O persoana care lucreaza la laptop
Combaterea spălării banilor

Regulamentul DORA se aplică începând cu 17 ianuarie 2025: cerințe și reglementări cheie

Începând cu 17 ianuarie 2025 se aplică Regulamentul DORA privind reziliența operațională digitală a sectorului financiar. Acest act normativ reprezintă un pas important în consolidarea securității cibernetice a sectorului financiar european, stabilind un set uniform de cerințe pentru toate statele membre UE. Află din acest articol mai multe detalii despre Regulamentul DORA!

Ce este Regulamentul DORA

Regulamentul (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar (DORA) din 14.12.2022 se aplică începând cu 17 ianuarie 2025. Acesta stabilește norme uniforme privind securitatea rețelelor și a sistemelor informatice ale entităților financiare, cum ar fi băncile, societățile de asigurări și firmele de investiții. Mai mult, regulamentul se extinde și asupra furnizorilor de servicii IT critice care deservesc sectorul financiar, recunoscând rolul vital pe care aceștia îl joacă în menținerea stabilității sistemului financiar.

Regulamentul DORA acoperă o gamă largă de entități financiare reglementate din Uniunea Europeană, cerându-le să reziste, să reacționeze și să se redreseze în urma oricărei perturbări sau amenințări care implică tehnologiile informației și comunicațiilor (TIC).

Ce înseamnă reziliență operațională digitală?

Conform actului normativ, prin reziliență operațională digitală se înțelege: „capacitatea unei entități financiare de a construi, a asigura și a reevalua integritatea și fiabilitatea sa operațională, prin asigurarea, în mod direct sau indirect, utilizând servicii oferite de furnizori terți de servicii TIC, a întregii game de capacități legate de TIC care sunt necesare pentru a aborda securitatea rețelelor și a sistemelor informatice utilizate de o entitate financiară și care sprijină furnizarea continuă de servicii financiare și calitatea acestora, inclusiv pe întreaga durată a perturbărilor.”

Cu alte cuvinte, este capacitatea unei instituții financiare de a-și menține operațiunile digitale funcționale și sigure, atât în condiții normale cât și în situații de criză. Această capacitate are trei componente principale:

  1. Construcția. Instituția financiară trebuie să-și dezvolte infrastructura IT și capacitățile digitale într-un mod robust și securizat. Aceasta include atât sistemele proprii, cât și integrarea serviciilor furnizate de terți.
  2. Asigurarea. Instituția trebuie să mențină constant un nivel ridicat de securitate și fiabilitate a sistemelor sale. Acest lucru implică monitorizare continuă, actualizări de securitate și măsuri preventive pentru a proteja atât rețelele cât și sistemele informatice.
  3. Reevaluarea. Există o necesitate continuă de a revizui și actualiza măsurile de securitate și procedurile operaționale, adaptându-le la noile amenințări și cerințe.

Reziliența operațională digitală trebuie să asigure:

  • Continuitatea serviciilor financiare – sistemele trebuie să funcționeze neîntrerupt
  • Calitatea serviciilor – performanța și fiabilitatea trebuie menținute la standarde înalte
  • Capacitatea de a face față perturbărilor – sistemele trebuie să rămână funcționale chiar și în cazul unor incidente sau atacuri

IMPORTANT!

Această responsabilitate se extinde și asupra serviciilor externalizate către furnizori terți de servicii TIC.

Digital Operational Resilience (DORA): Punerea în practică a unui nou ecosistem al rezilienței digitale – Cursul adresează provocările complexe ale punerii în aplicare a noii reglementări

Participanții învață cum să utilizeze standarde și cadre precum ISO 27001, ITIL și COBIT pentru a asigura continuitatea operațiunilor, gestionarea incidentelor și raportarea conform cerințelor DORA.

Înscrie-te AICI>>>

Care sunt cerințele Regulamentului DORA?

Regulamentul DORA stabilește un cadru complex de guvernanță și management al riscurilor IT și formulează următoarele categorii de cerințe:

1. cerințe aplicabile entităților financiare în legătură cu:

  • gestionarea riscurilor legate de tehnologia informației și comunicațiilor (TIC);
  • raportarea incidentelor majore legate de TIC și notificarea, în mod voluntar, a amenințărilor cibernetice semnificative către autoritățile competente;
  • testarea rezilienței operaționale digitale;
  • schimbul de informații și de date operative cu privire la amenințările cibernetice și vulnerabilități;
  • măsuri pentru buna gestionare a riscurilor TIC generate de părți terțe;

2. cerințe în legătură cu acordurile contractuale încheiate între furnizorii terți de servicii TIC și entitățile financiare;

3. reguli privind instituirea și desfășurarea cadrului de supraveghere pentru furnizorii terți esențiali de servicii TIC, atunci când furnizează servicii entităților financiare;

4. reguli privind cooperarea între autoritățile competente

Programele de testare reprezintă o componentă esențială a DORA. Entitățile financiare sunt obligate să implementeze programe comprehensive de testare a sistemelor IT, incluzând teste de penetrare și scenarii de stres pentru sistemele critice. Aceste teste trebuie să fie efectuate periodic și să includă evaluări ale planurilor de continuitate a activității și recuperare în caz de dezastru.

Un aspect inovator al DORA este introducerea unui cadru de supraveghere specific pentru furnizorii critici de servicii IT. Autoritățile de supraveghere primesc puteri extinse pentru a impune măsuri și sancțiuni acestor furnizori. În plus, regulamentul stabilește cerințe clare pentru contractele încheiate cu furnizorii de servicii IT, asigurând astfel un nivel adecvat de protecție pentru entitățile financiare.

Gestionarea riscurilor TIC

Entitățile financiare dispun de un cadru intern de guvernanță și control care asigură o gestionare eficace și prudentă a riscurilor TIC. Organul de conducere al entității financiare definește, aprobă, supraveghează și este responsabil de punerea în aplicare a tuturor dispozițiilor legate de cadrul de gestionare a riscurilor TIC.

Cadrul de gestionare a riscurilor TIC include cel puțin strategii, politici, proceduri, precum și protocoale și instrumente TIC care sunt necesare pentru a proteja în mod corespunzător și adecvat toate activele informaționale și toate activele TIC, inclusiv software pentru calculatoare, hardware și servere, precum și pentru a proteja toate componentele și infrastructurile fizice relevante, precum sediile, centrele de date și zonele desemnate sensibile, pentru a asigura că toate activele informaționale și toate activele TIC sunt protejate în mod adecvat împotriva riscurilor, inclusiv împotriva pagubelor și a accesului sau utilizării neautorizate.

Sisteme, protocoale și instrumente TIC

Pentru a aborda și a gestiona riscurile TIC, entitățile financiare utilizează și mențin sisteme, protocoale și instrumente TIC actualizate care sunt:

  • adecvate magnitudinii/amplorii operațiunilor care sprijină desfășurarea activităților lor, în conformitate cu principiul proporționalității;
  • fiabile;
  • dotate cu suficientă capacitate de a prelucra cu precizie datele necesare pentru desfășurarea activităților și furnizarea serviciilor în timp util, precum și pentru a face față volumelor ridicate de ordine, mesaje sau tranzacții, după caz, inclusiv în cazul introducerii unor noi tehnologii;
  • reziliente din punct de vedere tehnologic pentru a face față în mod adecvat nevoilor suplimentare de prelucrare a informațiilor, calitate necesară în condiții de criză a pieței sau în alte situații adverse.

Identificare

Entitățile financiare identifică, clasifică și documentează în mod corespunzător toate funcțiile operaționale și toate rolurile și responsabilitățile sprijinite de TIC, activele informaționale și activele TIC care sprijină funcțiile respective, precum și rolurile și dependențele lor în legătură cu riscurile TIC. Entitățile financiare revizuiesc după caz, dar cel puțin anual, caracterul adecvat al acestei clasificări și al oricărei documentări relevante.

Află cum să pui în practică standardele rezilienței digitale. Înscrie-te ACUM la cursul Digital Operational Resilience (DORA)

Protecție și prevenire

Entitățile financiare monitorizează și controlează în mod continuu securitatea și funcționarea sistemelor și a instrumentelor TIC și reduc la minimum impactul riscurilor TIC asupra sistemelor TIC prin utilizarea unor instrumente, politici și proceduri de securitate TIC adecvate.

Entitățile financiare utilizează soluții și procese TIC care:

  • asigură securitatea mijloacelor de transfer al datelor;
  • reduc la minimum riscul de corupere sau de pierdere a datelor, de acces neautorizat și de defecțiuni tehnice care pot împiedica derularea activităților;
  • previn lipsa disponibilității, deteriorarea autenticității și a integrității, încălcarea confidențialității și pierderea datelor;
  • asigură protecția datelor împotriva riscurilor care decurg din gestionarea datelor, inclusiv gestionarea deficitară, precum și împotriva riscurilor legate de prelucrare și a erorii umane.

