Nařízení DORA (Digital Operational Resilience Act) je evropské nařízení, které stanovuje jednotné požadavky na bezpečnost sítí a informačních systémů organizací působících ve finančním sektoru a jejich dodavatelů informačních technologií a IT služeb, jako jsou cloudové platformy nebo služby analýzy dat.
Jejím cílem je zvýšení digitální provozní odolnosti a to tak, aby organizace byly schopny přestát všechny druhy kybernetických narušení, byly schopny na ně reagovat a v případě narušení se zotavit.
DORA je nařízení Evropské unie, tedy bude přímo přenesené do České legislativy.
- Nařízení bude účinné od 17.1.2025
Pět základních pilířů nařízení DORA
- zavedení systému řízení rizik
- ohlašování významných incidentů
- vyhodnocování a testování odolnosti
- řízení dodavatelů, třetích stran
- sdílení informací
Kdo je za zavedení DORA odpovědný?
- odpovědný je statutární orgán
- top management organizace (manažer rizik, manažer IT)
Koho se nařízení DORA týká
- banky
- pojišťovny
- investiční podniky
- platební instituce
- investiční firmy
- firmy z oblasti kryptoaktiv
- zprostředkovatelé pojištění
DORA se vztahuje na téměř všechny finanční subjekty, tedy společnosti a organizace působících ve finančním sektoru
- DORA se nebude týkat auditorů mikropodniků
- DORA má přednost před NIS2, která byla přijata spolu s nařízením DORA
Jak zavést DORA do firmy
V praxi to znamená pro zavést odpovídající vhodná a přiměřená technická, procesní, manažerská a organizační opatření a to na základě provedené analýzy rizik. Z té vychází konkrétní jednotlivá opatření, která mohou být v každé firmě jiná. Samotné nařízení, uvádí kromě zavedení systému řízení rizik mít také povinnost detekovat, evidovat a řídit incidenty, pravidelně testovat odolnost procesů i technologií a mít pod kontrolou dodavatele služeb, které mají vliv na kybernetickou bezpečnost.
1. Zavedení systému řízení rizik znamená
- mít popsaná rizika ve firmě
- mít popsaná aktiva a procesy jako zdroje rizik, dokumentovat kritické funkce a aktiva
- ke každému riziku mít popsaný způsob, jak se s ním popasovat
- průběžně rizika hodnotit
2. Ohlašování významných incidentů znamená
- zajistit rychlou detekci, evidenci incidentů, tedy evidovat kybernetické útoky, ztráty dat a další podobné incidenty
- řešit následky těchto incidentů
- umět oznámit bezpečnostní incident příslušným orgánům
- informovat klienty o incidentech, které ovlivní jejich finanční zájmy
3. Zvyšování, vyhodnocování a testování odolnosti znamená
- mít popsaná IT aktiva (software, hardware a IT infrastrukturu), která je třeba testovat
- zajistit jejich průběžnou a přiměřenou bezpečnost ,
- zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb
- zavést komplexní zásady business continuity a disaster recovery plánů
- následně zajistit pravidelné testování provozní odolnosti s cílem odhalit slabá místa a zranitelnosti
4. Řízení dodavatelů a třetích stran znamená
- že víte, kdo jsou vaši dodavatelé ICT služeb, včetně cloudových služeb
- že smlouvy s poskytovateli ICT služeb obsahují všechny nezbytné údaje
- že máte přehled, jaká data u nich máte uložena
- víte, že se k datům nedostane nikdo neoprávněný zvenku
5. Sdílení informací znamená
- sdílení informací o hrozbách, pomůže celému sektoru stát se zodpovědnějším a aktivnějším v obraně proti rostoucímu útoků
Jak vám Aptien pomůže splnit povinnosti a shodu s DORA
- Aptien vám pomůže celý proces shody odřídit a zdokumentovnat
- a zároveň vám pomůže splnit některá organizačních opatření
Na jednom místě usnadní splnění velké části vašich povinností vyplývajících z DORA a to ve všech pěti základních pilířích. Pomůže s řízením rizik, s vedením incidentů, s kompletním vedením dokumentace shody, vedením informací o aktivech, s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů.
Řízení zavedení a dokumentace shody s DORA
Systém řízení rizik
- vedením registru rizik podle požadavků nařízení
- vedením přehledu hrozeb a zranitelností
- vedením přehledu informačních aktiv a jejich souvislostí
Řízení navazujících opatření
- jednotlivá opatření mají své vlastníky
- řízení úkolů plynoucí z opatření
Řízení incidentů
- evidencí a řešením incidentů spojených s ICT a všech souvisejících informací
- evidencí a ohlašováním bezpečnostních incidentů a hrozeb spojených s ICT
- ohlašování bezpečnostních incidentů
Hlídání pravidelného školení pracovníků
- vytvářením vzdělávacích plánů a hlídání termínů povinného vzdělávání v oblasti kybernetické bezpečnosti
- digitálním seznamování vašich zaměstnanců se směrnicemi a další dokumentací
Portál směrnic
- řízení směrnic a vnitřních předpisů
- vedením směrnic, pracovních postupů a politik
- Potvrzení seznámení zaměstnanců s předpisy
Vedení provozní dokumentace IT vybavení
- vedení provozní dokumentace o vašem IT vybavení a infrastruktuře
- dokumentací zabezpečení používaných aplikací a software
- vedení dokumentace o uložených zálohách, testovacích plánech a údržbě
Hlídáním pravidelných kontrol a testování odolnosti
- vytváření plánů kontrol a testů odolnosti a hlídání jejich splnění
- vedení informací o provedených testech a kontrolách k jednotlivým IT aktivům
Řízením rizik spojených s IT dodavateli
- vedení informací o IT službách a jejich dodavatelích, o službách a jejich zabezpečení
- vedením informací o dodavatelích služeb a vedení katalogu služeb
- vedením informací o přístupech dodavatelů
- vedení smluv s IT dodavateli (Ve smlouvě musí být např. ujednán přesný a srozumitelný popis všech dodávaných služeb, podmínky ukončení smlouvy nebo povinnost poskytovatele poskytnout pomoc finančnímu subjektu, dojde-li k incidentu v oblasti ICT.)
- řídit rizika spojená s dodavateli ICT služeb, zajistit minimální požadavky na smlouvy s dodavateli ICT služeb a řešení
Podpora vašich bezpečnostních procesů
- podpora nástupu a odchodu zaměstnance - přidělování a odebírání oprávnění a přístupů vašich zaměstnanců
- vedením informací o přístupu a oprávnění vašich zaměstnanců i dodavatelů
Podpora kontinuity provozu
- dokumentací technických a organizačních opatření zvýšení síťové a informační bezpečnosti
- postupy a krizové plány
- plány obnovy provozu (business kontinuity plány)