Najczęściej wyszukiwane chmurakontenerdata centermultibackup

DORA: wymagania dla dostawców usług ICT

Rozporządzenie DORA (Digital Operational Resilience Act) stanowi przełomowe podejście do zapewnienia odporności cyfrowej w sektorze finansowym. Choć głównymi adresatami Rozporządzenia są podmioty finansowe, kluczową rolę we wdrażaniu DORA odgrywają dostawcy usług ICT, w tym firmy świadczące usługi infrastruktury IT, Data Center oraz Private Cloud. Dostawcy muszą dostosować swoje procesy i technologie do nowych wymagań, aby zapewnić swoim klientom bezpieczeństwo i zgodność z regulacjami.

Wprowadzenie DORA oznacza, że podmioty finansowe mogą współpracować wyłącznie z dostawcami usług ICT spełniającymi najwyższe standardy operacyjne i bezpieczeństwa. Wymaga to od dostawców usług ICT nie tylko dostosowania swoich systemów, ale także zapewnienia przejrzystości działań, odpowiedniego zarządzania ryzykiem i skutecznego reagowania na incydenty.

Główne założenia i wymagania DORA #

Standardy Bezpieczeństwa Informacji #

Dostawcy usług ICT zobowiązani są do spełnienia surowych wymagań w zakresie ochrony danych i systemów IT. Obejmuje to:

  • Szyfrowanie danych w spoczynku i w trakcie transmisji,
  • Zarządzanie tożsamościami i dostępem w celu ograniczenia dostępu wyłącznie do uprawnionych użytkowników,
  • Audytowanie dostępu i operacji w celu wykrywania anomalii oraz podatności,
  • Monitoring bezpieczeństwa w czasie rzeczywistym przy użyciu zaawansowanych systemów detekcji zagrożeń.

Zgodność z DORA wymaga również wdrożenia i utrzymywania formalnej polityki bezpieczeństwa, obejmującej integralność, poufność i dostępność informacji oraz zasobów ICT (art. 9 ust. 3 lit. c DORA).

Analiza ryzyka #

Dostawcy usług ICT muszą wdrożyć kompleksowe podejście do analizy i zarządzania ryzykiem zgodnie z DORA. Obejmuje to:

  • Regularne testy penetracyjne i analizę luk w zabezpieczeniach (art. 26 ust. 1 DORA),
  • Wdrażanie systemów klasy SIEM (Security Information and Event Management) w celu analizy zagrożeń w czasie rzeczywistym,
  • Segmentację sieci i systemów w celu ograniczenia skutków potencjalnych naruszeń bezpieczeństwa (art. 9 ust. 4 lit. b DORA),
  • Ocenę wpływu nowych technologii i zmian w systemach na ogólną odporność organizacji (art. 8 ust. 3 DORA).

DORA wymaga od dostawców ICT systematycznego podejścia do zarządzania ryzykiem (art. 6 DORA).

Zarządzanie incydentami #

Aby spełnić wymagania DORA, dostawcy ICT muszą wdrożyć kompleksowe procesy wykrywania, reagowania i raportowania incydentów cyberbezpieczeństwa. Kluczowe elementy obejmują:

  • Automatyczne systemy detekcji zagrożeń (SIEM, SOAR) do monitorowania i analizowania ruchu sieciowego (art. 10 ust. 2 DORA),
  • Mechanizmy szybkiego wykrywania nietypowych działań i incydentów związanych z ICT (art. 10 ust. 1 DORA),
  • Zespoły ds. reagowania na incydenty (CSIRT/SOC), które zapewniają szybką reakcję na naruszenia i jego właściwą obsługę (art. 11 ust. 1 lit. b DORA),
  • Procedury raportowania incydentów do klientów finansowych i regulatorów (art. 11 ust. 1 lit. e DORA),
  • Regularne testowanie mechanizmów wykrywania oraz monitorowanie działalności użytkowników i incydentów (art. 10 ust. 1 akapit 2 DORA).

Uczenie się i rozwój #

Dostawcy ICT muszą wdrożyć mechanizmy ciągłego doskonalenia w zakresie cyberbezpieczeństwa i zarządzania ryzykiem. Obejmuje to:

  • Gromadzenie informacji na temat podatności oraz cyberzagrożeń (art. 13 ust. 1 DORA),
  • Przeprowadzanie przeglądów incydentów związanych z ICT i wdrażanie ulepszeń operacyjnych (art. 13 ust. 2 DORA).

Strategie komunikacyjne #

Efektywna komunikacja jest kluczowa dla zapewnienia odporności operacyjnej. Wymagania obejmują:

  • Realizację polityki komunikacyjnej dla pracowników i interesariuszy zewnętrznych (art. 14 ust. 2 DORA),
  • Wymianę informacji o cyberzagrożeniach w celu zwiększenia operacyjnej odporności cyfrowej (art. 14 ust. 1 DORA).

Zarządzanie zmianą #

DORA wymaga ścisłej kontroli nad zmianami w systemach ICT. W tym zakresie dostawcy ICT powinni:

  • Wdrażać udokumentowane polityki, procedury i kontrole zarządzania zmianą (art. 9 ust. 4 lit. e DORA),
  • Zapewnić rejestrowanie, testowanie, ocenę, zatwierdzanie, wdrażanie i weryfikację wszystkich zmian w systemach ICT (art. 9 ust. 4 lit. e DORA )

Procedury zarządzania podatnościami #

Aby spełnić wymagania DORA w zakresie bezpieczeństwa, dostawcy ICT muszą:

  • Współpracować z klientami z sektora finansowego w zakresie planowania i przeprowadzania testów penetracyjnych (TLPT) (art. 26 ust. 3 DORA).

Plany Ciągłości Działania (BCP) i Plany Odzyskiwania (DRP) #

Rozporządzenie DORA nakłada obowiązek wdrożenia i testowania strategii zapewniających ciągłość działania systemów ICT. Dostawcy infrastruktury IT powinni:

  • Wdrażać georedundancję w celu minimalizacji ryzyka awarii usług (art. 12 ust. 5 lit. a DORA),
  • Zastosować automatyczne failovery, które umożliwiają płynne przełączanie usług w przypadku awarii (art. 11 ust. 6 akapit 2 DORA),
  • Określić procedury odtwarzania danych z kopii zapasowych, aby zapewnić szybkie przywracanie systemów po incydentach (art. 12 ust. 7 DORA).

Podmioty finansowe będą oczekiwać od swoich dostawców szczegółowych procedur BCP i DRP oraz ich regularnych testów (art. 11 ust. 6 lit. a DORA) .

Rejestr Dostawców Usług ICT #

DORA wymaga pełnej przejrzystości w zakresie korzystania z usług ICT. Dostawcy muszą zapewnić:

  • Dokumentowanie umów z podmiotami finansowymi,
  • Zdolność do poddania się audytom zgodności z regulacjami DORA,
  • Przygotowanie raportów o zgodności dla swoich klientów finansowych.

Chociaż wymagania dotyczące Rejestru dostawców są stawiane podmiotom finansowym, wsparcia w zakresie przygotowania informacji potrzebnych do wypełnienia Rejestru mogą udzielać również zewnętrzni dostawcy usług.

Izolacja zasobów #

Rozporządzenie DORA kładzie nacisk na ochronę infrastruktury poprzez wdrażanie mechanizmów izolacji, takich jak:

  • Mikrosegmentacja sieci, ograniczająca możliwość lateralnego przemieszczania się zagrożeń,
  • Sandboxing, czyli izolowanie potencjalnie złośliwego oprogramowania,
  • Model Zero Trust Architecture, zakładający domyślny brak zaufania do jakiegokolwiek użytkownika czy urządzenia.

Zapewnienie wysokiego poziomu izolacji zasobów minimalizuje ryzyko rozprzestrzeniania się zagrożeń w systemach finansowych (art. 9 ust. 4 lit. b).

Rozporządzenie DORA a NIS 2 i standardy ISO #

DORA jest spójna z innymi regulacjami dotyczącymi bezpieczeństwa IT, w tym z dyrektywą NIS 2, która zostanie wprowadzona do polskiego porządku prawnego nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. W przepisach tych podkreśla się, że osiągnięcie zgodności z nimi jest możliwe poprzez wdrożenie norm ISO lub innych standardów międzynarodowych. Kluczowe w tym zakresie standardy obejmują:

  • ISO 27001 – zarządzanie bezpieczeństwem informacji,
  • ISO 22301 – zarządzanie ciągłością działania,
  • ISO 9001 – zarządzanie jakością i doskonalenie procesów operacyjnych,
  • SOC 2 – audyty i raportowanie bezpieczeństwa danych.

Posiadanie certyfikatów zgodności z ISO ułatwia dostawcom usług ICT spełnienie wymogów DORA.

Rozporządzenie DORA a dostawcy usług ICT – podsumowanie #

DORA wprowadza szereg wymagań, które mają na celu zwiększenie bezpieczeństwa i odporności operacyjnej podmiotów finansowych oraz ich zewnętrznych dostawców usług ICT. Przestrzeganie tych standardów jest kluczowe dla zapewnienia ciągłości działania i ochrony danych w dynamicznie zmieniającym się środowisku cyfrowym.

Related Docs