Nařízení DORA (Digital Operational Resilience Act) je evropské nařízení, které stanovuje jednotné požadavky na bezpečnost sítí a informačních systémů organizací působících ve finančním sektoru a jejich dodavatelů informačních technologií a IT služeb, jako jsou cloudové platformy nebo služby analýzy dat.
Jejím cílem je zvýšení digitální provozní odolnosti a to tak, aby finanční organizace byly schopny přestát všechny druhy kybernetických narušení, byly schopny na ně reagovat a v případě narušení se zotavit.
Pět základních pilířů nařízení DORA
- zavedení systému řízení rizik
- ohlašování významných incidentů a hrozeb spojených s ICT
- zajištění průběžného školení zaměstnanců
- zajistit průběžné a pravidelné kontroly, vyhodnocování a testování odolnosti
- řídit rizika spojená s dodavateli ICT služeb, zajistit minimální požadavky na smlouvy s dodavateli ICT služeb a řešení
DORA je nařízení Evropské unie, tedy bude přímo přenesené do České legislativy.
- Nařízení bude účinné od 17.1.2025
Kdo je za zavedení DORA odpovědný?
- odpovědný je statutární orgán
- top management organizace (manažer rizik, manažer IT)
Koho se nařízení DORA týká
- DORA se vztahuje na téměř všechny finanční subjekty, tedy společnosti a organizace působících ve finančním sektoru
- DORA se nebude týkat auditorů, kteří však budou zahrnuti do budoucího přezkumu nařízení, v jehož rámci může dojít k revizi dotčených pravidel.
- DORA má přednost před použitím NIS2, která byla přijata spolu s nařízením DORA.
- nebude se vztahovat na tzv. mikropodniky
Společnosti a organizace působících ve finančním sektoru
- banky
- pojišťovny
- investiční podniky
- platební instituce
- investiční firmy
- firmy z oblasti kryptoaktiv
- zprostředkovatelé pojištění
Co znamená DORA pro organizace
V praxi to znamená pro finanční instituce zavést odpovídající vhodná a přiměřená technická, procesní, manažerská a organizační opatření. V následujících 10ti bodech je shrnuto, co zavedení souladu s DORA bude znamenat
- zavést systém řízení rizik - analýzu a hodnocení rizik
- zavést směrnice informační bezpečnosti
- zavést procesy řízení bezpečnosti
- zajistit bezpečnost a ochranu dat a informací
- zajistit bezpečnost informačního systému - aplikací, software, hardware a dalšího IT vybavení
- mít bezpečné dodavatele IT služeb, včetně cloudových služeb
- zajistit vzdělávání pracovníků v oblasti bezpečnosti informací
- zavést evidenci, řešení a hlášení incidentů
- zajistit kontinuitu provozu v případě havárie
- zajistit zlepšování výše uvedeného
Zavést systém řízení rizik znamená
- mít popsaná rizika ve firmě
- ke každému riziku mít popsaný způsob, jak se s ním popasovat
- průběžně rizika hodnotit a re-identifikovat
Zavést směrnice informační bezpečnosti znamená
- mít základní směrnice bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění a další
- mít dokumentaci k prokázání shody s DORA
Zavést základní procesy řízení bezpečnosti znamená
- mít pod kontrolou komu a proč dávám oprávnění k nějakému software
- mít pod kontrolou, kdo má kam přístup ve firmě (klíče, vstupní karty)
- mít pod kontrolou kdo zná jaká hesla
- mít pod kontrolou, kdo kam ukládá jaké informace
- mít pod kontrolou, že když odchází zaměstnanec, tak mu odeberete všechny přístupy
- když nastupuje zaměstnanec, že mu dáváte přístupy a kam
- když zaměstnanec mění pracovní zařazení, změnit i veškerá přístupová oprávnění
Zajistit bezpečnost a ochranu dat a informací znamená
- zavést ochranu dat, jako je zálohování, šifrování nebo jiná opatření
- mít pod kontrolou, kdo má přístup k datům a informacím
Zajistit bezpečnost software, hardware a IT infrastrukturu znamená
- zajistit pravidelné testování provozní odolnosti
- zabezpečit své informační systémy, aplikace, software
- mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
- provozovat bezpečný a aktualizovaný software
- mít zabezpečenou fyzickou infrastrukturu (pokud například máte serverovnu)
- nesdílet heslo k wifi
- zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb
Zajistit bezpečné a spolehlivé dodavatele ICT služeb znamená
- máte přehled kdo jsou vaši dodavatelé ICT služeb, včetně cloudových služeb
- máte přehled jaká data u nich máte uložena
- víte, že se k datům nedostane nikdo neoprávněný zvenku a to včetně bývalých zaměstnanců
- sledovat rizika, jež představují poskytovatelé služeb ICT
- smlouvy s poskytovateli ICT služeb musí obsahovat všechny nezbytné údaje
Zajistit vzdělávání pracovníků v informační bezpečnosti znamená
- poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
- poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
- poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji
Zavést neodkladné řešení bezpečnostních incidentů znamená
- evidovat útoky, ztráty dat, ztráty klíčů a další podobné bezpečnostní incidenty
- řešit následky těchto bezpečnostních incidentů
- umět oznámit bezpečnostní incident příslušným orgánům
- informovat klienty o incidentech, které ovlivní jejich finanční zájmy
Zajistit kontinuitu provozu, obnovu po havárii znamená
- mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
- mít plán zachování provozu, plány pro případ havárie a plány obnovy provozu.
