10 pasi catre conformitatea DORA

Article Masuri pentru conformarea cu DORA

Sectorul financiar devine din ce în ce mai dependent de tehnologia informației și comunicațiilor (TIC), pe măsură ce peisajul digital se schimbă. Cu toate acestea, există riscuri serioase generate de această evoluție digitală, deoarece atacurile cibernetice care utilizează acreditări furate sau compromise au crescut cu 71% de la an la an.[1]

În consecință, Legea privind reziliența operațiunilor digitale (Digital Operational Resilience Act - DORA) impune instituțiilor financiare și furnizorilor terți de servicii critice din Uniunea Europeană să pună în aplicare măsuri ample pentru a garanta reziliența operațiunilor digitale începând cu 17 ianuarie 2025. Această lege este o reacție decisivă la frecvența și costurile tot mai mari ale breșelor de date, care au crescut cu 15,3 % în trei ani, ajungând la un cost mediu global de 4,45 milioane de dolari în 2023.[2]

Evaluarea riscurilor, testarea rezilienței, răspunsul rapid la incidente și gestionarea eficientă a riscurilor de către terți fac parte din standardele stricte DORA. Înțelegerea și aderarea la DORA nu este doar o cerință legală, ci și o necesitate comercială, pe măsură ce se apropie termenul limită de aplicare. Urmărind acțiunile necesare pentru a vă conforma, lista de control de mai jos vă va asigura că organizația dvs. este pregătită să facă față riscurilor TIC.

 

10 pași către conformitatea cu DORA - Checklist

  1. Înțelegerea domeniului de aplicare și efectuarea unei evaluări a riscurilor

      Identificați cerințele specifice din DORA aplicabile activității dumneavoastră.

      Elaborați o strategie de reziliență operațională digitală.

Evaluați potențialele riscuri și vulnerabilități ale sistemelor informatice, luând în considerare atât amenințările interne, cât și cele externe.

      Evaluați riscurile cibernetice pe întregul lanț de aprovizionare.

 

  1. Dezvoltarea unor practici solide de securitate informațională

      În ceea ce privește incidentele de securitate, creați un plan detaliat care să contureze modul în care organizația dumneavoastră va detecta, va răspunde și va recupera datele în urma incidentelor de securitate și a întreruperilor operaționale.

      Ca parte a cadrului dumneavoastră de gestionare a riscurilor, stabiliți politici, proceduri și controale pentru a identifica, evalua și atenua riscurile legate de sistemele informaționale, inclusiv amenințările la adresa securității cibernetice și vulnerabilitățile operaționale.

 

  1. Consolidarea măsurilor de securitate a informațiilor

      Consolidarea cadrului de securitate a informațiilor organizației dvs. prin controale de acces, criptare, practici de codare sigură și protecția datelor.

      Integrați practicile de securitate în ciclul de viață al dezvoltării / implementării sistemelor.

 

  1. Stabilirea procedurilor de testare a rezilienței

      Elaborați metodologii de testare a rezilienței pentru a evalua eficacitatea sistemelor informaționale în diferite scenarii și pentru a asigura capacitatea acestora de a rezista întreruperilor.

      Efectuați periodic teste de penetrare.

 

  1. Promovarea schimbului de informații

      Colaborați cu alte organizații, grupuri industriale și autorități relevante pentru a face schimb de informații privind amenințările, cele mai bune practici și lecțiile învățate în vederea îmbunătățirii rezilienței operaționale.

      Monitorizați sursele externe pentru riscuri potențiale și împărtășiți practici/ informații utile.

 

  1. Gestionarea riscurilor legate de terți

      Evaluați măsurile de reziliență și securitate ale furnizorilor dvs. terți și asigurați-vă că aceștia respectă cerințele DORA pentru a minimiza vulnerabilitățile potențiale din lanțul dvs. de aprovizionare.

      Revizuiți politicile privind terții sistemului informatic și luați în considerare reglementările atunci când utilizați furnizori de servicii terțe.

 

  1. Formarea angajaților și creșterea gradului de conștientizare

      Oferiți programe de formare cuprinzătoare pentru a educa angajații cu privire la cele mai bune practici de securitate cibernetică, procedurile de raportare a incidentelor și rolul lor în menținerea rezilienței operaționale.

      Oferiți formare specializată pentru a promova o cultură de întreprindere axată pe securitate și pentru a încuraja practicile de dezvoltare sigure.

 

  1. Mențineți documentația și înregistrările

      Păstrați înregistrări detaliate ale evaluărilor riscurilor, ale planurilor de răspuns la incidente, ale rezultatelor testelor de reziliență și ale măsurilor de conformitate pentru a demonstra conformitatea cu cerințele DORA.

 

  1. Monitorizați și evaluați în permanență

      Implementați procese de monitorizare pentru a detecta și a răspunde prompt riscurilor emergente, vulnerabilităților și schimbărilor din peisajul operațional.

      Stabiliți indicatori-cheie de performanță (KPI) și monitorizare în timp real.

      Revizuiți și actualizați periodic strategiile și politicile de reziliență.

      Revizuiți periodic măsurile de reziliență operațională ale organizației dvs. prin audituri și evaluări interne pentru a identifica domeniile de îmbunătățire și pentru a aborda orice lacune de conformitate.

 

  1. Rămâneți informați

      Fiți la curent cu actualizările de reglementare și comunicați deschis cu autoritățile relevante pentru a înțelege așteptările acestora și a asigura conformitatea.

      Monitorizați în permanență evoluțiile în materie de securitate cibernetică și practici de reziliență operațională pentru a vă adapta strategiile și a vă alinia la standardele în evoluție.

 

 

Pentru detalii despre conformarea cu prevederile DORA, ne puteti scrie la office@decalex.ro 
Share:
Diana Cojocaru
Autor: Diana Cojocaru

Privacy & Data Protection, Information Systems Auditor

PUNE O INTREBARE