Uredba DORA: zakaj in kako se finančni sektor nanjo pripravlja
V tem blogu povzemamo ključne vsebinske poudarke iz podcasta DigiChat z Urošem Žustom, strokovnjakom za kibernetsko varnost in regulativo v finančnem sektorju.
#1 Kaj je DORA in zakaj jo finančni sektor potrebuje?
Uredba Digital Operational Resilience Act (DORA) je nova evropska regulativa, namenjena digitalni operativni odpornosti finančnih institucij — bank, zavarovalnic in drugih akterjev. Namesto, da se osredotoča zgolj na preprečevanje incidentov, poudarja: incidenti se bodo zgodili; vprašanje je, kako hitro in učinkovito se organizacija odzove, zmanjša škodo in nadaljuje delovanje.
#2 Ključni izzivi za organizacije
- Upravljanje tveganj – institucije morajo imeti jasno metodologijo, redno izvajati ocene tveganj in posodabljati rezultate. Le z razumevanjem lastnih tveganj je možno izvesti ukrepe, ki dodajajo vrednost.
- Dobavitelji in zunanji izvajalci – DORA zahteva, da pogodbe vsebujejo varnostne klavzule, poročanje in nadzor. Organizacije morajo razvrstiti dobavitelje po stopnji kritičnosti in temu prilagoditi nadzor.
- Poročanje incidentov – DORA določa jasne roke: začetno poročilo po 4-ih urah od klasifikacije, dopolnitev po 72-ih urah, zaključek po odpravi. To spodbuja preglednost in učenje iz incidentov.
- Preizkušanje odpornosti – gre za redne penetracijske teste, simulacije, ocenjevanje odzivnih načrtov ter za najbolj kritične institucije regulatorno nadzorovane TLPT teste.
- Človeški faktor – ne gre le za tehnologijo: večino incidentov povzročijo človeške napake. Zato so izobraževanje, ozaveščanje in usposabljanje ključni elementi uspešne implementacije.
#3 Kako se lahko organizacije pripravijo?
1. Začnite z oceno tveganj – ugotovite, katere storitve so kritične, kateri dobavitelji predstavljajo največje tveganje.
2. Pogled na pogodbe – preglejte obstoječe pogodbe z dobavitelji, dodajte manjkajoče varnostne klavzule, definirajte poročanje in revizije.
3. Testirajte in vadite – ne čakajte na izpad: izvedite simulacije, preverite odzivne načrte, izvajajte penetracijske teste.
4. Izobražujte zaposlene – vzpostavite kulturo varnosti, redno usposabljajte osebje glede njihovih vlog in odgovornosti.
5. Pristopajte sorazmerno – velikost in zrelost institucije vplivata na pot priprave. Za manjše organizacije je ključno, da se osredotočijo na najpomembnejše korake.
#5 Kaj DORA prinaša za uporabnike finančnih storitev?
Boljša odpornost pomeni bolj zanesljive finančne storitve: manj izpadov, manj motenj, večjo varnost uporabniških podatkov. Čeprav bodo finančne institucije morda morale investirati več, je dolgoročni rezultat bolj stabilno in zaupanje vredno okolje.
DORA ni zgolj regulativna obveznost – je priložnost. Priložnost, da organizacija preoblikuje svoj pristop k varnosti, izboljša poslovne procese in okrepi svoje zaupanje pri strankah. Začnite z analizo tveganj, poiščite strokovno podporo, če jo potrebujete, in glejte na regulativo DORA kot korak naprej.
Podrobneje si lahko pogovor o DORA regulativi z Urošem Žustom, strokovnjakom za kibernetsko varnost in regulativo v finančnem sektorju, ogledate v najnovejši epizodi podcasta DigiChat.
Vas zanima več? Stopite v stik z nami!
PREBERITE TUDI
Blog
Kako slovenska podjetja obvladujejo neskladja in odklone – vpogled v stanje digitalizacije
Upravljanje neskladij in odklonov je eno izmed pomembnih področij sistema vodenja kakovosti v vsaki organizaciji. Gre za procese, ki podjetju omogočajo, da pravočasno zazna nepravilnosti, oceni tveganja in sprejme ustrezne ukrepe.
Blog
Pet korakov do učinkovite digitalne kulture v praksi
Način dela se je v zadnjih letih močno spremenil. Delo na daljavo je postalo nova norma, vedno več vsakodnevnih nalog pa izvajamo prek digitalnih orodij in platform.
Blog
5 nasvetov za varnost vaših podatkov
Podatki so eno najdragocenejših sredstev vsake organizacije, informacijska varnost pa je postala ključni steber zaupanja, uspešnega poslovanja in konkurenčnosti. Varnost informacij ni samo tehnični izziv, ampak predvsem organizacijski.
