Pięć kluczowych kwestii dotyczących ustawy o cyfrowej odporności operacyjnej (DORA) (Omkar Nisal)

24 września 2020 r. Komisja Europejska opublikowała pierwszy projekt wniosku dotyczącego ustawy o cyfrowej odporności operacyjnej (DORA) w ramach pakietu finansów cyfrowych (DFP). Celem jest przeprowadzenie instytucji finansowych przez złożoność kryptowalut
aktywów, technologii blockchain i cyfrowej odporności operacyjnej, a także doradztwo w zakresie odnowionej strategii płatności detalicznych. Pomimo korzyści, jakie przyniesie DORA, dla wielu przedsiębiorstw poruszanie się wśród wymaganych zmian będzie wyzwaniem.
Oto pięć kluczowych punktów, które należy wziąć pod uwagę przy zapewnianiu zgodności z ustawą.

 1.       Czym jest DORA i dlaczego jest ważna?

 Nowa ustawa zapewni głównym europejskim podmiotom finansowym niezbędne zabezpieczenia w celu ograniczenia cyberataków i innych zagrożeń związanych z ICT lub IT.

 DORA wkrótce stanie się wiążącym prawem obejmującym każde państwo członkowskie UE i działające w nim instytucje świadczące usługi finansowe. Dlaczego więc ma to znaczenie dla Wielkiej Brytanii?

 Chociaż Wielka Brytania nie jest już członkiem UE, pozostaje jednym z podstawowych europejskich ośrodków finansowych. Brytyjskie organizacje świadczące usługi finansowe działające na rynku europejskim – prywatne lub publiczne – działające w UE będą wkrótce musiały przestrzegać tych
regulacje prawne – czyniąc DORA istotnym elementem wszelkich praktyk biznesowych w Wielkiej Brytanii.

 2.       Waga legislacyjna DORA

 Poważna waga legislacyjna, jaką niesie ten nowy akt europejski, to kolejny ważny powód, dla którego brytyjskie organizacje świadczące usługi finansowe powinny zacząć myśleć o przestrzeganiu przepisów. Organ ds. usług finansowych w każdym kraju europejskim przejmie rolę zapewnienia zgodności
nadzór i egzekwowanie przepisów, jeśli to konieczne. Na instytucje, które nie zastosują się do nowych przepisów, zostaną nałożone wysokie kary, co może skutkować uszczupleniem zysków i potencjalną utratą reputacji.

 Oznacza to, że główny nadzorca może nałożyć znaczne kary za nieprzestrzeganie zasad. Te znaczące kary będą miały formę okresowej kary pieniężnej w wysokości 1% średniego dziennego globalnego obrotu organizacji w poprzedniej działalności
rok. Będzie to stosowane przez Nadzorcę Wiodącego codziennie, aż do osiągnięcia zgodności, przez okres nie dłuższy niż sześć miesięcy.

 3.       Zrozum swój stan bezbronności

 Jeśli chodzi o ryzyko cybernetyczne i odporność, samo „cyberubezpieczenie” po prostu nie wystarczy – niezbędna jest także stała informacja o stanie ryzyka. Wszechobecność technologii w dzisiejszej działalności przedsiębiorstw oraz jej łączność rozciągają się na cały standard
fizyczne zasoby technologiczne wykorzystywane w codziennych operacjach: od ICT, bankomatów, laptopów, kamer w salach konferencyjnych po wszystkie wirtualne domeny chmury, rozwiązania lokalne, sztuczną inteligencję i innowacje kwantowe.

 Ustawa pomaga interesariuszom i decydentom w lepszym zrozumieniu wewnętrznego stanu ryzyk i podatności na zagrożenia, na jakie narażone są ich firmy. W najnowszym

raport dotyczący odpornościrząd Wielkiej Brytanii potwierdził, że w przypadku cyberbezpieczeństwa luka w ochronie ubezpieczeniowej pozostaje wysoka – „90% wszystkich strat cybernetycznych pozostaje nieubezpieczonych”.

