KAJ JE DORA?

DORA -Digital Operational Resilience Act

Gre za evropsko uredbo, ki določa pravila, kako morajo finančne ustanove (banke, zavarovalnice, plačilni sistemi, investicijska podjetja …) poskrbeti, da njihovi informacijski sistemi in digitalne storitve delujejo varno in zanesljivo – tudi v primeru kibernetskih napadov, napak ali kriz.

Z enotnim in usklajenim nadzornim pristopom v različnih sektorjih DORA prispeva k večji skladnosti ter poenotenju praks na področju kibernetske varnosti in operativne odpornosti v Evropski uniji.

ZAKAJ JE POMEMBNA?

1. Uredba DORA bo zajela več kot 22.000 finančnih institucij in ponudnikov IKT-storitev v EU. Postavlja jasne in zavezujoče standarde za vse udeležence na finančnem trgu, med drugim za banke, investicijska podjetja, zavarovalnice, posrednike, ponudnike kripto-sredstev, izvajalce storitev obdelave podatkov in ponudnike oblačnih rešitev.

2.  DORA prinaša celovit okvir za obvladovanje tveganj na področju IKT in krepitev operativne odpornosti kibernetske varnosti. Posebna pozornost je namenjena tudi upravljanju odnosov s tretjimi izvajalci, kar zagotavlja stabilno in nemoteno izvajanje storitev v celotni finančni verigi.

3.  Posebnost uredbe je v tem, da uvaja enoten evropski nadzor nad ključnimi ponudniki IKT-storitev, pri čemer imajo pomembno vlogo evropski nadzorni organi (ESA).

UVELJAVITEV DORA

  • DORA je začela veljati v začetku leta 2023. Finančni subjekti imajo na voljo dveletno prehodno obdobje, da svoje poslovanje uskladijo z zahtevami uredbe, pri čemer je rok za popolno skladnost začetek leta 2025.
  • 2020: Evropska komisija je 24. septembra 2020 predstavila osnutek uredbe o digitalni operativni odpornosti (DORA) kot del svežnja ukrepov za področje digitalnih financ (DFP).
  • 2022: V prvi polovici leta 2022 sta Evropski parlament in Svet obravnavala predlog uredbe ter opravila politične in tehnične tristranske pogovore. Evropski parlament je DORA potrdil 10. novembra 2022, Svet EU pa jo je dokončno sprejel 18. novembra 2022.
  • 2023: Uredba DORA je začela veljati v prvem četrtletju 2023. Evropski nadzorni organi (ESA) so v nadaljevanju pripravili prve regulativne in izvedbene tehnične standarde (RTS in ITS).
  • 2024: Evropski nadzorni organi (ESA) pripravijo in objavijo vrsto regulativnih ter izvedbenih tehničnih standardov, ki finančnim subjektom ponujajo jasne smernice za izvajanje zahtev uredbe DORA.
  • 2025: Dve leti po začetku veljavnosti uredbe postanejo njene določbe obvezne. Finančni subjekti morajo tako zagotoviti popolno skladnost z DORA najkasneje do začetka leta 2025.

KLJUČNE TOČKE

 1. Upravljanje tveganj na področju IKT

2. Poročanje o incidentih, povezanih z IKT

3. Testiranje digitalne operativne odpornosti

4. Upravljanje tveganj tretjih oseb na področju IKT

5. Izmenjava informacij

UPRAVLJANJE IKT-TVEGANJ IN OBRAVNAVA INCIDENTOV

Finančni subjekti morajo zagotoviti celovit okvir, ki vključuje:

  1. vzpostavitev in redno vzdrževanje odpornih IKT-sistemov ter orodij za zmanjšanje izpostavljenosti tveganjem,
  2. prepoznavanje, razvrščanje in dokumentiranje ključnih funkcij ter sredstev,
  3. stalno spremljanje vseh virov IKT-tveganj ter uvedbo zaščitnih in preventivnih ukrepov,
  4. mehanizme za pravočasno zaznavo nenavadnih dejavnosti in odzivanje nanje,
  5. oblikovanje politike neprekinjenega poslovanja ter strategije obnovitve po izrednih dogodkih, skupaj z rednim testiranjem,
  6. uvedbo jasnega postopka za beleženje in razvrščanje IKT-incidentov ter poročanje o njih (začetno, vmesno in končno),
  7. zagotavljanje usklajenega poročanja z uporabo standardiziranih predlog, ki so jih pripravili evropski nadzorni organi (ESA), ter izvajanje programov usposabljanja in ozaveščanja zaposlenih.

TESTIRANJE DIGITALNE OPERATIVNE ODPORNOSTI

Kaj zahteva uredba od vseh subjektov?

  • na letni ravni izvedejo osnovno testiranje IKT-orodij in sistemov,
  • sproti prepoznavajo, zmanjšujejo ter odpravljajo morebitne slabosti, pomanjkljivosti ali vrzeli z ustreznimi protiukrepi,
  • redno izvajajo penetracijsko testiranje na podlagi analize groženj (TLPT) za IKT-storitve, ki vplivajo na kritične funkcije,
  • tretji ponudniki IKT-storitev so pri tem dolžni v celoti sodelovati.