Detectare

Entitățile financiare trebuie să aibă mecanisme pentru detectarea rapidă a activităților anormale, inclusiv a problemelor legate de performanța rețelei TIC și a incidentelor legate de TIC, precum și pentru identificarea posibilelor puncte unice de defecțiune semnificative. Aceste mecanisme de detectare trebuie să fie testate cu regularitate.

Răspuns și recuperare

Conform art. 11 din Regulamentul DORA, entitățile financiare trebuie să aibă o politică de continuitate cuprinzătoare, care poate fi implementată în două moduri:

  • Ca politică dedicată separată
  • Ca parte integrantă a politicii generale de continuitate a activității

Implementarea acestei politici necesită măsuri, planuri, proceduri și mecanisme documentate și adecvate, care includ:

  • Continuitatea funcțiilor critice. Entitatea financiară trebuie să identifice și să asigure funcționarea neîntreruptă a operațiunilor sale esențiale.
  • Răspunsul la incidente. Organizația trebuie să aibă capacitatea de a reacționa prompt și eficient la orice incident IT.
  • Planuri de contingență.Trebuie să existe planuri specifice care să poată fi activate imediat în caz de incident.
  • Evaluarea impactului. Organizația trebuie să poată estima rapid efectele, daunele și pierderile preliminare;
  • Comunicare și gestionarea crizelor. Trebuie implementate măsuri pentru asigurarea transmiterii informațiilor actualizate către personalul relevant și părțile interesate, precum și raportarea către autoritățile competente

Pentru a asigura restaurarea sistemelor TIC, pentru a minimiza perioadele de indisponibilitate și a reduce la minimum perturbările și pierderile asociate, entitățile financiare trebuie să dezvolte și să documenteze politici și proceduri clare privind copiile de rezervă. Acestea includ specificații referitoare la sfera de acoperire a datelor supuse copiilor de rezervă și frecvența minimă a acestora, stabilite în funcție de importanța sau confidențialitatea datelor.

Învățăminte și perspective de dezvoltare

Entitățile financiare sunt dotate cu resurse și personal specializat pentru a colecta informații despre vulnerabilități, amenințări cibernetice și incidente TIC, inclusiv atacuri cibernetice, și pentru a evalua impactul acestora asupra rezilienței operaționale digitale. Acest proces de monitorizare continuă permite anticiparea și gestionarea eficientă a riscurilor cibernetice.

În urma unui incident major TIC care afectează activitățile esențiale, entitățile financiare efectuează verificări ulterioare pentru a analiza cauzele perturbării. Aceste analize permit identificarea și implementarea îmbunătățirilor necesare atât în operațiunile TIC, cât și în cadrul politicii de continuitate a activității, asigurând o mai bună pregătire pentru incidente viitoare.

Comunicare

În cadrul gestionării riscurilor TIC, entitățile financiare trebuie să elaboreze (conform art.14 din Regulamentul DORA) planuri de comunicare pentru situații de criză, asigurând o informare adecvată a clienților, contrapărților și, dacă este cazul, a publicului, în legătură cu incidentele majore sau vulnerabilitățile TIC. Aceste planuri sunt esențiale pentru menținerea transparenței și a încrederii în fața unor astfel de evenimente critice.

Politicile de comunicare sunt aplicate atât pentru personalul intern, cât și pentru părțile interesate externe. Aceste politici diferențiază clar între personalul direct implicat în gestionarea riscurilor TIC și cel care trebuie doar informat. O persoană desemnată în cadrul entității financiare este responsabilă de implementarea strategiei de comunicare privind incidentele TIC, acționând ca punct de contact pentru public și mass-media, asigurând o gestionare eficientă a informațiilor în momentele de criză.

Așadar, regulamentul DORA reprezintă un pas esențial în consolidarea securității cibernetice a entităților financiare, asigurând o protecție mai robustă împotriva riscurilor TIC și a amenințărilor. Prin implementarea acestuia, sectorul financiar își întărește capacitatea de a gestiona și depăși incidentele digitale, protejând atât stabilitatea piețelor financiare, cât și interesele clienților.

Citește și: Raport FATF și Interpol privind fluxurile financiare ilicite provenite din infracțiuni cibernetice

Sursa foto: Vecteezy.com

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *