Rozporządzenie DORA: nowe wytyczne dla ICT
Rosnące ryzyko cyberataków skłoniło unijnych urzędników do publikacji kolejnego, po RODO, aktu dotyczącego ochrony danych.
Zarządzanie ryzykiem ICT
Obowiązki, które sektorowi finansowemu znane są już wskutek realizacji wytycznych organów nadzoru (EBA czy KNF), realizacji polityk bezpieczeństwa czy planów BCP – znajdują odzwierciedlenie w nowych wymogach prawnych. I tak na przykład: będzie to wymóg prowadzenia dokumentacji działań instytucji finansowej przed oraz w trakcie incydentu ICT (art. 10 DORA), bądź wymóg przywrócenia danych z kopii zapasowej w odrębnym środowisku operacyjnym (art. 11 DORA).
Dane związane z działalnością instytucji finansowych hostowane są przez dostawców. W myśl DORA dostawcy tacy mogą zostać zakwalifikowani jako krytyczni, co będzie równało się z objęciem ich bezpośrednim nadzorem, a nie jak dotąd pośrednim, którym niejako zarządzała instytucja finansowa (zarządzała w tym sensie, że audytowała dostawcę oraz nakładała na niego określone obowiązki umowne). To powinno skutkować praktyką, w której dostawca dokonuje przeglądu własnych procesów dokumentacji i przygotowuje się w ten sposób na zgodność z DORA (przykładowe dokumenty, które mogą wymagać weryfikacji wymieniamy w ramce obok).
- opis funkcji oraz usług, być może wraz z oceną ich krytycznej roli
- lokalizacja dostawcy i jurysdykcja, której dostawca podlega
- stosowane rozwiązania techniczne, np. w zakresie szyfrowania czy backupu danych
- obowiązki i gwarancje w zakresie przetwarzanych danych, znana triada CIA (poufność, integralność oraz dostępność danych)
- czas i zasady wypowiadania umowy
- strategia wyjścia z wyraźnym określeniem wsparcia po stronie dostawcy (tzw. exit plan)
- polityka prywatności
- polityka bezpieczeństwa informacji
- plan ciągłości działania (BCP)
- polityka reakcji na incydenty
- plany testowania cyfrowej odporności
- wzory ankiet oceny bezpieczeństwa produktów i usług
- dokument OSA (Operation, Security & Architecture)
Podobne artykuły
Data Act: użytkownik sam zdecyduje
Pojawiły się unijne regulacje, które w zamierzeniach ustawodawców mają ułatwić dostęp do danych i obrót nimi na rynku europejskim. Nakładają one nowe obowiązki na producentów sprzętu cyfrowego, dostawców usług przetwarzania danych i pośredników w obrocie danymi.
Akt w sprawie AI w kontekście RODO: 10 kluczowych informacji
Ochrona danych osobowych jest jednym z dwóch, oprócz prawa autorskiego, obszarów wywołujących największe kontrowersje prawne, jeśli chodzi o stosowanie sztucznej inteligencji.
Sprzęt coraz bardziej inteligentny
Producenci sprzętu IT pokładają duże nadzieje w generatywnej sztucznej inteligencji. Bieżący rok przyniesie wstępną weryfikację ich oczekiwań.