Strona główna Wstecz New search Date Minimum Max Aeronautyka Motoryzacja Dział korporacyjny Cyberbezpieczeństwo Obronność i bezpieczeństwo Finanse Opieka zdrowotna Przemysł Inteligentne systemy transportowe Cyfrowe usługi publiczne Usługi Przemysł kosmiczny Blog Finanse Jak skutecznie wdrożyć zgodność z DORA 24/10/2023 Drukuj Podziel się Dnia 17 stycznia 2023 roku weszło w życie nowe rozporządzenie DORA (Digital Operational Resilience Act) - Ustawa o Cyfrowej Odporności Operacyjnej. Jest to rozporządzenie UE, które ma na celu poprawę bezpieczeństwa i odporności podmiotów finansowych i ich dostawców usług z zakresu technologii informatycznych i komunikacyjnych na zagrożenia i zakłócenia cyfrowe. Przepisy te będą miały zastosowanie do wszystkich instytucji finansowych działających na terenie Unii Europejskiej, w tym banków, firm inwestycyjnych, platform negocjacyjnych, centralnych kontrahentów i innych infrastruktur rynków finansowych. Wspomniane nowe rozporządzenie zacznie obowiązywać od dnia 17 stycznia 2025 roku, w związku z czym jego wejście w życie zapoczątkowało dwuletni okres na dostosowanie działalności podmiotów do określonych w rzeczonej normie wymogów. Ogólnie rzecz ujmując, dyrektywa ta dąży do osiągnięcia następujących celów: Ustanowienie jednolitych wymogów dotyczących zarządzania ryzykiem, sprawowania rządów, nadzoru, raportowania, testowania i audytu instytucji finansowych oraz ich dostawców usług z zakresu technologii informatycznych i komunikacyjnych do obsługi funkcji podstawowych. Zwiększenie stopnia odporności podmiotów finansowych, koncentrując się na wdrażaniu kompleksowych strategii ciągłości działania, gwarantujących nieprzerwane świadczenie usług na rzecz klientów w obliczu zdarzeń zakłócających wspomniane działanie. Podmioty muszą wzmocnić swoje plany przywracania sprawności funkcjonowania po awarii, systemy awaryjne oraz systemy ochrony i zapisu danych. Utworzenie skoordynowanego mechanizmu nadzoru dla organizacji i dostawców kluczowych usług z zakresu technologii informatycznych i komunikacyjnych, działających w wielu państwach członkowskich, w celu uniknięcia powielania podejmowanych działań i zapewnienia spójnego procesu ich wdrażania. Właściwe organy zapewnią zgodność z ustalonymi ramami regulacyjnymi, przeprowadzając audyt organizacji, a te ostatnie mają obowiązek okresowo powiadamiać o wszelkich istotnych incydentach lub zdarzeniach. Wzmocnienie wymiany informacji i współpracy pomiędzy właściwymi organami a organami UE w zakresie cyberbezpieczeństwa i cyfrowej odporności operacyjnej. Dla firmy GMV konsekwencje i wyzwania wynikające z rozporządzenia DORA będą odgrywać ogromną rolę transformacyjną w architekturze procesów i systemów podmiotów finansowych. Wśród rozmaitych aspektów należy wymienić następujące: Integracja ryzyka ICT na najwyższym szczeblu zarządzania poprzez ustalenie modelu kalkulacji ryzyka wobec wszelkiej zmiany zachodzącej w procesach, systemach i w obrębie dostawców technologii informatycznych i komunikacyjnych danej organizacji. Kompleksowe przeformułowanie strategii ciągłości: Konkretne, specyficzne procesy i sposoby reagowania w zależności od rodzaju incydentu. Model kalkulacji kosztów bezpośrednich i pośrednich wynikających ze skutków zdarzenia oraz obowiązek zgłaszania ich właściwemu organowi. Zapis aktywności przed, w trakcie i po incydencie. Nowe strategie segmentacji i natychmiastowe odłączenie sieci i aktywów. Ustrukturyzowany plan testów dla całości, podlegający audytowi, wraz z towarzyszącym mu planem ciągłego doskonalenia. Rozszerzony spis kluczowych zasobów i usług poprzez mapowanie wsparcia zewnętrznych dostawców i systemów oraz identyfikację źródeł ryzyka. Duże zaangażowanie w