Kuinka yritykset voivat valmistautua DORA:n käyttöönottoon
Sisällysluettelo:
Rahoituslaitoksilla ja IT-palveluntarjoajilla on vain kuusi kuukautta aikaa noudattaa tEuroopan unionin Digital Operational Resilience Act (DORA). 17. tammikuuta 2025 alkaen yrityksiin sovellettava DORA pyrkii vahvistamaan eurooppalaisten pankkien, vakuutusyhtiöiden, sijoituspalveluyritysten ja muiden rahoituslaitosten sekä niille ICT-palveluita tarjoavien kolmansien osapuolien kyberturvallisuutta.
DORAn tiukat vaatimukset kattavat ICT:n ja kolmannen osapuolen riskienhallinnan, digitaalisen toiminnan kestävyyden testauksen, kybertapahtumien raportoinnin, uhkatiedon jakamisen ja monet muut osa-alueet varmistaakseen, että yhä digitalisoituva eurooppalainen finanssipalvelusektori voi toimia vakavan kyberhyökkäyksen tai IT-katkon aikana. Se ei vaikuta ainoastaan EU:ssa toimiviin yrityksiin vaan myös brittiläisiin yrityksiin, jotka tarjoavat rahoitus- tai ICT-palveluita eurooppalaisille asiakkaille. Miten yritykset voivat valmistautua DORA:n käyttöönottoon?
Valmistautuminen DORAan
Kun yritykset valmistautuvat DORA:n käyttöönottoon ja pyrkivät varmistamaan vaatimustenmukaisuuden, niiden tulee ottaa aikaa ymmärtääkseen sen keskeiset vaatimukset ja kuinka ne vaikuttavat niiden päivittäiseen toimintaan.
Rayna Stamboliyska, ennakointilähtöisten strategien RS Strategyn toimitusjohtaja, sanoo, että yritysten on otettava huomioon kaksi tärkeää näkökohtaa. Ensimmäinen on toiminnan kestävyyden saavuttaminen tunnistamalla ja käsittelemällä riskit käyttämällä uhkista tunkeutumistestausta. Toiseksi yritysten on varmistettava, että kaikki heidän sopimuksensa ja kumppanuussuhteensa täyttävät DORAn vaatimukset osana perusteellista kolmannen osapuolen riskienhallintaprosessia.
Hän kertoo ISMS.online-sivustolle: "Sitten voit esittää järkevän ja jäsennellyn lähestymistavan DORAn mukauttamiseksi ja kertoa asiakkaillesi ja kumppaneille, että olet tiellä noudattamaan vaatimuksia."
Pilvitietoturvayrityksen Sysdigin kyberturvallisuusstrategin Crystal Morinin mukaan toinen tärkeä askel on DORA-yhteensopivuuskäytäntöjen käyttöönotto jokaisessa yrityksessä käytettävässä tietoturvatyökalussa. Näin yritykset voivat tarkistaa kyberturvallisuus- ja IT-pinot politiikkaongelmien varalta, hän sanoo.
Hän suosittelee myös, että yritykset ottavat käyttöön Infrastructure-as-code (IaC) ja Policy-as-code (PaC) hallinta- ja vaatimustenmukaisuusvaatimusten koodaamiseen, mikä auttaa virtaviivaistamaan noudattamisprosessia.
Morin selittää: "As-code-artefaktit ovat puolusteltuja ja niitä voidaan käyttää sääntely-, riski- ja auditointitarkastuksissa. Lisäksi nämä esineet skaalautuvat helposti ja säilyttävät yhdenmukaisuuden eri ympäristöissä."
IT-riskien hallinta
DORA-velvoitteidensa täyttämiseksi yritysten on kehitettävä ja otettava käyttöön vankka IT-riskienhallintastrategia. Tämän strategian tulisi sisältää käytännöt, menettelyt ja työkalut kaikkien riskien hallintaan, mukaan lukien hallinto, seuranta ja raportointi, väittää Graham Thomson, lakitoimiston Irwin Mitchellin tietoturvajohtaja. "Viimeistelmän tulee olla linjassa liiketoimintastrategian ja tavoitteiden kanssa, ja sitä tulee tarkistaa ja päivittää säännöllisesti", hän sanoo.
Jos IT-järjestelmän jatkuvuuteen, eheyteen, turvallisuuteen tai saatavuuteen vaikuttaa vakava tapaus, yritysten on ilmoitettava siitä asianmukaisille viranomaisille DORA:n mukaisesti. Thompson sanoo, että tämä edellyttää, että he perustavat erillisen raportointiprosessin käyttämällä "standardoitua muotoa", joka noudattaa kunkin viranomaisen "erityisiä aikarajoja ja kynnysarvoja".
Teknisten vikojen tunnistamiseksi ja lieventämiseksi Thompson kehottaa yrityksiä testaamaan IT-järjestelmiään säännöllisesti käyttämällä haavoittuvuustarkistuksia, tunkeutumistestejä, jatkuvaa pilviturvallisuuden asennonhallintaa ja skenaariopohjaisia punaisia tiimejä. Hän lisää: "Dokomentoi tulokset ja ryhdy toimiin mahdollisten heikkouksien korjaamiseksi."
DORA-valmistelun viimeisenä vaiheena Thompson suosittelee, että yritykset suorittavat perusteellisen due diligence -tarkastuksen kolmansien osapuolien IT-palveluntarjoajien suhteen ulkopuolisten riskitekijöiden tunnistamiseksi ja hallitsemiseksi. Hän lisää: "Varmista, että sopimuksiisi sisältyy tärkeitä oikeuksia, kuten pääsy, tarkastus ja tietosuoja."
