Un an cu DORA. Ce au avut de făcut instituțiile financiare privind conformitatea cu DORA

Article Ce trebuie să știe instituțiile financiare despre conformitatea cu DORA - Decalex Blog

Transformarea digitală a sectorului financiar european a adus oportunități importante, dar și riscuri semnificative. Expunerea crescută la atacuri cibernetice, dependența de furnizori de servicii tehnologice și creșterea volumului de date gestionate au determinat Uniunea Europeană (UE) să adopte un cadru legislativ unitar. Digital Operational Resilience Act (DORA), a fost adoptat în ideea de   a asigura reziliența operațională digitală a instituțiilor financiare și a furnizorilor acestora. Regulamentul este direct aplicabil în toate statele membre, iar termenul de conformare a fost  ianuarie 2025.

DORA este un act normativ cu caracter obligatoriu, ceea ce înseamnă că nu lasă loc unor interpretări naționale divergente. Prin urmare, băncile, companiile de asigurări, instituțiile de plată, firmele de investiții și toți actorii reglementați din piața financiară trebuie să adopte măsuri clare pentru a respecta noile cerințe.

Ce înseamnă reziliența operațională digitală?

Reziliența operațională digitală se referă la capacitatea unei instituții de a rezista, de a răspunde și de a se recupera rapid în urma unor incidente IT. Într-un peisaj în care atacurile cibernetice se sofistică permanent, iar infrastructurile critice devin tot mai interconectate, această capacitate nu mai este opțională. Regulamentul DORA vine cu un set de standarde menite să asigure că fiecare entitate financiară este pregătită să facă față amenințărilor și să mențină continuitatea serviciilor esențiale pentru clienți și economie.

Mai mult decât securitatea informatică tradițională, DORA introduce un cadru integrat, care privește tehnologia ca parte inseparabilă a proceselor de business. Prin urmare, instituțiile financiare trebuie să își redefinească politicile interne și să acorde atenție modului în care gestionează riscurile legate de IT pe întreg lanțul operațional.

Pentru a înțelege impactul real asupra activității unei instituții financiare, este necesar să analizăm principalele domenii acoperite de regulament.

Guvernanță și managementul riscurilor IT

Conducerea instituției are responsabilitatea de a supraveghea riscurile legate de tehnologia informației, iar boardul trebuie să fie direct implicat în aprobarea și monitorizarea strategiilor de reziliență digitală.

Raportarea incidentelor majore

Toate entitățile reglementate trebuie să notifice incidentele semnificative legate de IT către autoritățile competente, într-un format standardizat și într-un interval de timp bine definit;

Testarea rezilienței

Instituțiile vor fi obligate să desfășoare periodic teste de reziliență operațională, inclusiv scenarii de tip red team, pentru a evalua nivelul real de pregătire în fața unor atacuri complexe.

Gestionarea riscurilor generate de furnizorii terți

Dependența de furnizorii de servicii TIC este un punct vulnerabil major, iar DORA introduce cerințe stricte privind monitorizarea și contractarea acestor relații.

Schimbul de informații

Regulamentul încurajează colaborarea între instituții financiare pentru a împărtăși informații despre amenințări și bune practici, consolidând astfel reziliența la nivelul întregului sector.

Impactul asupra instituțiilor financiare

Adoptarea DORA presupune schimbări structurale și culturale în cadrul organizațiilor financiare. În primul rând, managementul la nivel înalt nu mai poate trata riscurile IT ca pe o problemă exclusiv tehnică, lăsată în grija departamentului de securitate cibernetică. Responsabilitatea este colectivă, iar deciziile trebuie să fie luate cu o înțelegere clară a implicațiilor de business.

În al doilea rând, procesul de raportare și de testare va necesita resurse suplimentare, atât umane, cât și tehnologice. Instituțiile care nu au investit până acum în sisteme de monitorizare și detecție vor trebui să accelereze implementarea acestora. Totodată, testele de reziliență cerute de DORA presupun colaborarea cu entități specializate, ceea ce înseamnă costuri, dar și o expunere controlată la scenarii reale de atac.

O altă dimensiune importantă este gestionarea relației cu furnizorii terți. Contractele existente trebuie revizuite pentru a integra cerințele DORA, iar instituțiile trebuie să se asigure că furnizorii respectă aceleași standarde de reziliență digitală. În caz contrar, riscurile transferate de la terți pot afecta întreaga organizație.

Pași practici pentru conformare

Procesul de conformare cu DORA nu poate fi amânat, având în vedere complexitatea și amploarea cerințelor. Instituțiile financiare trebuie să înceapă printr-o evaluare detaliată a maturității lor digitale și a politicilor existente. În urma acestei evaluări, ar trebui să rezulte un plan de acțiune etapizat, care să acopere următoarele direcții:

  1. revizuirea politicilor de guvernanță IT și implicarea directă a boardului în deciziile strategice;
  2. implementarea unui cadru robust de gestionare a riscurilor cibernetice, care să includă identificarea, evaluarea și monitorizarea permanentă a acestora;
  3. dezvoltarea unor proceduri clare de raportare a incidentelor și pregătirea echipelor pentru a răspunde rapid și coordonat;
  4. planificarea și efectuarea testelor de reziliență conform cerințelor regulamentului, folosind atât resurse interne, cât și expertiză externă;
  5. renegocierea contractelor cu furnizorii TIC și monitorizarea strictă a performanței acestora în materie de securitate și reziliență.

Rolul culturii organizaționale în aplicarea DORA

Un aspect esențial pe care instituțiile financiare nu îl pot neglija este cultura organizațională. Regulamentul DORA nu poate fi implementat doar prin proceduri tehnice și documente formale. Este nevoie de o conștientizare reală la nivelul angajaților, de la top management până la personalul operațional.

Trainingurile periodice, simulările de atac și comunicarea constantă a importanței rezilienței digitale contribuie la crearea unei mentalități orientate spre prevenție. O instituție care își instruiește angajații și promovează o cultură a responsabilității digitale este mai pregătită să facă față provocărilor impuse de DORA și, implicit, să protejeze încrederea clienților săi.

Consecințele neconformării

Regulamentul DORA aduce cu sine și sancțiuni. Autoritățile de supraveghere vor avea competența de a aplica amenzi și măsuri corective în cazul nerespectării cerințelor. Mai important decât amenzile în sine este însă riscul reputațional și operațional. O instituție care nu reușește să gestioneze eficient un incident IT poate pierde rapid încrederea pieței și a clienților săi.

Prin urmare, conformarea cu DORA nu trebuie privită exclusiv ca obligație legală, ci mai ales ca investiție strategică în stabilitatea și competitivitatea pe termen lung a organizației. DORA marchează o schimbare de paradigmă în modul în care sectorul financiar european trebuie să abordeze riscurile digitale. Regulamentul pune accent pe reziliență, responsabilitate și transparență, obligând instituțiile financiare să-și regândească procesele interne și relația cu furnizorii.

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Transparența în inteligența artificială: De ce este ea inevitabilă

Transparența în inteligența artificială: De ce este ea inevitabilă

AEPD amendează Curenergía cu 500.000 de euro

AEPD amendează Curenergía cu 500.000 de euro

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI