cybersecurity

Digital Operational Resilience Act (DORA)

Oboznámte sa so zákonom o digitálnej prevádzkovej odolnosti (DORA) a jeho úlohe pri zabezpečovaní spoľahlivých opatrení kybernetickej bezpečnosti finančných inštitúcií.

Oboznámte sa so zákonom o digitálnej prevádzkovej odolnosti (DORA) a jeho úlohe pri zabezpečovaní spoľahlivých opatrení kybernetickej bezpečnosti finančných inštitúcií.

V dnešnom finančnom prostredí sa inštitúcie viac ako kedykoľvek predtým spoliehajú na digitálne platformy, cloudové služby a poskytovateľov tretích strán. Táto rastúca závislosť však prináša aj riziká, ako sú kybernetické hrozby, riziká a zraniteľnosti súvisiace s dodávateľským reťazcom a destabilizácia trhu. 

Jediný kybernetický útok alebo zlyhanie systému môže mať vlnový efekt v celom finančnom ekosystéme. Keďže si EÚ uvedomuje tieto riziká, zaviedla zákon o digitálnej prevádzkovej odolnosti (DORA) ako súčasť balíka digitálnych financií (DFP) s cieľom posilniť kybernetickú bezpečnosť a zabezpečiť, aby finančné inštitúcie zostali odolné voči digitálnym narušeniam.

Čo je zákon o digitálnej prevádzkovej odolnosti (DORA)?

Zákon o digitálnej prevádzkovej odolnosti (DORA) je transformačné nariadenie EÚ (nariadenie (EÚ) 2022/2554), ktorého cieľom je štandardizovať kybernetickú bezpečnosť, riadenie rizík IKT a prevádzkovú odolnosť v celom európskom finančnom sektore. 

Smernica DORA, ktorá nadobudne účinnosť v januári 2025, sa vzťahuje na všetky finančné inštitúcie v EÚ a ich poskytovateľov kritických IT služieb. Stanovuje jasné a vynútiteľné požiadavky na zabezpečenie toho, aby subjekty dokázali odolávať narušeniam, reagovať na ne a zotaviť sa z nich - čím sa posilňuje finančná stabilita a dôvera spotrebiteľov. 

Prečo je dôležitý súlad so smernicou DORA?

DORA je nielen rozumným krokom v oblasti riadenia rizík, ale aj právnym imperatívom. Nedodržanie požiadaviek môže mať za následok značné sankcie a príkazy na nápravu. Dodržiavanie zákona DORA zabezpečuje:

✓ Prísnejšie riadenie rizík v oblasti IKT: Stanovuje štandardizované rámce pre kybernetickú bezpečnosť, hlásenie incidentov, riadenie rizík tretích strán a kontinuitu činností v celej EÚ.

✓ Finančná a trhová stabilita: Znižuje riziká systémových zlyhaní IT a kybernetických šokov.

✓ Odolnosť tretej strany: Zabezpečuje, aby poskytovatelia kritických IKT spĺňali rovnaké bezpečnostné normy.

✓ Dôvera spotrebiteľov a investorov: Chráni pred výpadkami služieb, únikmi údajov a finančným narušením.

Kontaktujte nás

Aké sú kľúčové aspekty programu DORA?

Cieľom DORA je zabezpečiť stabilitu a kontinuitu európskeho finančného sektora zavedením harmonizovaného a vynútiteľného rámca. Zameriava sa na päť základných oblastí s cieľom zvýšiť odolnosť:

  • Riadenie rizík IKT: Zavádza spoľahlivé rámce, štruktúry riadenia a nepretržité monitorovanie s cieľom účinne identifikovať, posudzovať a zmierňovať riziká súvisiace s IKT.
  • Hlásenie incidentov: Povinnosť rýchleho odhaľovania, klasifikácie a interného a externého hlásenia závažných incidentov súvisiacich s IKT v prísnych časových rámcoch.
  • Testovanie digitálnej prevádzkovej odolnosti: Vyžaduje pravidelné testovanie na overenie odolnosti rámca riadenia rizík IKT vrátane penetračného testovania, záťažového testovania a testovania na základe hrozieb (TLPT).
  • Riadenie rizík tretích strán: Zavádza prísny dohľad nad poskytovateľmi služieb IKT a zabezpečuje, aby finančné inštitúcie vykonávali dôkladné hodnotenie rizík a hĺbkovú kontrolu.
  • Zdieľanie informácií: Podporuje spoluprácu medzi finančnými subjektmi, regulačnými orgánmi a odborníkmi na kybernetickú bezpečnosť s cieľom zlepšiť spravodajské informácie o hrozbách vo finančnej komunite EÚ. 

