Rozporządzenie DORA: nowe wytyczne dla ICT
Rosnące ryzyko cyberataków skłoniło unijnych urzędników do publikacji kolejnego, po RODO, aktu dotyczącego ochrony danych.
446
298
Zgłaszanie incydentów
DORA to również wytyczne podobne do tych znanych już z NIS (dyrektywa UE w zakresie cyberbezpieczeństwa) oraz polityk bezpieczeństwa. Incydenty będą musiały być monitorowane, a bardziej znaczące naruszenia będą zgłaszane do właściwych organów krajowych. To rozwinięcie istniejącego już TIBER-EU, czyli systemu dla gromadzenia ostrzeżeń o zagrożeniach, który jest dobrze znany red teamom. Kompatybilność DORA z NIS zapewnia instytucjom pewien zestaw standardów i możliwość stałego zwiększania poziomu cyberświadomości. Jeśli zaś idzie o kryteria klasyfikacji incydentów, to zostały one przybliżone w art. 16 DORA. Przepisy określają jednocześnie, że ESA wraz z Europejskim Bankiem Centralnym (EBC) i Agencją Unii Europejskiej ds. Bezpieczeństwa Cybernetycznego (ENISA) stworzy spójny regulacyjny standard techniczny do wykorzystania w przyszłości.
Jak się przygotowywać?
Warto przyjąć optykę, wedle której zmiana wpłynie zarówno na sektor finansowy, jak i ICT. Rzecz jasna, realizując dotychczasowe zalecenia nadzorcze, na przykład odnośnie do wykorzystywania chmury czy outsourcingu, bądź wdrażając środki techniczne i organizacyjne na potrzeby wymagań przetwarzania danych (część zmiany technologicznej w organizacjach już nastąpiła). Będzie to jednak wymagało oceny na nowo i ewentualnego dostosowania. To dostosowanie powinno być łatwiejsze, bo DORA ma za zadanie ujednolicać, nie zaś wprowadzać dodatkowy i niekompatybilny reżim.
W cenie powinna być również interdyscyplinarna optyka. Podobna do tej prezentowanej przez EBA w wytycznych dla zarządzania ryzykiem ICT i bezpieczeństwa. W wytycznych EBA mowa jest wprost o potrzebie współpracy ze specjalistami, okresowymi szkoleniami pracowników oraz wygospodarowaniu na ten cel specjalnego budżetu. Nowe regulacje mogą być solidnym argumentem w rozmowach o tym, że nie ma środków pieniężnych na bezpieczeństwo. I powiedzieć trzeba więcej: w istocie rzeczy to nie o regulacje chodzi, a o zmianę optyki na cybersecurity by design. To realnie pozwala zarządzać ryzykiem bezpieczeństwa, projektować bezpieczniejszą architekturę, dbać o utrzymanie bezpieczeństwa architektury przez cykl jej życia, a w konsekwencji: zamiast gasić pożar, zapobiegać jego wybuchowi.
Nadzieja na ujednolicenie
Biorąc pod uwagę rozproszony system regulacji w zakresie bezpieczeństwa (NIS, GDPR, rozporządzenia techniczne takie jak RTS) oraz zróżnicowane wytyczne organów nadzoru (EBA czy EIOPA), przynajmniej dla rynku finansowego w DORA można widzieć szansę na ujednolicenie tego systemu. W gąszczu regulacji takie ujednolicenie wydaje się być stanem pożądanym. Rynek finansowy oraz ICT może mieć nadzieję, że ta regulacja nieco uporządkuje wymagania nadzoru. Być może w niektórych aspektach pozwoli ona nadzorowi zaprzestać dalszego „doregulowywania”, a przedsiębiorcy zapewni większą stabilność co do nakładanych na niego wymagań i usprawni zarządzanie systemem compliance.
Rozporządzenie DORA wejdzie w życie po upływie 24 miesięcy od dnia jego przyjęcia. A zatem na przygotowanie się do jego zapisów biznes ma około dwóch lat. Doświadczenia związane z RODO pozwalają zaś ogłosić: „czas start!”.
Łukasz Masztalerz Autor jest adwokatem specjalizującym się w prawie i technologii oraz autorem bloga shadowtech.pl.
Podobne artykuły
Odporność priorytetem
Brak wdrożonych reguł polityki bezpieczeństwa zwiększa ryzyko narażenia firmy na zagrożenia. Jest to szczególnie ważne obecnie, gdy głównym celem działań w zakresie ochrony cyfrowych środowisk staje się budowanie ich odporności na najbardziej nawet nieprzewidywalne ataki.
Hillstone Networks: to naprawdę działa
Obejmując obszar od brzegu firmowej sieci po chmurę, produkty Hillstone cieszą się opinią rozwiązań bezpieczeństwa, które po prostu działają. Przyznają to zgodnie zarówno analitycy rynku, jak i klienci.
Bez klasyfikacji nie ma ochrony
Trzy rzeczy są kluczowe dla skutecznej ochrony danych poufnych w firmie – świadomość ich istnienia, a następnie identyfikacja oraz wskazanie procesów, w których są przetwarzane. To podstawa do wyboru odpowiednich rozwiązań informatycznych, zresztą bez względu na to, czy rzecz dzieje się w okresie pandemii, czy też w każdym innym czasie.