Evropska unija (EU) je 11. maja 2022 dosegla začasni dogovor o novem Zakonu o digitalni operativni odpornosti (DORA). Kljub frazi ni nič »začasnega« na DORI. Pravzaprav je eden najdaljnosežnejših predpisov kibernetske varnosti na svetu za finančne storitve in njihove dobavne verige večinoma sklenjen posel.
Vse, kar ostane do uradnega sprejetja, predvidoma oktobra letos, vključuje predvsem nekaj tehničnih sprememb in prevod v 24 uradnih jezikov držav članic EU.
DORA predstavlja odgovor EU na vedno večje število kibernetskih napadov na finančne institucije. Zasnovan je za krepitev varnosti finančnih podjetij v EU, kot so banke, zavarovalnice, investicijska podjetja in drugo, z uvedbo zahtev glede odpornosti in urejanjem dobavne verige. Toda, kot sem omenil v prejšnja objava, načela DORA segajo daleč onkraj EU in njenega finančnega sektorja.
Enotne zahteve družbe DORA glede varnosti omrežij in informacijskih sistemov ne zajemajo samo podjetij v finančnem sektorju, temveč tudi kritične zunanje prodajalce, ki finančnemu sektorju zagotavljajo storitve, povezane z informacijsko in komunikacijsko tehnologijo, kot so platforme v oblaku in analitika podatkov.
Doseg DORA se dejansko razširi na vsa podjetja, ki ponujajo storitve informacijske in komunikacijske tehnologije (IKT), ki veljajo za ključnega pomena za dobavno verigo, ki podpira evropski finančni sektor – ne glede na to, ali ima to podjetje ali storitev sedež v EU ali ne. Pravzaprav se v okviru DORA zapletenost dobavne verige ali pomanjkanje prisotnosti EU štejeta za dejavnika tveganja.
Zagotavljanje novih regulativnih perspektiv
DORA je edinstvena v tem, da prinaša novo in drugačno raven regulativnega nadzora širokemu spektru globalnih podjetij. Zahteve DORA Mandat — ne zgolj predlagati — skladnosti z njegovimi določbami. Enako pomembno je, da se učinek te nove ravni regulativnega nadzora razlikuje glede na zorni kot podjetja.
Finančne institucije, ki so navajene regulativnega okolja, namenjenega predvsem ocenjevanju finančnega tveganja in stabilnosti, bodo zdaj morale enako resno jemati morebitna tveganja, ki jih predstavljajo njihove dejavnosti IKT. Finančne institucije so navajene obravnavati tveganje v obliki kapitalskih zahtev. DORA ima drugačen pristop z zahtevami glede posebnega vedenja in uspešnosti. Z vidika finančnih institucij ima to povečanje tveganja posledice na več vidikov njihovega poslovanja, na primer na to, kako uporabljajo tehnologijo in kako preoblikujejo svoje poslovanje s prehodom na nove tehnologije, kot je računalništvo v oblaku. To vključuje splošne strategije in zmogljivosti obvladovanja tveganja, varnost dobavne verige ter organizacijsko osebje in politike za zagotavljanje ustrezne ocene tveganja IKT in skladnosti.
DORA spreminja tudi regulativni vidik organizacij IKT. Do zdaj so bili urejeni predvsem glede vprašanj, povezanih s podatki, kot sta zasebnost podatkov in obveščanje o kršitvah podatkov, na podlagi skrbi glede osebnih podatkov in političnih ciljev, kot je digitalna suverenost. Pri tem pridejo na misel prelomna pravila, kot sta Splošna uredba o varstvu podatkov (GDPR) v Evropi in novejši Kalifornijski zakon o zasebnosti potrošnikov (CCPA) v Združenih državah.
Organizacije IKT imajo lahko tudi druge regulativne obveznosti glede varnosti ali pa so razvrščene kot kritična infrastruktura, odvisno od tega, kje se nahajajo, na primer pod Direktiva o varnosti omrežij in informacij (NIS) v Evropi, Zakon o kibernetski varnosti iz leta 2018 v Singapurju, oz sektorsko specifično zakonodajo za specializirane industrije, kot so telekomunikacije v ZDA.
Zdaj, če podjetja IKT servisirajo finančne institucije v EU, bodo najverjetneje tudi zanje veljala DORA. Tako bodo poleg svojih predhodnih regulativnih okvirov tisti ponudniki IKT, ki so določeni kot ponudniki kritičnih storitev, nenadoma regulirani v skladu z DORA na način, ki se zdi, kot da postajajo razširitve finančnih institucij EU, ki jih servisirajo. Ne glede na to, kako kdo gleda na to, je to dramatična sprememba – tako za finančne institucije kot za ponudnike IKT.
A to še ni vse. DORA spreminja perspektivo regulativne vzpostavitve EU. Regulatorji, ki so strokovnjaki za skladnost finančnih institucij, morajo zdaj razširiti svoje področje uporabe na ponudnike IKT, ki ponujajo ključne storitve, kot so ponudniki oblakov, storitve analitike podatkov in druga nefinančna podjetja. V državah s kompleksnimi regulativnimi strukturami bo treba sodelovati tudi z drugimi organi, ki bodo zadolženi za regulacijo teh dodatnih vrst nefinančnih industrij.
Soočanje z izzivi
DORA od finančnih institucij EU zahteva, da ocenijo lastno kibernetsko varnost in zrelost obvladovanja tveganj. Razumevanje in obvladovanje uspešnosti tveganj v dobavni verigi bo osrednjega pomena za ta prizadevanja.
Na splošno so finančne institucije vešče stresnih testov za ugotavljanje varnosti in finančne stabilnosti. Drugačen izziv je razširiti te vrste testov na druge organizacije. Za finančni sektor EU je torej največja uganka, kako upravljati prodajalce, obvladovanje tveganja in operativne zmogljivosti v vse bolj zapleteni in razširjeni dobavni verigi.
Na primer, finančna institucija ima lahko sedež v Evropi, vendar ima vse podporne dejavnosti zunanje izvajanje podjetij s sedežem v Indiji. Te podporne storitve morda tehnično niso finančne institucije. Toda DORA bo od finančne institucije zahtevala, da oceni, ali je prodajalec ključnega pomena za njeno poslovanje, in za ta odnos uporabi ustrezne zahteve DORA.
Za podjetja, ki nimajo sedeža v EU, je ključno vprašanje pristojnosti in dostopa do trga. To ne vpliva na finančne institucije ali ponudnike IKT, ki delujejo zunaj EU. Če pa je podjetje finančna institucija ali ponudnik storitev IKT, ki na kakršen koli način servisira finančni sektor EU, bo najverjetneje neposredno ali posredno predmet DORA.
Odštevanje do leta 2024
Če se v končnem besedilu kaj ne spremeni, začne DORA veljati 24 mesecev po uradnem sprejetju. Realno gledano bo to verjetno nekje proti koncu leta 2024. Dobra novica je, da ima to organizacijam dovolj časa, da se pripravijo na skladnost. Najpomembneje je, da ni predolg za vključitev v tipičen proračunski cikel podjetja.
Toda preden se vam ta rok prikrade, se začnite pripravljati zdaj. Tu je pet ključnih korakov:
- Izkoristite čas do leta 2024 pametno.
- Razumeti, kje ste. Iščite, poiščite in prepoznajte svoje vrzeli v skladnosti.
- Ugotovite, kaj potrebujete, da popravite vrzeli.
- Izobražujte in pridobite podporo višjega vodstva.
- Proračun za 24 mesecev.
Ura tiči.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
