Nuo 2025 m. sausio 17 d. įsigalioja Europos Sąjungos reglamentas dėl skaitmeninės veiklos atsparumo finansų sektoriuje (angl. Digital Operational Resilience Act, toliau – DORA), kuris ženkliai pakeis IT ir kibernetinio saugumo valdymo standartus finansų sektoriuje.
DORA reglamentas įpareigoja finansų įstaigas ir jų paslaugų teikėjus užtikrinti, kad skaitmeninės infrastruktūros atsparumas taptų neatsiejama organizacijos veiklos dalimi. Advokatų kontoros GLIMSTEDT vyresnioji teisininkė Brigida Bacienė publikacijoje išaiškina, kas svarbu verslui ir kaip pasiruošti naujiems reikalavimams.
Kam taikomas reglamentas ir pagrindiniai DORA reikalavimai
DORA reglamentu siekiama užtikrinti, kad finansų sektorius Europoje būtų pasirengęs efektyviai reaguoti į kibernetines grėsmes ir informacinių ir ryšių technologijų sutrikimus. Daug kalbama apie tai, kad reglamentas taikomas bankams, draudimo bendrovėms, investicijų fondams, mokėjimų paslaugų teikėjams ir kitoms finansų įstaigoms.
Tačiau nereikia pamiršti, kad DORA reglamentas taip pat apima trečiąsias šalis – informacinių ir ryšių technologijų (IRT) paslaugas teikiančias įmones, kurių veikla gali turėti tiesioginės įtakos finansų sektoriaus stabilumui. Tai reiškia, kad verslai, teikiantys IT sprendimus finansų sektoriaus įmonėms, taip pat turės užtikrinti atitiktį šiam reglamentui.
Verslas turėtų atkreipti dėmesį į šiuos pagrindinius reikalavimus, kuriuos nustato DORA:
1. IRT (informacinių ir ryšių technologijų) rizikų valdymas – finansų sektoriaus įmonės privalės įdiegti IRT rizikų valdymo sistemą, kuri apimtų:IRT rizikos identifikavimą, vertinimą ir kontrolę, kibernetinės saugos politikos parengimą, atsparumo testavimą ir įmonės procesų tobulinimą IRT srityje.
2. Incidentų valdymas – pagal DORA finansų sektoriaus įmonės privalės turėti aiškią IRT incidentų valdymo sistemą, o apie didelius su IRT susijusius incidentus informuoti priežiūros instituciją.
3.IRT paslaugas teikiančios trečiosios šalies rizikos valdymas – DORA nustato griežtus reikalavimus ne tik finansų įstaigoms, bet ir jų IRT paslaugas teikiantiems tretiesiems asmenims. Įmonės privalės įvertinti, ar jų IT partneriai atitinka skaitmeninio atsparumo standartus, taip pat peržiūrėti tarpusavio susitarimus ir juos pakeisti pagal DORA reikalavimus.
4. Skaitmeninės veiklos atsparumo testavimas – DORA įpareigoja finansų sektoriaus įmones reguliariai atlikti savo sistemų atsparumo testavimą – patikrinti, kaip organizacija reaguotų į kibernetines atakas ar IRT sutrikimus.
Kokias kliūtis dažniausiai patiria verslas ir kaip jų išvengti?
Pasiruošimas DORA įsigaliojimui reikalauja ne tik išsamių procedūrų peržiūros, bet ir organizacijos valdymo, IT infrastruktūros bei kibernetinio saugumo politikos pokyčių. Įmonės turi įvertinti turimus procesus, pasitelkti tinkamus specialistus bei užtikrinti, kad skaitmeninio atsparumo reikalavimai būtų įgyvendinami ne tik formaliai, bet ir praktiškai.
