, povezanih s tretjimi osebami. Ta pravila vključujejo:

  • Sprejetje strategije za obvladovanje tveganj tretjih oseb,
  • Politiko uporabe IKT storitev,
  • Redni pregled tveganj, povezanih s tretjimi osebami,
  • Pripravo strategije za izhod iz pogodb (exit strategy).

Poleg tega morajo finančne organizacije pred uporabo storitev opraviti predhodno oceno ponudnika IKT (člen 29) in zagotoviti, da ta izpolnjuje standarde informacijske varnosti.

Člen 30 določa minimalne pogodbene klavzule, ki jih je potrebno vključiti v pogodbe z zunanjimi ponudniki IKT storitev.

6. Zahteve za ponudnike IKT storitev in njihov nadzor s strani države

Ponudniki IKT storitev, ki delujejo za finančne organizacije, morajo izpolnjevati določene varnostne standarde in pogodbene zahteve. Če so ti ponudniki označeni kot kritični, jih zavezujejo dodatne obsežne zahteve.

Evropski nadzorni organi (European Supervisory Authorities – ESAs) bodo imenovali glavnega nadzornika (Lead Overseer) za vsakega kritičnega ponudnika IKT storitev. Člen 33 določa, da ima glavni nadzornik pravico do popolnega dostopa do informacij, izvajanja preiskav, izdajanja priporočil ter nalaganja kazni in drugih sankcij.

7. Izmenjava informacij o kibernetskih grožnjah

Čeprav je VI. poglavje DORA najkrajše, lahko prinese velike spremembe pri obravnavanju kibernetskih groženj. Poglavje določa osnovna pravila za izmenjavo informacij in obveščevalnih podatkov o kibernetskih grožnjah ter vlogo pristojnih organov in ponudnikov IKT storitev.

8. Državni organi (pristojni organi), odgovorni za izvajanje DORA

V skladu s členom 46 DORA države članice EU imenujejo pristojne organe za nadzor in izvajanje finančnih predpisov. Obstajajo tudi izjeme, kjer nadzor neposredno izvajajo organi EU:

  • Evropska centralna banka (ECB) za pomembne kreditne institucije,
  • Evropski organ za vrednostne papirje in trge (ESMA) za registre listinjenja.

9. Kazni za finančne organizacije in zunanje ponudnike IKT storitev

Za finančne organizacije DORA ne določa minimalnih kazni – prepušča državam članicam, da določijo svoje. DORA pa določa druge sankcije, kot so:

  • Odredbe za prenehanje dejavnosti, ki niso skladne z DORA,
  • Predpisovanje ukrepov za doseganje skladnosti z DORA,
  • Javna obvestila o neskladnosti.

Za kritične zunanje ponudnike IKT storitev DORA predvideva globo do 1 % njihovega svetovnega letnega prometa. Poleg tega mora glavni nadzornik objaviti javno obvestilo z imenom ponudnika, ki je bil kaznovan.

Pristojni organi lahko od finančne organizacije, ki uporablja storitve neskladnega zunanjega ponudnika, zahtevajo, da takoj preneha uporabljati te storitve.

Uredba DORA uvaja vrsto zahtev, ki finančnim organizacijam in njihovim ponudnikom IKT storitev pomagajo izboljšati operativno odpornost in obvladovati tveganja, povezana z informacijsko-komunikacijsko tehnologijo. Z jasnimi pravili za upravljanje tveganj, testiranje sistemov in sodelovanje z zunanjimi ponudniki DORA postavlja temelje za bolj varno in stabilno finančno okolje v Evropski uniji.

Če vas zanima pridobitev standarda DORA in potrebujete pomoč pri tem procesu, se lahko obrnete na Advisero, ki je strokovnjak na tem področju in vam lahko zagotovi celovito podporo.

Mi, Actioma, smo poslovni partner Advisere in z veseljem delimo njihovo strokovno vsebino. Če želite izvedeti več o standardu DORA ali imate dodatna vprašanja, nas kontaktirajte in usmerili vas bomo k pravim virom.

Najnovejše vsebine

Iščite po vseh standardih in regulacijah:
Akuarstvo
Standardi in regulacije

Sorodne vsebine

Storitve

Splošno

Pravno

Povpraševanje