Киберсигурността и оперативната устойчивост са предизвикателства, с които трябва да се справят организации от различни сектори (снимка: CC0 Public Domain)
С приемането на акта за оперативната устойчивост на цифровите технологии, по-известен като DORA (Digital Operational Resilience Act), Европейският съюз цели да гарантира, че финансовият сектор в Европа може да запази устойчивостта си в случай на сериозни оперативни смущения. Регулацията вече е влязла в сила и ще стане задължителна за прилагане от 17 януари 2025 г.
В обхвата на DORA попадат всички компании, предоставящи финансови услуги – като банки, доставчици на плащания, доставчици на електронни пари, инвестиционни посредници, доставчици на услуги за криптоактиви, както и критични доставчици на ИКТ услуги, действащи като аутсорсинг дружества за регулираните участници на финансовите пазари.
Има 5 основни области, в които DORA налага нови изисквания, поясниха от ИТ компанията Мнемоника. Нейният екип оказва съдействие на организациите по отношение на прилагане на Акта за оперативна устойчивост на цифровите технологии. Ето и 5-те ключови области:
1. Управление на риска при ИКТ на финансови субекти
Изискването включва оценка на риска, разработване на стратегия за непрекъснат мониторинг и подходящи политики за управление на риска.
2. Задължения за докладване на ИКТ инциденти
Компаниите трябва да следват стриктни процедури за докладване на инциденти пред регулатора, както и да събират и съхраняват информация за всички свързани с ИКТ инциденти и значителни киберзаплахи.
3. Тестване на цифровата експлоатационна стабилност
Финансовите компании трябва да тестват своята оперативна безопасност и да провеждат регулярни тестове за проникване, извършени от външни независими доставчици на ИТ услуги.
4. Европейска рамка за мониторинг на доставчици на услуги от трети страни в областта на ИКТ
Отношенията с доставчици на ИТ услуги от трети страни трябва да бъдат мониторирани, за да се гарантира, че услугите, които предоставят, отговарят на изискванията на DORA.
5. Споделяне на информация
Насърчава се обменът на информация по отношение на киберзаплахите между финансовите организации.
Част от подходящите за предприемане мерки включват: създаване на стратегии за архивиране и възстановяване на данни, процедури за ранно предупреждение с цел откриване и управление на кибератаки, подходящи тестове и одити – оценки и проверки на уязвимостта, оценки на мрежовата сигурност, анализ на пропуските, анализ на физическата сигурност, въпросници и софтуерни решения за сканиране, тестове за съвместимост, тестове за ефективност или тестове за проникване.