11 maja 2022 r. Unia Europejska (UE) osiągnęła wstępne porozumienie w sprawie nowej ustawy o cyfrowej odporności operacyjnej (DORA). Pomimo sformułowania, w DORA nie ma nic „tymczasowego”. W rzeczywistości jedno z najdalej idących na świecie przepisów dotyczących cyberbezpieczeństwa usług finansowych i ich łańcuchów dostaw jest w większości sfinalizowane.
Wszystko, co pozostało do formalnego przyjęcia, którego spodziewamy się w październiku tego roku, obejmuje przede wszystkim kilka zmian technicznych i tłumaczenie na 24 języki urzędowe państw członkowskich UE.
DORA reprezentuje reakcję UE na stale rosnącą liczbę cyberataków na instytucje finansowe. Ma na celu wzmocnienie bezpieczeństwa firm finansowych w UE, takich jak banki, towarzystwa ubezpieczeniowe, firmy inwestycyjne i nie tylko, poprzez nałożenie wymogów w zakresie odporności i regulację łańcucha dostaw. Ale, jak zauważyłem w wcześniejszy post, założenia DORA wykraczają daleko poza UE i jej sektor finansowy.
Jednolite wymagania DORA dotyczące bezpieczeństwa sieci i systemów informatycznych obejmują nie tylko przedsiębiorstwa z sektora finansowego, ale także kluczowych dostawców zewnętrznych świadczących usługi związane z technologiami informatycznymi i komunikacyjnymi dla sektora finansowego, takie jak platformy chmurowe i analityka danych.
W rzeczywistości zasięg DORA rozciąga się na zasadniczo każde przedsiębiorstwo oferujące usługi w zakresie technologii informacyjno-komunikacyjnych (ICT), które jest uważane za kluczowe dla łańcucha dostaw wspierającego europejski sektor finansowy – niezależnie od tego, czy to przedsiębiorstwo lub usługa ma siedzibę na terenie UE. W rzeczywistości w ramach DORA zarówno złożoność łańcucha dostaw, jak i brak obecności UE są uważane za czynniki ryzyka.
Narzucanie nowych perspektyw regulacyjnych
DORA jest wyjątkowa, ponieważ zapewnia nowy i inny poziom kontroli regulacyjnej dla szerokiej gamy globalnych przedsiębiorstw. Wymagania DORA Mandat — a nie tylko sugerować — przestrzeganie jej postanowień. Co równie ważne, wpływ tego nowego poziomu kontroli regulacyjnej różni się w zależności od punktu widzenia przedsiębiorstwa.
Instytucje finansowe przyzwyczajone do otoczenia regulacyjnego, którego zadaniem jest przede wszystkim ocena ryzyka i stabilności finansowej, będą teraz musiały równie poważnie podejść do potencjalnego ryzyka stwarzanego przez ich działalność w zakresie ICT. Instytucje finansowe są przyzwyczajone do uwzględniania ryzyka w formie wymogów kapitałowych. DORA przyjmuje inne podejście, narzucając określone wymagania dotyczące zachowania i wyników. Z punktu widzenia instytucji finansowych to podniesienie ryzyka ma konsekwencje w wielu aspektach ich działalności, takich jak sposób, w jaki korzystają z technologii i jak przekształcają swoją działalność poprzez przejście na nowe technologie, takie jak przetwarzanie w chmurze. Obejmuje to ogólne strategie i możliwości zarządzania ryzykiem, bezpieczeństwo łańcucha dostaw oraz personel organizacyjny i zasady zapewniające właściwą ocenę ryzyka ICT i zgodność.
DORA zmienia także perspektywę regulacyjną organizacji ICT. Do tej pory były one regulowane głównie w kwestiach związanych z danymi, takich jak prywatność danych i powiadamianie o naruszeniu danych, w oparciu o obawy dotyczące danych osobowych i cele polityczne, takie jak suwerenność cyfrowa. Przychodzą mi na myśl przełomowe przepisy, takie jak ogólne rozporządzenie o ochronie danych (RODO) w Europie i nowsza kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) w Stanach Zjednoczonych.
