Kaj je DORA?

Kaj je DORA?
Digital Operational Resilience Act

ZAKAJ JE POMEMBNA?

  1. Uredba DORA postavlja jasne in zavezujoče standarde za vse udeležence na finančnem trgu, med drugim za banke, investicijska podjetja, zavarovalnice, posrednike, ponudnike kripto-sredstev, izvajalce storitev obdelave podatkov in ponudnike oblačnih rešitev.
  2. DORA prinaša celovit okvir za obvladovanje tveganj na področju IKT in krepitev operativne odpornosti kibernetske varnosti. Posebna pozornost je namenjena tudi upravljanju odnosov s tretjimi izvajalci, kar zagotavlja stabilno in nemoteno izvajanje storitev v celotni finančni verigi.
  3. Uredba uvaja enoten evropski nadzor nad ključnimi ponudniki IKT-storitev, pri čemer imajo pomembno vlogo evropski nadzorni organi (ESA).

UVELJAVITEV DORA

  • DORA je začela veljati v začetku leta 2023. Finančni subjekti so imeli dveletno prehodno obdobje, da svoje poslovanje uskladijo z zahtevami uredbe, pri čemer je bil rok za popolno skladnost začetek leta 2025.
  • 2023: Uredba DORA je začela veljati v prvem četrtletju 2023. Evropski nadzorni organi (ESA) so v nadaljevanju pripravili prve regulativne in izvedbene tehnične standarde (RTS in ITS).
  • 2024: Evropski nadzorni organi (ESA) pripravijo in objavijo vrsto regulativnih ter izvedbenih tehničnih standardov, ki finančnim subjektom ponujajo jasne smernice za izvajanje zahtev uredbe DORA.
  • 2025: Dve leti po začetku veljavnosti uredbe postanejo njene določbe obvezne. Finančni subjekti morajo tako zagotoviti popolno skladnost z DORA najkasneje do začetka leta 2025.

UPRAVLJANJE IKT-TVEGANJ IN OBRAVNAVA INCIDENTOV

Finančni subjekti morajo zagotoviti celovit okvir, ki vključuje:

  1. vzpostavitev in redno vzdrževanje odpornih IKT-sistemov ter orodij za zmanjšanje izpostavljenosti tveganjem,
  2. prepoznavanje, razvrščanje in dokumentiranje ključnih funkcij ter sredstev,
  3. stalno spremljanje vseh virov IKT-tveganj ter uvedbo zaščitnih in preventivnih ukrepov,
  4. mehanizme za pravočasno zaznavo nenavadnih dejavnosti in odzivanje nanje,
  5. oblikovanje politike neprekinjenega poslovanja ter strategije obnovitve po izrednih dogodkih, skupaj z rednim testiranjem,
  6. uvedbo jasnega postopka za beleženje in razvrščanje IKT-incidentov ter poročanje o njih (začetno, vmesno in končno),
  7. zagotavljanje usklajenega poročanja z uporabo standardiziranih predlog, ki so jih pripravili evropski nadzorni organi (ESA), ter izvajanje programov usposabljanja in ozaveščanja zaposlenih.

TESTIRANJE DIGITALNE OPERATIVNE ODPORNOSTI

Kaj zahteva uredba od vseh subjektov?

  • na letni ravni izvedejo osnovno testiranje IKT-orodij in sistemov,
  • sproti prepoznavajo, zmanjšujejo ter odpravljajo morebitne slabosti, pomanjkljivosti ali vrzeli z ustreznimi protiukrepi,
  • redno izvajajo penetracijsko testiranje na podlagi analize groženj (TLPT) za IKT-storitve, ki vplivajo na kritične funkcije,
  • -tretji ponudniki IKT-storitev so pri tem dolžni v celoti sodelovati.

UPRAVLJANJE TVEGANJ TRETJIH OSEB NA PODROČJU IKT

Finančni subjekti so dolžni:

  1. zagotoviti ustrezno spremljanje tveganj, ki izhajajo iz uporabe storitev tretjih ponudnikov IKT,
  2. voditi in poročati o celovitem registru zunanjih dejavnosti, vključno s storitvami znotraj skupine, ter sporočati vse spremembe, kadar gre za zunanje izvajanje kritičnih storitev s strani tretjih ponudnikov IKT,
  3. upoštevati tveganje koncentracije na področju IKT ter tveganja, povezana z dejavnostmi zunanjega izvajanja,
  4. zagotoviti uskladitev ključnih elementov storitev in pogodbenih odnosov s tretjimi ponudniki IKT, tako da je omogočen popoln nadzor,
  5. poskrbeti, da pogodbe s tretjimi ponudniki IKT vsebujejo vse bistvene določbe o spremljanju in dostopnosti, vključno z opisi ravni storitev ter navedbo lokacij, kjer se obdelujejo podatki,
  6. upoštevati Okvir nadzora Unije, ki velja za ključne tretje ponudnike storitev IKT in lahko izda priporočila za ublažitev ugotovljenih tveganj; v primeru neupoštevanja teh priporočil s strani ponudnikov morajo finančni subjekti ustrezno obvladovati povezana tveganja.

IZMENJAVA INFORMACIJ

  • Uredba omogoča finančnim subjektom, da med seboj sklenejo dogovore o izmenjavi informacij in obveščevalnih podatkov o kibernetskih grožnjah.
  • Nadzorni organ finančnim subjektom zagotavlja ustrezne, anonimizirane informacije ter obveščevalne podatke o kibernetskih grožnjah, zato morajo ti vzpostaviti mehanizme za njihov pregled in izvajanje ustreznih ukrepov.

KLJUČNE TOČKE

  1. Upravljanje tveganj na področju IKT
  2. Poročanje o incidentih, povezanih z IKT
  3. Testiranje digitalne operativne odpornosti
  4. Upravljanje tveganj tretjih oseb na področju IKT
  5. Izmenjava informacij