UE a adoptat DORA, un fel de GDPR al siguranței cibernetice pentru organizațiile din sectorul financiar. Ce presupune noul cadru de reglementare pentru echipele de management?

Vizualizari: 280

La finalul anului 2022, actul de reglementare privind reziliența operațională digitală (DORA) a fost publicat în monitorul oficial al Uniunii Europene, întrând în vigoare începând cu 16 ianuarie 2023. Complexitatea efectelor DORA asupra domeniului siguranței cibernetice pentru organizațiile din sectorul financiar este comparabilă cu ceea ce a însemnat GDPR pentru domeniul protecției datelor personale. DORA creează primul cadru legislativ care armonizează măsurile de securitate cibernetică și de risc pentru toate entitățile din sectorul financiar, nu doar pentru bănci, la nivel european.

Cei patru piloni prezentați în DORA

DORA are în vedere patru piloni pe care companiile din sectorul financiar trebuie să îi ia în considerare pentru a înțelege maniera în care practicile lor privind tehnologia informației și comunicațiilor, reziliența operațională și cibernetică, dar și managementul riscurilor rezultate în urma colaborării cu terți asigură continuitatea funcțiilor lor critice.

Primul pilon presupune crearea unui cadru de management al riscului în jurul unui set de principii și cerințe cheie în vederea gestionării riscului privind tehnologia informației și comunicațiilor.

Al doilea pilon vizează modalitatea de raportare a incidentelor, entitățile financiare fiind nevoite să notifice astfel de cazuri în 24 de ore de la producere. În decurs de o lună, organizația compromisă este nevoită să identifice cauza primară a atacului folosind instrumente de detecție și răspuns implementate cu ajutorul echipelor operaționale care trebuie să dea dovadă de o serie de abilități speciale în domeniu. Tehnologiile care pot sprijini procesele de detecție și răspuns sunt soluții cu care principalii jucătorii din sistemul bancar sunt cel mai probabil la zi, activând într-un sector deja puternic reglementat.

Testarea rezilienței operaționale reprezintă al treilea pilon pe care DORA îl reglementează, stabilind standarde la nivelul UE în vederea realizării acestor exerciții. Companiile care au depășit un anumit prag de maturitate – prag care va fi specificat într-un standard tehnic de reglementare ce nu a fost încă adoptat – trebuie să efectueze teste de securitate bazate pe informații despre amenințări cibernetice actuale (Threat-Led Penetration Testing) la fiecare trei ani, excepție făcând cazurile în care aceste dispoziții sunt modificate de autoritățile naționale. În țara noastră, Banca Națională a României a adoptat cadrul TIBER-RO în mai 2022, care se aplică instituțiilor financiare pe care le supraveghează. Acesta presupune testarea rezilienței cibernetice a companiilor din sectorul financiar la fiecare trei ani, iar cele care în prezent se pregătesc pentru implementarea regulamentului nr. 6/2022 privind cadrul de desfășurare a testelor de reziliență cibernetică TIBER-RO pot avea încredere că această activitate le va fi utilă în vederea respectării cerințelor avansate de testare specificate de DORA.

În final, al patrulea pilon precizează necesitatea adoptării unei strategii holistice în ceea ce privește gestionarea relației cu terții, care să permită o monitorizare completă din partea companiei.

Implicații pentru echipele de conducere executivă

Odată cu DORA, un cadru de reglementare mult mai strict decât alte inițiative similare din zona de securitate cibernetică și care va beneficia de o vizibilitate mai mare la nivel european, se observă o schimbare de paradigmă în ceea ce privește implementarea cerințelor, membrii echipelor de conducere executivă din sectorul financiar având un rol mult mai specific în acest sens. Astfel, aceștia vor fi nevoiți să aprobe un set de planuri cheie, cum ar fi strategia de reziliență operațională digitală a companiei și politica acesteia privind terții.

Pe scurt, DORA va obliga managementul să devină un actor activ în procesul decizional care asigură reziliența cibernetică a organizației.

Materialul integral poate fi consultat aici.

 

UE a adoptat DORA, un fel de GDPR al siguranței cibernetice pentru organizațiile din sectorul financiar. Ce presupune noul cadru de reglementare pentru echipele de management? was last modified: februarie 28th, 2023 by Sergiu Zaharia

PARTENERI INSTITUȚIONALI

Vă recomandăm:

Rămâi la curent cu noutățile juridice