Ključni dokumenti potrebni za skladnost z uredbo DORA in kako so povezani s specifičnimi členi zakonodaje
Uredba DORA je precej natančna glede tega, kaj je treba izvajati za zagotovitev kibernetske varnosti in odpornosti IT sistemov. Težava je v tem, da obstaja veliko zahtev, zaradi česar je težko ugotoviti, kaj mora biti zajeto v katerih dokumentih. Ta članek povezuje vsako relevantno zahtevo iz uredbe DORA z dokumenti, ki so najprimernejši za pokritje teh zahtev.
Uredba DORA določa več kot 100 različnih zahtev glede kibernetske varnosti in odpornosti, ki jih je mogoče pokriti s 30 do 40 politikami, postopki, načrti in podobnimi dokumenti.
Seznam dokumentov za skladnost z uredbo DORA
Preden začnete z branjem spodnjega seznama, nekaj opomb:
*”Manjše” finančne organizacije so naslednje entitete (te morajo uporabljati poenostavljeni okvir za upravljanje tveganj IKT v skladu s člankom 16 uredbe DORA):
- majhna in nepovezana investicijska podjetja
- majhne plačilne institucije, ki so oproščene z odločitvijo držav članic v skladu z Direktivo (EU) 2015/2366
- posebne kreditne institucije, opredeljene v Direktivi 2013/36/EU (v primeru, da jih države članice niso v celoti izključile iz uredbe DORA)
- majhne institucije za izdajo elektronskega denarja, ki so oproščene z odločitvijo držav članic v skladu z Direktivo 2009/110/ES
- majhne institucije za poklicno pokojninsko zavarovanje.
** “Mikropodjetja” so tista finančna podjetja, ki zaposlujejo manj kot 10 oseb in imajo letni promet in/ali skupno letno bilančno vsoto, ki ne presega 2 milijona evrov.
| Zahteva | Pravna podlaga | Veljavnost | Dokumentacija |
|---|---|---|---|
| Določitev jasnih vlog in odgovornosti za vse funkcije, povezane z IKT | Uredba DORA, člen 5(2)(c); CDR 2024/1774, naslov II | Uporablja se za vse razen za manjše organizacije* | Vsi dokumenti v tej kategoriji morajo jasno opredeliti vloge in odgovornosti za vse navedene aktivnosti |
| Vzpostavitev ustreznih ureditev upravljanja | Uredba DORA, člen 5(2)(c); CDR 2024/1774, naslov II | Uporablja se za vse razen za manjše organizacije | Politika informacijske varnosti + vsi dokumenti v tej kategoriji |
| Vzpostavitev in odobritev strategije digitalne operativne odpornosti ter vključitev te strategije v okvir za upravljanje tveganj IKT | Uredba DORA, člen 5(2)(d); člen 6(8); CDR 2024/1774, naslov II | Uporablja se za vse razen za manjše organizacije | Strategija digitalne operativne odpornosti |
| Odobritev, nadzor in periodični pregled izvajanja politike neprekinjenosti poslovanja IKT | Uredba DORA, člen 5(2)(e); CDR 2024/1774, naslov II | Uporablja se za vse razen za manjše organizacije | Politika neprekinjenosti poslovanja IKT |
| Odobritev, nadzor in periodični pregled načrtov za odziv in obnovo IKT | Uredba DORA, člen 5(2)(e); CDR 2024/1774, naslov II | Uporablja se za vse razen za manjše organizacije | Načrt za odziv na motnje, Načrt za obnovo dejavnosti (ime dejavnosti), Načrt za obnovo po katastrofi IKT |
| Odobritev in periodični pregled notranjega načrta za revizijo IKT | Uredba DORA, člen 5(2)(f); CDR 2024/1774, naslov II | Uporablja se za vse razen za manjše organizacije | Program notranje revizije |
| Dodelitev in periodični pregled ustreznega proračuna | Uredba DORA, člen 5(2)(g); CDR 2024/1774, naslov II | Uporablja se za vse razen za manjše organizacije | Strategija digitalne operativne odpornosti |
Za celoten seznam potrebne dokumentacije se obrnite na Advisero.
Pogosti dokumenti za kibernetsko varnost, ki jih uredba DORA ne zahteva
Uredba DORA ne omenja nekaterih dokumentov, ki so sicer pogosti pri upravljanju kibernetske varnosti:
- Politika klasifikacije informacij — Določa jasna pravila o tem, kako razvrščati dokumente in druge informacije ter kako varovati te vire glede na raven razvrstitve.
- Politika mobilnih naprav in dela na daljavo — Določa pravila za uporabo prenosnih računalnikov, pametnih telefonov in drugih naprav zunaj poslovnih prostorov.
- Politika uporabe zasebnih naprav (BYOD) — Določa vidike varnosti, če zaposleni uporabljajo zasebne naprave za delo.
- Politika odstranjevanja in uničenja — Določa, kako odstranjevati naprave in medije, da se izbrišejo vsi občutljivi podatki in prepreči kršenje pravic intelektualne lastnine.
- Politika fizične varnosti — Določa varnostna pravila za podatkovne centre, arhive in druga področja, ki potrebujejo posebno zaščito.
- Politika čistih miz in zaslonov — Določa pravila za vsakega zaposlenega glede zaščite delovnega prostora.
Za celoten seznam dokumentov, potrebnih za skladnost z uredbo DORA, preverite orodje DORA Documentation Toolkit od Advisere, ki vključuje vse politike, postopke, načrte in druge predloge.
Če vas zanima pridobitev standarda DORA in potrebujete pomoč pri tem procesu, se lahko obrnete na Advisero, ki je strokovnjak na tem področju in vam lahko zagotovi celovito podporo.
Mi, Actioma, smo poslovni partner Advisere in z veseljem delimo njihovo strokovno vsebino. Če želite izvedeti več o standardu DORA ali imate dodatna vprašanja, nas kontaktirajte in usmerili vas bomo k pravim virom.
