Valmistaudu Digital Operational Resilience Actiin
Sisällysluettelo:
Rahoituspalveluorganisaatiot haastetaan parantamaan toiminnan kestävyyttään tulevilla säännöksillä, joiden vaikutukset ulottuvat kauas alan ulkopuolelle.
Digital Operational Resilience Act (DORA) konsolidoi ja laajentaa olemassa olevia kyberturvallisuutta ja toiminnan kestävyyttä koskevia sääntöjä Euroopan unionissa toimiville rahoituspalveluyrityksille.
Tarkemmin sanottuna DORA ottaa käyttöön tieto- ja viestintätekniikan (ICT) riskienhallinnan ja vaaratilanteiden raportoinnin erityisiä ja ohjeellisia vaatimuksia. EU:n neuvosto hyväksyi määräykset tammikuussa 2023 ja aloitti 24 kuukauden täytäntöönpanojakson.
Sekä finanssialan yrityksillä että niiden ICT-teknologian toimittajilla (kuten pilvialustojen ja data-analytiikan toimittajilla) on 17 asti aikaa ryhtyä uusien säännösten mukaisiksi.
Will Richmond-Coggan, brittiläisen asianajotoimisto Freethsin kumppani ja asiantuntija tietosuoja ja kyberoikeudenkäynneissä, kommentoi: "Tämän sääntelyn tarvetta johti rahoituslaitosten lisääntyvä riippuvuus digitaalisista järjestelmistään ja näiden järjestelmien keskinäinen kytkentä koko rahoitussektorilla.
Pankeilta on jo pitkään vaadittu operatiivisten riskien hallintaa auditoinneilla, valvonnalla ja riittävällä pääomalla. Toimenpiteet, joilla varmistetaan toiminnan kestävyys haittaohjelmahyökkäysten ja rikollisen hakkeroinnin kasvavassa ongelmassa, eivät ole yhtä kypsiä, mikä on puute, jota DORA-säännöillä pyritään korjaamaan.
"On selvää, että avaintekijä lainsäädännön takana on johdonmukaisuuden ja varmuuden luominen kaikkien Euroopan rahoitussektorin yksiköiden sekä niiden välittäjien, tytäryhtiöiden ja ulkopuolisten toimittajien teknologisesta kestävyydestä", Richmond-Coggan kertoi ISMS.comille. . "Lainsäädännön tavoitteena on parantaa tapausten läpinäkyvyyttä ja järjestelmän kestävyyttä nostamalla rahoituspalveluyritysten vähimmäisodotuksia."
Viisi pilaria
Lainsäädännön viisi keskeistä pilaria kattavat mm riskienhallinta, tapahtumaraportointi, standardoitu sietokykytestaus, tiedustelutietojen jakaminen ja kolmannen osapuolen riskien hallinta.
Asetus tarjoaa mahdollisuuden parantaa koko alan kestävyyttä, mutta vain, jos "organisaatiot omaksuvat mahdollisuudet koota tietoa ja uhkien tiedustelu auttaa toisiaan tunnistamaan ja korjaamaan heikkouksia”, Richmond-Coggan päätti.
Luke Dash, ISMS.onlinen pääjohtaja, kommentoi: "Yksi DORA:n kriittisistä periaatteista on, että organisaatioiden on omaksuttava ennakoiva lähestymistapa, joka sisältää jatkuvan riskien tunnistamisen ja vankkojen suoja- ja ehkäisytoimenpiteiden luomisen."
Dash jatkoi: "Tämän avulla organisaatiot voivat nopeasti tunnistaa ja poistaa kaikki heikkoudet, puutteet tai aukot digitaalisessa toiminnassaan, mikä takaa järjestelmiensä eheyden ja turvallisuuden."
John Elliott, web-tietoturvatyökalujen toimittajan Jscramblerin turvallisuusneuvoja, sanoi, että DORA:n käyttöönotto merkitsee sitä, että yksinkertaisesti ennaltaehkäisevän valvonnan sijaan organisaatioiden on omaksuttava "kokonaisvaltaisempi näkemys, joka sisältää havaitsemisen, reagoinnin ja palautuksen".
"Se edellyttää myös, että yksiköillä ei ole vain joustavia järjestelmiä, vaan niiden on testattava ja todistettava kestävyys", Elliott lisäsi.
Perustusten asettaminen
Standardit, kuten ISO 27001 voi olla ratkaisevassa roolissa auttamalla organisaatioita noudattamaan Digital Operational Resilience Act (DORA) -lakia.
ISO 27001 kattaa useita DORA-yhteensopivuuden kannalta tärkeitä osa-alueita, mukaan lukien riskien arvioinnin, häiriöihin reagoimisen, liiketoiminnan jatkuvuuden ja toiminnan kestävyyden. "Organisaatioilla, jotka ovat jo saavuttaneet ISO 27001 -sertifikaatin tai ottaneet käyttöön sen periaatteet, on vankka perusta moniin DORA:n vaatimiin turvallisuus- ja kestävyysnäkökohtiin", ISMS. online's Dash selitti.