 

Ako sa môžu podniky pripraviť na nariadenie DORA?

Vzhľadom na to, že súlad s DORA bude povinný od januára 2025, finančné inštitúcie musia konať teraz, aby zvýšili digitálnu odolnosť a zosúladenie s právnymi predpismi. Štruktúrovaný prístup zabezpečuje súlad a zároveň posilňuje kybernetickú bezpečnosť, minimalizuje riziká a zabezpečuje kontinuitu činnosti. 

Kľúčové kroky na dosiahnutie súladu so smernicou DORA:

  1. Posúdenie digitálnej odolnosti: Vykonajte dôkladné posúdenie súčasného stavu kybernetickej bezpečnosti s cieľom zhodnotiť riadenie rizík IKT, reakciu na incidenty a dohľad tretích strán v porovnaní s požiadavkami DORA.
  2. Vypracujte plán dodržiavania predpisov: Vytvorte plán postupnej implementácie s jasným riadením, bezpečnostnými kontrolami a mechanizmami podávania správ. 
  3. Školenie a budovanie povedomia: Vzdelávajte zamestnancov o rizikách a osvedčených postupoch v oblasti kybernetickej bezpečnosti, povinnostiach dodržiavania predpisov a protokoloch reakcie na incidenty. 
  4. Overujte a neustále zlepšujte: Pravidelné hodnotenia, audity a testovanie odolnosti zabezpečujú neustálu zhodu a prispôsobovanie sa novým hrozbám.

Ako môže spoločnosť TÜV SÜD pomôcť?

Vďaka desaťročiam skúseností v oblasti certifikácie, kybernetickej bezpečnosti a riadenia rizík poskytujeme komplexné riešenia na zabezpečenie súladu s predpismi DORA, ktoré pomáhajú finančným inštitúciám a poskytovateľom služieb IKT dosiahnuť súlad s predpismi, posilniť kybernetickú bezpečnosť a zvýšiť prevádzkovú odolnosť. 

Naše komplexné riešenia na zabezpečenie súladu s predpismi DORA:

1. Posúdenie pripravenosti na DORA a plán súladu

  • Vykonávanie auditov súladu a analýz nedostatkov s cieľom posúdiť riadenie rizík IKT, reakciu na incidenty a pripravenosť na kontinuitu činností.
  • Vypracovanie jasného plánu na odstránenie nedostatkov v oblasti dodržiavania predpisov a zosúladenie s nariadením DORA.

2. Rámec kybernetickej bezpečnosti a riadenie rizík

  • Vypracovať bezpečnostnú stratégiu v súlade s normou DORA, ktorá je zosúladená s normou ISO 27001 alebo inými medzinárodne uznávanými normami kybernetickej bezpečnosti.
  • Implementujte pokročilé riešenia na detekciu hrozieb, nepretržité monitorovanie a systémy na správu bezpečnostných informácií a udalostí (SIEM), aby ste mohli identifikovať kybernetické hrozby a reagovať na ne v reálnom čase.
  • Pravidelne vykonávajte hodnotenia zraniteľností a penetračné testy s cieľom proaktívne zisťovať a odstraňovať bezpečnostné riziká. 

3. Odhaľovanie incidentov, podávanie správ a reakcia na ne

  • Navrhnúť a implementovať rámce na odhaľovanie incidentov a podávanie správ, ktoré sú v súlade s konkrétnymi časovými harmonogramami a regulačnými povinnosťami úradu DORA.
  • Vypracovať štruktúrované plány reakcie na incidenty s jasnými komunikačnými protokolmi a postupmi eskalácie.
  • Nastavenie systémov automatizácie reakcie na incidenty s cieľom zefektívniť detekciu, analýzu a podávanie správ.

