Tietoturva- ja vaatimustenmukaisuustiimeillä oli kiireinen alku vuodelle 2025. DORA tuli voimaan juuri ennen jäsenvaltioiden NIS 2 -direktiivin täytäntöönpanon määräaikaa ja uuden PCI DSS 4.0 -järjestelmän käyttöönottoa: digitaalisen ja operatiivisen sietokyvyn lakiSen odotettiin kattavan 17. tammikuuta alkaen yli 22,000 XNUMX EU:ssa toimivaa rahoituspalveluyritystä ja niiden ICT-toimittajaa soveltamisalaansa.

On vain yksi ongelma. Uuden tutkimuksen mukaan 96 % eurooppalaisista finanssipalveluyrityksistä ei vieläkään usko, että niiden digitaalinen sietokyky riittää täyttämään DORAn tiukat vaatimukset. Ja monet IT- ja tietoturvatiimit tuntevat olevansa ylikuormitettuja lisätyömäärän vuoksi. Tässä kohtaa ISO 27001 -standardin noudattaminen voisi olla hyödyllistä.

Taloudellisen kestävyyden uusi aikakausi

Kyberongelmat ovat kahden viime vuosikymmenen aikana aiheuttaneet 12 miljardin dollarin suorat tappiot maailmanlaajuisille rahoitusyrityksille, ... IMFTämä ei ole pelkästään taloudellinen riski, vaan se voi aiheuttaa systeemisen riskin koko kriittiselle kansalliselle infrastruktuurille. DORA on Euroopan komission vastaus: uusi asetus, jonka tarkoituksena on varmistaa, että rahoitusyrityksillä – ja ennen kaikkea niiden toimittajilla – on kyky jatkaa toimintaansa myös vakavien häiriöiden aikana.

Se tekee tämän samanaikaisesti yhdenmukaistamalla määräyksiä ja nostamalla rimaa turvallisuus- ja vaatimustenmukaisuustiimeille, jotka työskentelevät hankkeen piirissä. Menetelmässä on viisi keskeistä pilaria:

  1. ICT-riskinhallinta: Vankat käytännöt ICT-riskien tunnistamiseksi, arvioimiseksi ja lieventämiseksi.
  2. Tapahtumaraportointi: Merkittävien ICT-poikkeamien oikea-aikainen ja standardoitu raportointi asiaankuuluville viranomaisille.
  3. Digitaalinen kestävyystestaus: Säännöllinen testaus organisaation häiriövalmiuden arvioimiseksi.
  4. Kolmannen osapuolen riskienhallinta: Rahoituslaitosten toimitusketjuunsa liittyvien riskien valvonnan ja hallinnan varmistaminen.
  5. Tiedon jakaminen: Uhkatietojen jakamisen rohkaiseminen alan sisällä kollektiivisen sietokyvyn parantamiseksi.

Vielä on matkaa

Valitettavasti asiat eivät mene aivan suunnitelmien mukaan, jos tulokset uusi Veeam-kysely on uskominen. Yritys teki kyselyn yli 400 IT-/vaatimustenmukaisuuspäätöksentekijälle Isossa-Britanniassa, Ranskassa, Saksassa ja Alankomaissa. Tuloksena olevan raportin mukaan 94 % pitää DORAa nyt tärkeämpänä kuin kuukautta ennen määräaikaa, ja sama osa on selvillä siitä, mitä toimia heidän on toteutettava. Silti valtaosa ei vieläkään täytä DORAn resilienssistandardeja.

Veeamin mukaan monilla yrityksillä ei ole budjettia (20 %) DORA-vaatimustenmukaisuuteen, ja joissakin tapauksissa ne kohtaavat korkeampia toimituskustannuksia (37 %), jotka ICT-kumppanit siirtävät heidän yrityksiinsä. Kaksi viidesosaa (41 %) raportoi myös lisääntyneestä stressistä ja paineesta IT- ja tietoturvatiimeissään.

Vain puolet on integroinut DORAn vaatimukset laajempiin kriisinhallintaohjelmiinsa. Veeamin Ison-Britannian ja Irlannin aluejohtaja Drew Gardner uskoo, että monet näistä vaatimustenmukaisuuden puutteista ja viivästyksistä saattavat johtua kolmansien osapuolten vastuista.

”Koska nämä kolmannet osapuolet kattavat niin monia toimintoja, monet organisaatiot ovat olettaneet tuotteidensa noudattavan DORA-standardeja, mutta näin ei yksinkertaisesti ole”, hän kertoo ISMS.online-sivustolle. ”Koska niin monissa sopimuksissa ei ole jaetun vastuun malleja, organisaatio on voinut olettaa, että vaatimustenmukaisuus kuuluu heidän palveluntarjoajansa vastuulle, vaikka palveluntarjoaja onkin uskonut päinvastaista.”

Missä he epäonnistuvat

Raportin tiedot tukevat Gardnerin näkemystä. Kolmasosa (34 %) kyselyyn vastanneista väittää, että vaatimustenmukaisuuden vaikein osa on kolmannen osapuolen riskienhallinta. Viidesosa ei ole vielä edes yrittänyt sitä.

”Keskimääräinen finanssipalveluorganisaatio työskentelee todennäköisesti kymmenien kolmansien osapuolten palveluntarjoajien kanssa, ja useimmat toimivat mustan laatikon mallin mukaisesti – antaen vain vähän tietoa heidän turvatoimistaan”, Gardner sanoo.

”Niille, jotka eivät vielä ole ottaneet käyttöön tätä kolmannen osapuolen valvontaa, sen selvittäminen ei ole mikään helppo tehtävä, eivätkä organisaatiot voi viivyttää.”

Muita osa-alueita, joihin monet organisaatiot eivät ole vielä alkaneet puuttua, ovat:

  • Palautumis- ja jatkuvuustestaus (24 %)
  • Tapahtumailmoitus (24 %)
  • DORA-toteutuksen vetäjän valinta (24 %)
  • Digitaalisen toiminnan sietokyvyn testaus (23 %)
  • Varmuuskopioiden eheys ja turvallinen tietojen palautus (21 %)

Takaisin radalle

Kun tehtävää ja muita prioriteetteja on vielä paljon, DORA-vaatimustenmukaisuus voi tuntua pelottavalta tehtävältä. Gardner kuitenkin väittää, että parhaiden käytäntöjen standardien ja viitekehysten käyttöönotto voisi "merkittävästi keventää" vaatimustenmukaisuuden taakkaa.

”Erityisesti ISO 27001 -standardin avulla organisaatiot voivat vähentää päällekkäistä työtä ja tehostaa useiden säännösten noudattamista, mikä säästää sekä aikaa että resursseja”, hän selittää.

”Sen strukturoitu lähestymistapa riskienhallintaan tarkoittaa, että organisaatiot voivat tunnistaa ja lieventää potentiaalisia tietoturvariskejä systemaattisesti sen sijaan, että niitä torjuttaisiin useilla rintamilla samanaikaisesti. Tämä parantaa yleistä tietoturvatilannetta ja tarjoaa selkeän ja dokumentoidun prosessin vaatimustenmukaisuuden osoittamiseksi tilintarkastajille ja sääntelyviranomaisille.”

Rubrikin teknologiajohtaja James Hughes kehottaa organisaatioita sisällyttämään DORA-vaatimustenmukaisuuden päivittäisiin prosesseihin sen sijaan, että niitä kohdeltaisiin kertaluonteisena projektina.

”Kuuden kuukauden jälkeen DORA ei ole vain lisännyt vaatimustenmukaisuustaakkaa, vaan se pakottaa todellisiin operatiivisiin muutoksiin. Mutta on olemassa vaara, että siitä tulee jälleen yksi sääntöjen täyttämä harjoitus, jos tietoturvajohtajat eivät muuta ajattelutapaansa”, hän kertoo ISMS.online-sivustolle. ”Kyse ei ole auditointien läpäisemisestä, vaan kyvystä kestää ja toipua todellisista hyökkäyksistä mahdollisimman vähäisin liiketoiminnan seisokkein.”

Yli viidennes (22 %) Veeamin kyselyyn vastanneista organisaatioista väittää, että DORAn suunnittelua olisi voitu parantaa vaatimustenmukaisuuden lisäämiseksi. He ovat vaatineet yksinkertaistamista, selkeyttämistä ja yksityiskohtaisempaa ohjeistusta kolmansien osapuolten riskien hallintaan. Sääntelyviranomaiset eivät välttämättä anna tätä. Hughesin mukaan sillä välin ei ole liian myöhäistä alkaa paikata tutkimuksessa esiin nousseita aukkoja.

”Aloita kartoittamalla kriittiset ICT-resurssisi, harjoittelemalla häiriötilanteisiin reagointia ja arvioimalla toimittajariskiä”, hän päättelee. ”Mutta viime kädessä on aika tehostaa toimintaa – hyökkääjät eivät odota paperityösi hoitamista.”