"Lisäksi ISO 27001:n painotus riskiperusteiseen lähestymistapaan ja jatkuvaan parantamiseen on DORAn hengen mukainen, koska molemmat standardit edistävät ennakoivaa riskienhallintaa ja jatkuvaa toiminnan kestävyyden parantamista", hän lisäsi.
Dash jatkoi: "ISO 27001:n käyttöönotto voi auttaa organisaatioita tunnistamaan ja korjaamaan mahdollisia haavoittuvuuksia, vahvistamaan tietoturva-asentoaan ja luomaan tarvittavat prosessit ja hallintalaitteet DORA-vaatimusten noudattamiseksi."
Muut asiantuntijat olivat yhtä mieltä siitä, että ISO 27001 -standardin soveltaminen luo pohjan kunnianhimoisemmalle tavoitteelle siirtyä kohti DORA-vaatimustenmukaisuutta.
Jscrambler's Elliott selitti: ”Koska [DORA:n] artiklan 5(4) edellyttää, että organisaatiot ottavat käyttöön tietoturvallisuuden hallintajärjestelmän tai ISMS:n, standardien, kuten 27001, noudattaminen on luonnollinen valinta useimmille organisaatioille sekä antaa niille rakenne tietoturvalleen ja pystyäkseen osoittamaan sääntelijälle, että heillä on ISMS käytössä."
ISMS.online's Dash lisäsi, että käyttämällä 27001:tä ponnahduslautana "organisaatiot voivat tehostaa vaatimustenmukaisuusponnistelujaan ja osoittaa proaktiivista sitoutumistaan tietoturvaan ja toiminnan kestävyyteen", mikä on olennainen osa DORA:n noudattamista.
"ISO 27001 voi myös antaa organisaatioille mahdollisuuden lisätä muita standardeja ajan myötä, mikä yksinkertaistaa organisaatioiden noudattamista yleisemmin riskiympäristön mukautuessa", Dash totesi.
Anglo-tiedosto
DORA on EU-asetus, ja koska Yhdistynyt kuningaskunta ei ole EU:ssa, sillä ei ole suoraa vaikutusta – ainakaan Yhdistyneen kuningaskunnan lainsäädäntöön. Yhdistyneessä kuningaskunnassa toimivien tahojen, jotka tarjoavat palvelujaan asiakkaille EU:ssa, on kuitenkin noudatettava DORAa.
"Hallitus on ilmoittanut säätävänsä lainsäädäntöä kolmansien osapuolten operatiivisesta kestävyydestä, ja BOE [Englannin keskuspankki]/PRA ja FCA [Fiinacial Conduct Authority] ovat yhdessä neuvotelleet tästä alueesta, vaikka virallista sääntöä ei ole vielä ilmestynyt, Jscrambler's Elliottin mukaan. "Pankilla on käytössä muita ohjelmia, jotka ovat linjassa joidenkin DORA:n näkökohtien kanssa, esimerkiksi vaatimus uhka-lyijy-penetraatiotestauksesta CBEST:ssä."
ISMS.online kehotti Information Commissioner's Officea (ICO) kommentoimaan, kuinka nopeasti Yhdistyneen kuningaskunnan organisaatiot voisivat ottaa DORA:n käyttöön ja onko ICO:lla roolia asetuksen edistämisessä tai täytäntöönpanossa. Se kieltäytyi kommentoimasta.
esteet
DORAn noudattaminen on todennäköisesti suuri projekti.
Jscrambler's Elliott kommentoi: ”Suurin ongelma, jonka näen, ovat keskikokoiset rahoituslaitokset, jotka ovat liian suuria hyödyntääkseen pienyritysten ja mikroyritysten poikkeuksia, mutta joilla ei ole aiemmin tarvinnut olla näin hienostunutta lähestymistapaa kyberturvallisuuteen. Heillä ei ole paljon aikaa tehdä asetuksen edellyttämiä teknisiä ja filosofisia muutoksia.
Se, kuinka nopeasti kyseiset organisaatiot pystyvät noudattamaan DORAa, vaikuttavat monet tekijät, mukaan lukien "yrityksen koko, infrastruktuurin monimutkaisuus ja organisaation valmius omaksua uusia toimintatapoja" ISMS. online's Dash selitti.
"DORA-asetuksessa on monia vaatimuksia, mukaan lukien riskinarviointien suorittaminen, toiminnan kestävyyden vahvistaminen ja vankkojen tapausten reagointimenettelyjen luominen", Dash totesi. "Näiden tavoitteiden saavuttaminen ja näiden prosessien riittävä juurruttaminen voi kestää useista kuukausista muutamaan vuoteen."
Compliance-ammattilaiset ja alustat voivat "auttaa virtaviivaistamaan käyttöönottoprosessia ja varmistamaan jatkuvan vaatimustenmukaisuuden", Dash totesi.
15-vaiheinen DORA-tarkistuslista
Lataa tämä kätevä 15-vaiheinen tarkistuslista, joka auttaa sinua pääsemään alkuun vaatimustenmukaisuuden saavuttamiseksi. Koska Digital Operational Resilience Act -lain voimaantuloon on enää 18 kuukautta jäljellä, ei ole koskaan ollut parempaa aikaa aloittaa!