Vaikutus Yhdistyneen kuningaskunnan yrityksiin
Vaikka Iso-Britannia eroaa Euroopan unionista vuonna 2020, DORA:n käyttöönotto vaikuttaa moniin brittiläisiin yrityksiin, ja sen vuoksi niiden on ryhdyttävä toimiin noudattaakseen uutta lakia ennen tammikuun 2025 määräaikaa.
RS Strategyn Stamboliyska selittää, että kaikkien Yhdistyneessä kuningaskunnassa toimivien yritysten, jotka tarjoavat taloudellisia tai kriittisiä tieto- ja viestintäteknologiapalveluita EU:ssa sijaitseville asiakkaille, on noudatettava DORAn vaatimuksia.
Näiden lakisääteisten sitoumusten huomiotta jättäminen voi aiheuttaa merkittäviä taloudellisia ja mainevaurioita EU:ssa toimiville Yhdistyneen kuningaskunnan yrityksille. "DORAn noudattamatta jättäminen maksaa 1 % päivittäisestä liikevaihdosta enintään kuuden kuukauden ajan", Stamboliyska jatkaa. "Ja kuten seuraamusten kohdalla tavallista, jos joutuisit pakotteiden kohteeksi, se vaikeuttaisi myös pääsyäsi EU:n markkinoille ja yrityksesi mainetta."
Hän sanoo, että Yhdistyneen kuningaskunnan yritykset osoittavat sitoutumisensa "vankkaaseen turvallisuuteen ja toiminnan kestävyyteen" noudattamalla DORAa. Tämä auttaa heitä houkuttelemaan lisää asiakkaita ja kumppaneita EU:hun ja lisää heidän "yleistä kilpailukykyään markkinoilla".
Koko yritykselle määrättyjen sakkojen lisäksi myös henkilöt, jotka eivät noudata DORAa, voidaan joutua vastuuseen. Sean Wright, Featuresspacen sovellusten tietoturvapäällikkö, selittää: "Tämä on merkittävä ero muihin vastaaviin säännöksiin, joissa yksilöt ja organisaatio voivat olla vastuussa noudattamatta jättämisestä."
Odotessaan, että DORA vaikuttaa useisiin brittiläisiin yrityksiin tulevina kuukausina, Morin of Sysdig kehottaa heitä aloittamaan suunnittelun kiireellisesti. Suuri osa tästä on asiakkaiden, toimitusketjujen ja muiden liikesuhteiden arvioiminen DORAn lainkäyttövallan sisällä olevien riskialueiden löytämiseksi. Hän lisää: "Lisäksi heidän on pidettävä DORA-määräykset mielessä, kun heidän liiketoimintansa ja asiakaskuntansa kehittyvät ajan myötä."
Kehysten rooli
Vaikka DORA:n noudattaminen voi olla pelottava mahdollisuus monille yrityksille, alan viitekehykset, kuten ISO 27001, tarjoavat perustan, josta he voivat ymmärtää ja hallita kyberriskejä.
Marc Lueck, IT-tietoturvayrityksen Zscalerin EMEA-alueen CISO, selittää: "ISO 27001:n kaltaiset puitteet ovat hyvä alku vaatimuksien vastaamiseksi uuteen asetukseen, koska ne osoittavat, että jotkin perussäädöt ovat jo käytössä, kuten liitettävyyden tarjoaminen ytimeen. järjestelmät."
Sen lisäksi, että Lueck ottaa käyttöön ammattimaisen kyberturvallisuuskehyksen osana DORA-yhteensopivuutta, Lueck neuvoo täydentämään sitä nollaluottamusperiaatteella. Hän selittää, että tämä auttaisi yrityksiä arvioimaan ja mittaamaan kolmansien osapuolien riskejä.
Martin Greenfield, kyberturvallisuuden jatkuvan valvonnan seurantaalustan Quod Orbis toimitusjohtaja, on samaa mieltä siitä, että ISO 27001 ja vastaavat puitteet tarjoavat yrityksille "vankan perustan" IT-riskien hallintaan ja DORA-vaatimusten noudattamiseen.
Hän kuitenkin panee merkille, kuinka DORA "ottaa käyttöön lisäelementtejä" kolmannen osapuolen riskeihin liittyen, ja hän sanoo, että yritysten tulisi verrata ISO-käytäntöjä DORA-vaatimuksiin, jos ne aikovat käyttää niitä yhdessä. "Tässä analyysissä tulee kiinnittää erityistä huomiota kolmansien osapuolien riskienhallintanäkökohtiin, koska niissä voi olla merkittäviä eroja", hän sanoo.
Kun aika loppuu nopeasti DORA:n tammikuun 2025 määräaikaan valmistautumiseen, on selvää, että sekä eurooppalaisten että Yhdistyneen kuningaskunnan rahoitusyritysten ja ICT-palveluntarjoajien on alettava ymmärtää ja panna täytäntöön DORAn tiukat vaatimukset, elleivät he ole jo sitä tehneet. Yritysten IT-järjestelmiä maailmanlaajuisesti tuhonneen Crowdstrike-seisokin valossa näyttää siltä, että kolmannen osapuolen ICT-riskien hallinta osana DORAa on kaikkien yritysten etujen mukaista, ei vain valintaruutua.
