Rada UE 28 listopada 2022 r. przyjęła rozporządzenie DORA w sprawie operacyjnej odporności cyfrowej (Digital Operational Resilience Act). Akt ten ma na celu zwiększenie poziomu cyberodporności w sektorze finansowym i będzie dotyczył instytucji finansowych oraz zakwalifikowanych dostawców produktów i usług ICT. DORA jest rozporządzeniem, a zatem, podobnie jak RODO, będzie obowiązywać bezpośrednio. Można jednak spodziewać się, że zostanie nadpisane stanowiskami organów nadzoru lub rozporządzeniami technicznymi lokalnych instytucji w poszczególnych krajach.

To z pewnością dobra okazja do ujednolicenia przepisów. Jednocześnie regulacja odpowiada na widoczne na rynku problemy bezpieczeństwa produktów, jak brak wsparcia przez aktualizację oprogramowania dla IoT. Rozporządzenie odpowiadać może również na takie problemy prawne, jak przenikające się regulacje czy zróżnicowane wytyczne krajowych organów nadzoru.

DORA to równie cenna próba zmiany optyki z „łataj po wykryciu” na „zachęcaj do wykrycia” (np. poprzez programy bug bounty, których wartość, w odróżnieniu od pentestów, polega na stałym testowaniu różnych warstw i wynagradzaniu za „efekt”) czy z podejścia „napraw po katastrofie” na podejście „cybersecurity by design”.

DORA ma też w swoim założeniu odpowiadać na wyzwania związane z postępującą cyfryzacją i zarządzać sytuacją, w której klient byłby skazany na jednego giga-dostawcę (tzw. vendor lock-in). A ma to robić m.in przez wzmacnianie nadzoru nad zarządzaniem ryzykiem ICT i motywowanie firm do identyfikacji słabych punktów ich strategii oraz oceny ich cyberodporności.

Dostawca IT pod okiem nadzoru  

Poza ogólnym skojarzeniem, że DORA dotyczy cyberodporności instytucji finansowych, to regulacje te będą bezpośrednio stosowały się do krytycznych dostawców ICT. Będzie się to uwidaczniało między innymi w opisach przedmiotów zamówień. Przy czym wynika to z podejścia do zarządzania ryzykiem operacyjnym, w którym to podmiot nadzorowany odpowiada za zgodność i to ten podmiot odbiera od dostawcy zapewnienia i gwarancje. Przed podjęciem decyzji o współpracy zamawiający przeprowadza audyt, bo znowu to on odpowiada za to, że rozwiązania dostawcy zapewnią mu oraz uczestnikom rynku zgodność i bezpieczeństwo.

DORA ten stan rzeczy może trochę zmienić. Dyrektywa opisuje bowiem wymogi dla postanowień umów, a elementy krytyczne usług chce objąć nadzorem organów unijnych (ESA). A zatem w myśl DORA dostawcy infrastruktury (np. rozwiązań chmurowych, bądź rozwiązań służących do zarządzania cyber – SOC) będą również podlegali nadzorowi.