Iš praktikos galima matyti, kad vienas iš pagrindinių iššūkių, su kuriuo susiduria verslas, yra struktūrizuotų IRT rizikos vertinimo procesų, kurie leistų identifikuoti svarbiausias sistemas ir paslaugas, trūkumas. Daugeliui įmonių, ypač mažų ir vidutinių įmonių, trūksta formalios sistemos, leidžiančios visapusiškai įvertinti savo IRT riziką.
DORA reikalauja, kad įmonės nustatytų priimtiną IRT rizikos lygį, turėtų IRT rizikos vertinimo procedūrą ir metodiką, veiksmų su IRT rizika priemonių planą, kurie yra būtini, kad IRT rizika neviršytų priimtino rizikos lygio, liekamosios IRT rizikos kontrolės procesą (paskirtus vaidmenis, rizikos priėmimo pagrindimą ir t. t.), stebėsenos procesą visais IRT rizikos ir kibernetinių grėsmių aspektais ir t. t. DORA įpareigoja integruoti IRT rizikos valdymo praktiką visuose verslo padaliniuose.
Tačiau įmonės dažnai turi suskaidytus vidinius procesus, taiko skirtingas rizikos valdymo sistemas, turi skirtingas IT sistemas, todėl sudėtinga sukurti bendrą požiūrį į rizikos nustatymą, mažinimą ir ataskaitų teikimą.
Be to, daugeliui įmonių sunku suderinti savo rizikos vertinimo procesus su DORA reikalavimais, nes jos yra pripratusios prie tradicinių finansinės ar veiklos rizikos vertinimų, kurie nepakankamai apima skaitmenines grėsmes.
Siekdamos išspręsti šį galvosūkį, įmonės turėtų sukurti išsamią IRT saugumo politiką, IRT rizikos vertinimo metodiką, daugiausia dėmesio skirti svarbiausių IRT funkcijų, galimų IT silpnų vietų ir priklausomybės nuo IRT paslaugas teikiančių trečiųjų šalių nustatymui. Jei būtina, reikia pasitelkti ekspertus, išorės auditus, siekiant objektyviai įvertinti savo padėtį šioje srityje.
Rizikos vertinimas taip pat turėtų apimti reguliarų rizikos kontrolės priemonių testavimą ir atnaujinimą, pvz., periodinį auditą, pažeidžiamumo vertinimą ir svarbiausių sistemų testavimą nepalankiausiomis sąlygomis. Įmonės turėtų apsvarstyti galimybę investuoti į skaitmeninius įrankius, kurie gali automatizuoti tokias užduotis kaip rizikos stebėjimas, atsparumo testavimas ir incidentų identifikavimas.
Įmonėms taip pat rekomenduotina sudaryti daugiafunkces rizikos valdymo komandas, kurios suburtų IT, informacijos saugos, teisės, žmogiškųjų išteklių ir atitikties skyriaus specialistus. Tai padėtų užtikrinti, kad IRT rizika visoje organizacijoje būtų valdoma holistiškai.
Ne mažiau svarbu yra ir pats įmonės personalas ir jo mokymai. Įmonės turėtų investuoti į mokymo programas, kad pagerintų esamos darbo jėgos žinias apie DORA reguliavimą ir skaitmenines grėsmes.
Galiausiai, įmonės turi didesnį dėmesį skirti ilgalaikės strategijos sukūrimui: užuot laikiusios DORA atitiktį vienkartiniu projektu, įmonės turėtų sukurti ilgalaikę IRT rizikos valdymo strategiją. Tai apima reguliarų politikos ir procedūrų atnaujinimą, nuolatinį rizikos stebėjimą ir periodinį darbuotojų mokymą, kad neatsiliktų nuo besikeičiančių aktualijų.
Apibendrinant galima teigti, kad DORA keičia finansų sektoriaus požiūrį į kibernetinį saugumą ir veiklos atsparumą. O tai užtikrina, kad tinkamas IRT rizikos vertinimas užkirs kelią finansinės sistemos pažeidžiamumui ir didins pasitikėjimą finansų rinkomis.
