Intelegerea conformitatii cu prevederile DORA

Article Masuri de conformare cu regulamentul DORA

Legea privind reziliența operațională digitală a sectorului financiar (Digital Operational Resilience Act - DORA) reprezintă un cadru de reglementare semnificativ care vizează consolidarea rezilienței operaționale digitale a sectorului financiar din cadrul Uniunii Europene. Obiectivul principal al DORA este de a se asigura că entitățile financiare, inclusiv băncile, societățile de asigurări și infrastructurile piețelor financiare, sunt solid protejate împotriva perturbărilor digitale și a amenințărilor cibernetice.

Domeniul de aplicare

DORA se aplică unui spectru larg de entități din sectorul financiar, precum și anumitor furnizori de servicii de tehnologia informației și comunicațiilor (TIC) care sprijină aceste entități.

Legea acoperă diverse entități financiare, începând cu băncile și instituțiile de credit, inclusiv băncile comerciale, băncile de economii și cooperativele de credit. Societățile de asigurare și de reasigurare, care cuprind atât societățile de asigurare de viață și non-viață, cât și societățile de reasigurare, intră, de asemenea, în domeniul său de aplicare. Societățile de investiții, cum ar fi brokerii, societățile de gestionare a activelor și societățile de valori mobiliare trebuie să respecte cerințele DORA.

Prestatorii de servicii de plată, inclusiv instituțiile de plată și instituțiile emitente de monedă electronică, trebuie să adere la standardele DORA. Sunt incluse și infrastructurile piețelor financiare, cum ar fi locurile de tranzacționare, contrapărțile centrale (CCP), depozitarii centrali de valori mobiliare (CSD) și registrele centrale de tranzacții. În plus, alte instituții financiare, precum agențiile de rating de credit, fondurile de investiții și administratorii acestora, fondurile de pensii și administratorii fondurilor de investiții alternative (AIFM) intră sub incidența cadrului de reglementare al DORA.

În afara entităților financiare, DORA se aplică furnizorilor de servicii TIC esențiale, cum ar fi furnizorii de servicii cloud, furnizorii de servicii de analiză a datelor, furnizorii de servicii de centre de date și furnizorii de software esențiale pentru serviciile financiare. Aceasta acoperă, de asemenea, alte servicii TIC, inclusiv furnizorii de servicii gestionate și firmele de securitate cibernetică care oferă servicii esențiale entităților financiare.

Scopul DORA este de a se asigura că toate aceste entități dispun de sisteme solide de gestionare și atenuare a riscurilor TIC. Aceasta include asigurarea continuității funcțiilor esențiale în timpul întreruperilor, protejarea datelor sensibile și menținerea rezilienței în fața amenințărilor cibernetice. Prin cuprinderea unei game atât de largi de entități financiare și de furnizori de servicii ai acestora, DORA își propune să consolideze rezistența întregului ecosistem financiar la riscurile operaționale digitale.

Înțelegerea cerințelor DORA

Atingerea conformității cu Legea privind reziliența operațională digitală începe cu o revizuire aprofundată a cadrului sistemelor informatice pentru a înțelege implicațiile acestuia asupra operațiunilor dumneavoastră. De asemenea, este esențială identificarea obligațiilor specifice care se aplică organizației dumneavoastră. Aceste obligații acoperă domenii precum gestionarea riscurilor, raportarea incidentelor, testarea rezilienței operaționale digitale și supravegherea furnizorilor de servicii terțe.

Gestionarea riscurilor

Primul pas către conformitatea cu DORA este efectuarea unei evaluări complete a riscurilor care să vizeze toate aspectele IT și de securitate cibernetică legate de reziliența operațională digitală. Evaluarea controalelor existente și identificarea deficiențelor în raport cu cerințele DORA vor ajuta la înțelegerea domeniilor în care sunt necesare îmbunătățiri. În plus, se pot elabora sau actualiza politici și proceduri pentru a asigura alinierea acestora la cerințele legale. Această etapă include crearea sau perfecționarea politicilor privind gestionarea incidentelor, continuitatea activității, securitatea TIC și guvernanța datelor. Asigurarea că aceste politici includ dispoziții privind reziliența, redundanța și strategiile de răspuns va spori reziliența digitală generală.