 DORA pomoże brytyjskim instytucjom finansowym stawić czoła szerszemu wyzwaniu, jakim jest zapewnienie interesariuszom i odpowiedzialnym decydentom właściwej widoczności na najważniejsze aktywa i stan aktywów, które definiują niezawodność i skuteczność
ich usług.

 4.       Co wchodzi w zakres ustawy?

 Po finalizacji ustawa będzie miała zastosowanie do szerokiego spektrum podmiotów finansowych, w tym instytucji kredytowych, instytucji pieniądza elektronicznego, firm inwestycyjnych, zakładów ubezpieczeń i zakładów reasekuracji. Ale nie chodzi tylko o instytucje świadczące usługi finansowe
na które ma to wpływ. W ramach DORA „krytyczni zewnętrzni dostawcy ICT” (CTPP), w tym dostawcy usług w chmurze (CSP), będą objęci zakresem regulacyjnym ogólnounijnych standardów w zakresie cyfrowych testów odporności operacyjnej.

 Kolejnym elementem nowości jest ujednolicenie wytycznych dotyczących zarządzania ryzykiem ICT, klasyfikacji incydentów i raportowania w sektorach usług finansowych. Harmonizacja tych kluczowych aktywów otwiera drzwi podmiotom finansowym do założenia własnej działalności
w bezpiecznych granicach zjednoczonego unijnego centrum ochrony przed cyberzagrożeniami.

 Wszelkie podmioty brytyjskie działające na europejskim rynku finansowym będą musiały przestrzegać ustawy, co stanowi podstawowy prerogatywę zapewniającą widoczność na rynku oraz środek legitymizacji do rozpoczynania na nim partnerstw.

 5.       Specjalistyczne narzędzia, które pomogą Ci we wdrożeniu planu DORA

 Niektóre organizacje nadal korzystają z ręcznych procesów i arkuszy kalkulacyjnych do rejestrowania, zarządzania i raportowania zgodności korporacyjnej, zarządzania ryzykiem i zmian regulacyjnych w całej firmie. Te statyczne arkusze kalkulacyjne szybko się rozpadają, jeśli chodzi o zarządzanie i śledzenie
wszystkie złożone działania związane z zarządzaniem, ryzykiem i zgodnością w organizacji.

 Instytucje muszą zapewnić ścisłe przestrzeganie DORA, w związku z czym mogą wymagać odpowiedniej pomocy ze strony wyspecjalizowanych narzędzi informatycznych, które mogą pomóc w wyszukiwaniu, dokumentowaniu, zarządzaniu i klasyfikowaniu aktywów przy ocenie poziomów ryzyka aktywów objętych
Zakres.

 Wyspecjalizowane platformy bezpieczeństwa mogą być najbardziej opłacalnym rozwiązaniem tych problemów, przy jednoczesnym dostosowaniu się do zmieniającego się otoczenia regulacyjnego w zakresie finansów. Te specjalistyczne platformy pomagają identyfikować nowe typy punktów końcowych (takich jak kamery w salach konferencyjnych)
i może współpracować z istniejącymi narzędziami, jeśli istnieją, w celu zapewnienia dokładnego rejestru aktywów. Głównym celem tych platform jest bezproblemowe ograniczenie wszelkich martwych punktów odporności operacyjnej i ochrona pracowników w obliczu niekorzystnych zdarzeń operacyjnych
poprzez przewidywanie, zapobieganie i dostosowywanie się do takich zdarzeń.

 Podsumowując

 Podsumowując, instytucje finansowe muszą upewnić się, że będą przestrzegać przepisów DORA, w przeciwnym razie narażają się na ryzyko niemałych okresowych kar pieniężnych. Aby zachować zgodność, organizacje muszą zidentyfikować wszystkie aktualnie obecne zasoby
ryzyko dla kluczowych procesów. Następnie organizacje muszą zrozumieć poziom ryzyka, jaki stwarza każdy zasób, aby mieć pewność, że rozważone zostaną środki zaradcze. Na rynku dostępne są specjalistyczne narzędzia, które mogą pomóc organizacjom znajdować, dokumentować, zarządzać i klasyfikować
ich aktywa. Porozmawiaj ze specjalistą IT, aby dowiedzieć się, jak może pomóc Twojej organizacji w tym wszystkim.