- umět reagovat při havárii
- umět obnovit provoz systémů
Zajistit zlepšování výše uvedeného znamená
- provádět pravidelné kontroly, vyhodnocován a testování
- provádět pravidelné aktualizace
- provádět pravidelnou údržbu IT vybavení
- provádět pravidelné audity skutečného stavu
- na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic
Jak vám pomůžeme splnit povinnosti i dokumentovat shodu s DORA
Aptien vám na jednom místě usnadní splnění velké části vašich povinností vyplývajících z nařízení a to ve všech pěti základních pilířích. Pomůže s řízením rizik, s vedením incidentů, s kompletním vedením dokumentace shody, vedením informací o aktivech, s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů. Aptien, jako integrovaný systém řízení rizik a shody vám v jednom prostředí pomůže se:
Zavedením systému řízení rizik
- vedením registru rizik podle požadavků nařízení
- vedením přehledu hrozeb a zranitelností
- vedením přehledu informačních aktiv a jejich souvislostí
Evidencí a ohlašováním bezpečnostních incidentů a hrozeb spojených s ICT
- evidencí a řešením incidentů spojených s ICT a všech souvisejících informací
- ohlašování bezpečnostních incidentů
Hlídání pravidelného školení pracovníků
- vytvářením vzdělávacích plánů
- hlídání termínů povinného vzdělávání v oblasti kybernetické bezpečnosti
- vedením směrnic, pracovních postupů a politik
- digitálním seznamování vašich zaměstnanců se směrnicemi a další dokumentací
Hlídáním pravidelných kontrol a testování odolnosti
- vytváření plánů kontrol a testů odolnosti
- hlídání termínů kontrol a testů odolnosti
- vedení informací o provedených testech a kontrolách k jednotlivým IT aktivům
- vedení provozní dokumentace o vašem IT vybavení a infrastruktuře
- dokumentací zabezpečení používaných aplikací a software
- vedení dokumentace o uložených zálohách, testovacích plánech a údržbě
Řízením rizik spojených s IT dodavateli
- vedení informací o IT službách a jejich dodavatelích
- vedením informací o dodavatelích služeb a vedení katalogu služeb
- vedením informací o přístupech dodavatelů
- vedením informací o přístupech vašich zaměstnanců ke službám (například cloudové služby)
- vedením informací o zabezpečení nakupovaných služeb
- vedení smluv s IT dodavateli (Ve smlouvě musí být např. ujednán přesný a srozumitelný popis všech dodávaných služeb, podmínky ukončení smlouvy nebo povinnost poskytovatele poskytnout pomoc finančnímu subjektu, dojde-li k incidentu v oblasti ICT.)
- řídit rizika spojená s dodavateli ICT služeb, zajistit minimální požadavky na smlouvy s dodavateli ICT služeb a řešení
Podpora vašich bezpečnostních procesů
- podpora nástupu a odchodu zaměstnance - přidělování a odebírání oprávnění a přístupů vašich zaměstnanců
- získáte přehled kdo má kam přístup a proč (kdo má jaký klíč nebo vstupní kartu)
- budete mít pod kontrolou vydané klíče a karty zaměstnancům pomocí jednoduché aplikace
- vedením informací o přístupu a oprávnění vašich zaměstnanců i dodavatelů
Podpora kontinuity provozu
- dokumentací technických a organizačních opatření zvýšení síťové a informační bezpečnosti
- upozorňování na pravidelné testování systémů
- upozorňování na pravidelní prověřování procesů
- zachování kontinuity provozu v případě útoku (business continuity)
- postupy a krizové plány
- plány obnovy provozu (business kontinuity plány)
- zachování kontinuity provozu v případě útoku (business continuity)