Raportarea eficientă a incidentelor

În conformitate cu dispozițiile DORA, este necesar să se stabilească protocoale pentru a asigura raportarea în timp util a incidentelor cibernetice semnificative. Definirea clară a rolurilor și responsabilităților pentru gestionarea incidentelor și reacția la întreruperile sau incidentele la scară largă legate de sistemul informatic vor îmbunătăți capacitatea de răspuns a companiei. În plus, participarea la schimbul de informații cu autoritățile de reglementare și organismele relevante contribuie la consolidarea rezilienței și a răspunsurilor la amenințările cibernetice la nivelul întregului sector.

Un alt pas important pentru raportarea incidentelor este creșterea gradului de conștientizare a angajaților. Este vital să se pună în aplicare programe de formare continuă pentru a se asigura că angajații sunt conștienți de riscurile cibernetice. Furnizarea de formare specializată pentru personalul direct implicat va spori capacitățile și înțelegerea acestora.

Testarea rezilienței operaționale digitale

Testele și auditurile periodice contribuie la garantarea eficacității măsurilor de reziliență digitală. Crearea de simulări și efectuarea testelor de penetrare, împreună cu audituri periodice pentru a verifica conformitatea cu politicile stabilite și cu cerințele de reglementare ale DORA, permite perfecționarea continuă a măsurilor de reziliență pe baza rezultatelor testelor. 

Prin urmare, punerea în aplicare a unor cadre solide de TIC și de securitate pe baza constatărilor este un alt aspect esențial. Îmbunătățirea sistemelor de tehnologia informației și comunicațiilor (TIC) pentru a sprijini operațiunile sigure, reziliente și fiabile este vitală. Implementarea de soluții de securitate sau solicitarea de consultanță din partea experților pentru a proteja împotriva amenințărilor cibernetice, a accesului neautorizat și a încălcării securității datelor, asigurând în același timp criptarea și autentificarea cu mai mulți factori, va consolida sistemul de protecție a companiei.

Supravegherea furnizorilor terți de servicii

Un ultim pas esențial în cadrul DORA este gestionarea riscurilor legate de terți. Evaluarea și gestionarea riscurilor asociate cu furnizorii terți și cu furnizorii de servicii TIC sunt esențiale, în special cele esențiale pentru operațiunile companiei. Asigurarea includerii în contractele cu terții a unor clauze care să impună respectarea reglementărilor DORA și să permită efectuarea de audituri periodice va contribui la menținerea unor standarde ridicate. 

Monitorizare și comunicare continua

În general, monitorizarea continuă a conformității cu DORA și a eficienței măsurilor implementate asigură respectarea continuă a reglementărilor. Actualizarea periodică a strategiilor de conformitate și a operațiunilor ca răspuns la amenințările apărute, la avansul tehnologic și la modificările de reglementare menține organizația adaptabilă și rezilientă. Pentru o conformitate continuă, este, de asemenea, important să se mențină linii deschise de comunicare cu autoritățile de reglementare relevante.

Obținerea conformității cu DORA este crucială pentru entitățile financiare din Uniunea Europeană pentru a asigura o reziliență operațională digitală robustă.

Urmând acești pași detaliați, organizațiile pot naviga eficient prin complexitatea DORA, își pot proteja operațiunile și pot contribui la stabilitatea generală a sectorului financiar în fața provocărilor digitale.

Pentru suport in implementarea masurilor de conformitate DORA, ne puteti scrie la office@decalex.ro

 

Diana Cojocaru

Privacy&Cybersecurity consultant

 

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE