Co je nařízení DORA

Nařízení DORA (Digital Operational Resilience Act) je evropské nařízení, které stanovuje jednotné požadavky na bezpečnost sítí a informačních systémů organizací působících ve finančním sektoru a jejich dodavatelů informačních technologií a IT služeb, jako jsou cloudové platformy nebo služby analýzy dat.

Jejím cílem je zvýšení digitální provozní odolnosti a to tak, aby finanční organizace byly schopny přestát všechny druhy kybernetických narušení, byly schopny na ně reagovat a v případě narušení se zotavit.

Pět základních pilířů nařízení DORA

• zavedení systému řízení rizik
• ohlašování významných incidentů a hrozeb spojených s ICT
• zajištění průběžného školení zaměstnanců
• zajistit průběžné a pravidelné kontroly, vyhodnocování a testování odolnosti
• řídit rizika spojená s dodavateli ICT služeb, zajistit minimální požadavky na smlouvy s dodavateli ICT služeb a řešení

DORA je nařízení Evropské unie, tedy bude přímo přenesené do České legislativy. 

• Nařízení bude účinné od 17.1.2025
  

Kdo je za zavedení DORA odpovědný?

• odpovědný je statutární orgán 
• top management organizace (manažer rizik, manažer IT) 

Koho se nařízení DORA týká

• DORA se vztahuje na téměř všechny finanční subjekty, tedy společnosti a organizace působících ve finančním sektoru
• DORA se nebude týkat auditorů, kteří však budou zahrnuti do budoucího přezkumu nařízení, v jehož rámci může dojít k revizi dotčených pravidel.
• DORA má přednost před použitím NIS2, která byla přijata spolu s nařízením DORA.
  
• nebude se vztahovat na tzv. mikropodniky

Společnosti a organizace působících ve finančním sektoru

• banky
• pojišťovny
• investiční podniky
• platební instituce
• investiční firmy
• firmy z oblasti kryptoaktiv
• zprostředkovatelé pojištění

Co znamená DORA pro organizace

V praxi to znamená pro finanční instituce zavést odpovídající vhodná a přiměřená technická, procesní, manažerská a organizační opatření. V následujících 10ti bodech je shrnuto, co zavedení souladu s DORA bude znamenat

1. zavést systém řízení rizik - analýzu a hodnocení rizik
2. zavést směrnice informační bezpečnosti
3. zavést procesy řízení bezpečnosti
4. zajistit bezpečnost a ochranu dat a informací
5. zajistit bezpečnost informačního systému - aplikací, software, hardware a dalšího IT vybavení
6. mít bezpečné dodavatele IT služeb, včetně cloudových služeb
7. zajistit vzdělávání pracovníků v oblasti bezpečnosti informací  
8. zavést evidenci, řešení a hlášení incidentů 
9. zajistit kontinuitu provozu v případě havárie
10. zajistit zlepšování výše uvedeného

Zavést systém řízení rizik znamená

• mít popsaná rizika ve firmě
• ke každému riziku mít popsaný způsob, jak se s ním popasovat
• průběžně rizika hodnotit a re-identifikovat

Zavést směrnice informační bezpečnosti znamená

• mít základní směrnice bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění a další
• mít dokumentaci k prokázání shody s DORA

Zavést základní procesy řízení bezpečnosti znamená 

• mít pod kontrolou komu a proč dávám oprávnění k nějakému software
• mít pod kontrolou, kdo má kam přístup ve firmě (klíče, vstupní karty)
• mít pod kontrolou kdo zná jaká hesla
• mít pod kontrolou, kdo kam ukládá jaké informace
  
• mít pod kontrolou, že když odchází zaměstnanec, tak mu odeberete všechny přístupy
• když nastupuje zaměstnanec, že mu dáváte přístupy a kam
• když zaměstnanec mění pracovní zařazení, změnit i veškerá přístupová oprávnění

Zajistit bezpečnost a ochranu dat a informací znamená

• zavést ochranu dat, jako je zálohování, šifrování nebo jiná opatření
• mít pod kontrolou, kdo má přístup k datům a informacím

Zajistit bezpečnost software, hardware a IT infrastrukturu znamená 

• zajistit pravidelné testování provozní odolnosti
• zabezpečit své informační systémy, aplikace, software
• mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
• provozovat bezpečný a aktualizovaný software
• mít zabezpečenou fyzickou infrastrukturu (pokud například máte serverovnu)
• nesdílet heslo k wifi
• zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb

Zajistit bezpečné a spolehlivé dodavatele ICT služeb znamená

• máte přehled kdo jsou vaši dodavatelé ICT služeb, včetně cloudových služeb
• máte přehled jaká data u nich máte uložena
• víte, že se k datům nedostane nikdo neoprávněný zvenku a to včetně bývalých zaměstnanců
• sledovat rizika, jež představují poskytovatelé služeb ICT 
• smlouvy s poskytovateli ICT služeb musí obsahovat všechny nezbytné údaje

Zajistit vzdělávání pracovníků v informační bezpečnosti znamená

• poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
• poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
• poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji
  

Zavést neodkladné řešení bezpečnostních incidentů znamená

• evidovat útoky, ztráty dat, ztráty klíčů a další podobné bezpečnostní incidenty
• řešit následky těchto bezpečnostních incidentů 
• umět oznámit bezpečnostní incident příslušným orgánům
• informovat klienty o incidentech, které ovlivní jejich finanční zájmy 

Zajistit kontinuitu provozu, obnovu po havárii znamená

• mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
• mít plán zachování provozu, plány pro případ havárie a plány obnovy provozu. 
• umět reagovat při havárii 
• umět obnovit provoz systémů

Zajistit zlepšování výše uvedeného znamená

• provádět pravidelné kontroly, vyhodnocován a testování
• provádět pravidelné aktualizace
• provádět pravidelnou údržbu IT vybavení
• provádět pravidelné audity skutečného stavu
• na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic

Jak vám pomůžeme splnit povinnosti i dokumentovat shodu s DORA

Aptien vám na jednom místě usnadní splnění velké části vašich povinností vyplývajících z nařízení a to ve všech pěti základních pilířích. Pomůže s řízením rizik, s vedením incidentů, s kompletním vedením dokumentace shody, vedením informací o aktivech, s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů. Aptien, jako integrovaný systém řízení rizik a shody vám v jednom prostředí pomůže se:

Zavedením systému řízení rizik

• vedením registru rizik podle požadavků nařízení
• vedením přehledu hrozeb a zranitelností 
• vedením přehledu informačních aktiv a jejich souvislostí

Evidencí a ohlašováním bezpečnostních incidentů a hrozeb spojených s ICT

• evidencí a řešením incidentů spojených s ICT a všech souvisejících informací
• ohlašování bezpečnostních incidentů 

Hlídání pravidelného školení pracovníků 

• vytvářením vzdělávacích plánů
• hlídání termínů povinného vzdělávání v oblasti kybernetické bezpečnosti
• vedením směrnic, pracovních postupů a politik
• digitálním seznamování vašich zaměstnanců se směrnicemi a další dokumentací
  

Hlídáním pravidelných kontrol a testování odolnosti

• vytváření plánů kontrol a testů odolnosti
• hlídání termínů kontrol a testů odolnosti
• vedení informací o provedených testech a kontrolách k jednotlivým IT aktivům 
• vedení provozní dokumentace o vašem IT vybavení a infrastruktuře
• dokumentací zabezpečení používaných aplikací a software
• vedení dokumentace o uložených zálohách, testovacích plánech a údržbě 
  

Řízením rizik spojených s IT dodavateli

• vedení informací o IT službách a jejich dodavatelích
• vedením informací o dodavatelích služeb a vedení katalogu služeb
• vedením informací o přístupech dodavatelů
• vedením informací o přístupech vašich zaměstnanců ke službám (například cloudové služby)
• vedením informací o zabezpečení nakupovaných služeb
• vedení smluv s IT dodavateli (Ve smlouvě musí být např. ujednán přesný a srozumitelný popis všech dodávaných služeb, podmínky ukončení smlouvy nebo povinnost poskytovatele poskytnout pomoc finančnímu subjektu, dojde-li k incidentu v oblasti ICT.)
• řídit rizika spojená s dodavateli ICT služeb, zajistit minimální požadavky na smlouvy s dodavateli ICT služeb a řešení

Podpora vašich bezpečnostních procesů

• podpora nástupu a odchodu zaměstnance - přidělování a odebírání oprávnění a přístupů vašich zaměstnanců
• získáte přehled kdo má kam přístup a proč (kdo má jaký klíč nebo vstupní kartu)
• budete mít pod kontrolou vydané klíče a karty zaměstnancům pomocí jednoduché aplikace
• vedením informací o přístupu a oprávnění vašich zaměstnanců i dodavatelů

Podpora kontinuity provozu

• dokumentací technických a organizačních opatření zvýšení síťové a informační bezpečnosti
• upozorňování na pravidelné testování systémů
• upozorňování na pravidelní prověřování procesů
• zachování kontinuity provozu v případě útoku (business continuity)
• postupy a krizové plány
• plány obnovy provozu (business kontinuity plány) 
• zachování kontinuity provozu v případě útoku (business continuity)