szkolenia i zwiększanie świadomości w zakresie odporności i cyberbezpieczeństwa. Kompleksowe i audytowane programy, które muszą obejmować wszystkie grupy wchodzące w skład organizacji. Nowy model relacji z kluczowymi dostawcami technologii informatycznych i komunikacyjnych. Należy wyraźnie zidentyfikować łańcuchy podwykonawców i należące do nich obiekty oraz informować właściwy organ o zmianach wprowadzanych w zawartych umowach. Organizacje będą zobowiązane zaprojektować i wdrożyć strategie wyjściowe oraz strategie redundancji dla dostawców obsługujących jedną lub więcej podstawowych funkcji. W ramach europejskich wprowadzony zostanie również zestaw wymogów dotyczących zatwierdzania wspomnianych kluczowych dostawców, co przyczyni się do poprawy ogólnej odporności sektora finansowego z perspektywy technologii informatyczno-komunikacyjnych. Ustrukturyzowane i ujednolicone schematy zarządzania operacyjnego. Zostaną ustanowione wspólne modele klasyfikacji, rejestracji, obliczania skutków i powiadamiania o incydentach, z obowiązkiem zgłaszania takich zdarzeń właściwemu organowi i udostępniania tych informacji innym podmiotom z branży, jeśli wymaga tego waga zaszłego incydentu. Konieczne może okazać się wprowadzenie nowych strategii monitorowania. Skupienie się na komunikacji i zarządzaniu kryzysowym poprzez ustanowienie wyznaczonych w tym celu osób i zakresu obowiązków oraz usprawnienie mechanizmów automatyzacji, w tym powiadamiania własnych klientów danego podmiotu. Dla firmy GMV, w obliczu konieczności zwiększenia skuteczności prac nad dostosowaniem swojej działalności do rozporządzenia DORA, konieczne jest przyjęcie trzech kluczowych kierunków działania. Pierwszym z nich jest przyjęcie kompleksowych ram procesowych, które w naturalny sposób zintegrują bezpieczeństwo z operacjami związanymi z ICT, umożliwiając jednocześnie przyjęcie globalnych rozwiązań z zakresu GRC do monitorowania ryzyka. Drugi opowiada się za skupieniem się na danych poprzez utworzenie jeziora danych w zakresie odporności, które umożliwi integrację źródeł informacji z zastosowaniem sztucznej inteligencji w celu podejmowania decyzji. Trzecim, nie mniej ważnym, jest wzmocnienie hiperautomatyzacji we wszystkich działaniach i systemach związanych z aktywacją Planów Reagowania i Przywracania Sprawności. Rozporządzenie DORA, będące czymś znacznie więcej niż tylko instrumentem zapewniającym zgodność z przepisami, może stanowić świetną okazję do poprawy doświadczenia klienta, przyczyniając się do wzrostu jakości, dostępności i bezpieczeństwa usług, a jednocześnie zwiększając poziom zaufania i zaangażowanie klienta końcowego. Jego oddziaływanie będzie również oznaczać znaczny skok w zakresie jakości i dojrzałości w świadczeniu usług ICT, poprzez wprowadzenie mechanizmów konkurencyjności i ciągłego doskonalenia, które niewątpliwie przełożą się na rozwój wszystkich zaangażowanych w cały ten proces graczy. Zaangażowanie firmy GMV w tym obszarze jest jasne: innowacyjność, aktywny udział i solidna wiedza, poparta rozległym doświadczeniem w zakresie technologii i bezpieczeństwa informacji. **Ten artykuł został po raz pierwszy opublikowany w internetowym wydaniu Comunicaciones Hoy. Ángel García-Madrid Velázquez Head of GMV's Resilience Services Business Continuity Manager Drukuj Podziel się Comments Nazwisko lub pseudonim Temacie Komentarz O formatach tekstu Ograniczony HTML Dozwolone znaczniki HTML: <a href hreflang target> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id> Znaki końca linii i akapitu dodawane są automatycznie. Adresy web oraz email zostaną automatycznie skonwertowane w odnośniki CAPTCHA To pytanie sprawdza czy jesteś człowiekiem i zapobiega wysyłaniu spamu.
Anniversary