4. Testovanie kontinuity a odolnosti prevádzky

  • Vyvíjať a testovať stratégie kontinuity prevádzky, čím sa zabezpečí minimálne narušenie počas kríz.
  • Vykonávanie záťažových testov, stolových cvičení a simulácií kybernetických útokov s cieľom vyhodnotiť a zvýšiť odolnosť.

5. Riadenie rizík tretích strán a dohľad nad dodávateľmi

  • Vykonávať hodnotenia rizík tretích strán a audity dodávateľského reťazca s cieľom zabezpečiť súlad dodávateľa s normami prevádzkovej odolnosti DORA.
  • Zaviesť rámce priebežného monitorovania na účinné riadenie rizík tretích strán.

6. Školenia a programy zvyšovania povedomia zamestnancov

  • Ponúkať prispôsobené školenia o kybernetickej bezpečnosti a semináre na budovanie odolnosti pre zamestnancov na všetkých úrovniach.
  • Zabezpečenie školenia vedúcich pracovníkov s cieľom zosúladiť dodržiavanie predpisov s obchodnou stratégiou.

 

Kontaktujte spoločnosť TÜV SÜD ešte dnes a prediskutujte svoje potreby a posilnite svoju digitálnu odolnosť. Náš odborne orientovaný prístup zabezpečuje, aby finančné inštitúcie dosiahli úplný súlad s predpismi DORA a zároveň vybudovali finančnú kybernetickú bezpečnosť odolnú voči budúcnosti. 

Spojte sa s našimi odborníkmi

často kladené otázky

 

  • Kto musí dodržiavať požiadavky zákona DORA?

    DORA sa vzťahuje na:

    • Finančné subjekty: banky, poisťovne, investičné spoločnosti, poskytovatelia platobných služieb, poskytovatelia služieb v oblasti kryptoaktív.
    • Externí poskytovatelia IKT: poskytovatelia cloudových služieb, dátové centrá, spoločnosti z oblasti finančných technológií a iní dodávatelia, ktorí podporujú finančné inštitúcie v EÚ.
    • Podniky mimo EÚ: spoločnosti mimo EÚ, ktoré ponúkajú služby klientom v EÚ, musia tiež dodržiavať tieto požiadavky.
  • Ako sa DORA zosúlaďuje s existujúcimi normami?

    DORA dopĺňa rámce ako ISO 27001 (informačná bezpečnosť) and ISO 22301 (business continuity). Pridáva však právne záväzné požiadavky špecifické pre finančné subjekty v EÚ, ako napríklad povinné TLPT a prísnejšie hlásenie incidentov.

  • Čo sa stane, ak moja organizácia nesplní tieto požiadavky?

    Riziká nesúladu zahŕňajú:

    • Finančné sankcie: Pokuty až do výšky 2 % celkového ročného obratu alebo 1 % priemerného denného obratu.
    • Prevádzkové obmedzenia: Regulačné orgány môžu pozastaviť služby, ktoré nie sú v súlade s predpismi.
    • Poškodenie reputácie: Verejné vynucovacie opatrenia narúšajú dôveru zainteresovaných strán.
  • Prečo si vybrať TÜV SÜD?

    ★ Komplexné riešenia na zabezpečenie zhody: Ponúkame komplexný prístup k DORA: od posúdenia až po implementáciu a certifikáciu.

    ★ Hlboké odborné znalosti v oblasti regulácie a kybernetickej bezpečnosti: Vďaka kombinácii technických znalostí v oblasti kybernetickej bezpečnosti s regulačnými znalosťami zabezpečujeme súlad s DORA a najlepšími globálnymi postupmi.

    ★ Celosvetovo uznávaná autorita: TÜV SÜD ako popredný poskytovateľ testovania, inšpekcie a certifikácie (TIC) ponúka nestranné, medzinárodne uznávané hodnotenia.

Získajte viac

// Pošlite nám dopyt
// Odber noviniek
// Kontakujte nás
LinkedIn Instagram Youtube

Vybrať lokalitu

Global

Americas

Asia

Europe

Middle East and Africa