Organizacje ICT mogą mieć także inne obowiązki regulacyjne w zakresie bezpieczeństwa lub zostać zaklasyfikowane jako infrastruktura krytyczna, w zależności od tego, gdzie się znajdują, np. Dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS) w Europie Ustawa o cyberbezpieczeństwie z 2018 r w Singapurze lub ustawodawstwo sektorowe dla wyspecjalizowanych branż, takich jak telekomunikacja w Stanach Zjednoczonych.
Teraz, jeśli firmy ICT obsługują instytucje finansowe w UE, najprawdopodobniej one również zostaną objęte DORA. Zatem poza swoimi wcześniejszymi ramami regulacyjnymi dostawcy ICT wyznaczeni jako oferujący usługi krytyczne zostaną nagle objęci przepisami DORA w sposób, który będzie sprawiał wrażenie, jakby stali się rozszerzenia instytucji finansowych UE, które obsługują. Niezależnie od tego, jak na to spojrzeć, jest to radykalna zmiana – zarówno dla instytucji finansowych, jak i dostawców ICT.
Ale to nie wszystko. DORA zmienia perspektywę tworzenia regulacji prawnych UE. Organy regulacyjne będące ekspertami w zakresie zgodności instytucji finansowych muszą teraz rozszerzyć swój zakres, aby objąć dostawców ICT oferujących usługi krytyczne, takich jak dostawcy usług w chmurze, usługi analizy danych i inne przedsiębiorstwa niefinansowe. W krajach o złożonych strukturach regulacyjnych konieczna będzie także współpraca z innymi organami, których zadaniem jest regulacja tych dodatkowych rodzajów branż niefinansowych.
Sprostanie wyzwaniom
DORA wymaga od instytucji finansowych UE oceny własnej dojrzałości w zakresie cyberbezpieczeństwa i zarządzania ryzykiem. Zrozumienie i zarządzanie ryzykiem w łańcuchu dostaw będzie miało kluczowe znaczenie dla tych wysiłków.
Ogólnie rzecz biorąc, instytucje finansowe są biegłe w przeprowadzaniu testów warunków skrajnych w celu określenia bezpieczeństwa i stabilności finansowej. Rozszerzanie tego rodzaju testów na inne organizacje jest innym wyzwaniem. Zatem dla sektora finansowego UE największą zagadką jest sposób zarządzania dostawcami, zarządzanie ryzykiem i możliwościami operacyjnymi w coraz bardziej złożonym i rozszerzonym łańcuchu dostaw.
Na przykład instytucja finansowa może mieć siedzibę w Europie, ale wszystkie działania pomocnicze mogą być zlecane przedsiębiorstwom mającym siedzibę w Indiach. Z technicznego punktu widzenia te usługi wsparcia nie mogą być instytucjami finansowymi. DORA będzie jednak wymagać od instytucji finansowej oceny, czy sprzedawca ma kluczowe znaczenie dla jej działalności i zastosowania odpowiednich wymogów DORA w odniesieniu do tej relacji.
W przypadku przedsiębiorstw spoza UE kluczową kwestią jest jurysdykcja i dostęp do rynku. Nie ma to wpływu na instytucje finansowe ani dostawców ICT działających poza UE. Jeśli jednak przedsiębiorstwem jest instytucja finansowa lub dostawca usług ICT obsługujący w jakikolwiek sposób sektor finansowy UE, najprawdopodobniej będzie podlegał DORA – bezpośrednio lub pośrednio.
Odliczanie do 2024
O ile w ostatecznym tekście nic się nie zmieni, DORA wejdzie w życie 24 miesiące po oficjalnym przyjęciu. Realistycznie rzecz biorąc, prawdopodobnie nastąpi to gdzieś pod koniec 2024 r. Dobra wiadomość jest taka, że daje to organizacjom mnóstwo czasu na przygotowanie się do zapewnienia zgodności. Co najważniejsze, nie jest zbyt długi, aby uwzględnić go w typowym cyklu budżetu przedsiębiorstwa.
Ale zanim ten termin Cię dopadnie, zacznij się przygotowywać już dziś. Oto pięć kluczowych kroków:
- Wykorzystaj mądrze czas do 2024 roku.
- Zrozum, gdzie jesteś. Wyszukuj, znajduj i identyfikuj luki w zakresie zgodności.
- Określ, czego potrzebujesz, aby uzupełnić luki.
- Edukuj i zdobywaj poparcie ze strony wyższej kadry kierowniczej.
- Budżet na 24 miesiące.
Zegar tyka.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
