Актът за оперативна устойчивост на цифровите технологии повишава изискванията за киберсигурност
Киберсигурността и оперативната устойчивост са предизвикателства, с които трябва да се справят организации от различни сектори. Когато става въпрос за финансовия сектор, последиците от несправяне с тях могат да имат отражение върху всички граждани. Заплахите са много и различни – от кражба на данни, системни сривове, фишинг и рансъмуер, а след пандемията и с увеличения брой хора, които работят отдалечено, ръстът на кибератаките е значителен.
С приемането на акта за оперативната устойчивост на цифровите технологии, по-известен като DORA (Digital Operational Resilience Act), Европейският съюз цели да гарантира, че финансовият сектор в Европа може да запази устойчивостта си в случай на сериозни оперативни смущения. Регулацията вече е влязла в сила и ще стане задължителна за прилагане от 17 януари 2025 г.
В обхвата на DORA попадат всички компании, предоставящи финансови услуги – като банки, доставчици на плащания, доставчици на електронни пари, инвестиционни посредници, доставчици на услуги за криптоактиви, както и критични доставчици на ИКТ услуги, действащи като аутсорсинг дружества за регулираните участници на финансовите пазари.
Основните 5 области, в които DORA налага нови изисквания, включват:
Управление на риска при ИКТ на финансови субекти;
Изискването включва оценка на риска, разработване на стратегия за непрекъснат мониторинг и подходящи политики за управление на риска.
Задължения за докладване на ИКТ инциденти;
Компаниите трябва да следват стриктни процедури за докладване на инциденти пред регулатора, както и да събират и съхраняват информация за всички свързани с ИКТ инциденти и значителни киберзаплахи.
Тестване на цифровата експлоатационна стабилност;
Финансовите компании трябва да тестват своята оперативна безопасност и да провеждат регулярни тестове за проникване, извършени от външни независими доставчици на ИТ услуги.
Европейска рамка за мониторинг на доставчици на услуги от трети страни в областта на ИКТ.
Отношенията с доставчици на ИТ услуги от трети страни трябва да бъдат мониторирани, за да се гарантира, че услугите, които предоставят, отговарят на изискванията на DORA.
Споделяне на информация:
Насърчава се обменът на информация по отношение на киберзаплахите между финансовите организации.
Екипът на Мнемоника може да помогне на организациите с имплементация на конкретни решения, изцяло съобразени с техния бизнес. Повече информация е налична тук – https://www.mnemonica.bg/direktiva-dora/
Част от подходящите за предприемане мерки включват: създаване на стратегии за архивиране и възстановяване на данни, процедури за ранно предупреждение с цел откриване и управление на кибератаки, подходящи тестове и одити – оценки и проверки на уязвимостта, оценки на мрежовата сигурност, анализ на пропуските, анализ на физическата сигурност, въпросници и софтуерни решения за сканиране, тестове за съвместимост, тестове за ефективност или тестове за проникване.
Организациите, които се интересуват от съдействие по отношение на прилагане на Акта за оперативна устойчивост на цифровите технологии, могат да се свържат с екипа на Мнемоника на адрес: [email protected].
