Глобальный охват DORA и почему предприятиям необходимо подготовиться



В европейский сектор финансовых услуг приближается новое регулирование кибербезопасности, и его авторитет будет ощущаться во всем мире.

Новый Закон Европейского союза (ЕС) о цифровой операционной устойчивости (DORA) создает единую унифицированную основу для регулирования управления рисками для финансовых учреждений, работающих в Европе. Он предписывает общий подход к кибербезопасности для информационно-коммуникационных технологий (ИКТ) во всех 30 странах Европейской экономической зоны.

DORA представляет собой континентальный ответ на рост числа атак программ-вымогателей и других новых киберугроз, получивших распространение после глобальной пандемии. В нем подчеркивается глобальная направленность на то, чтобы позволить организациям, предоставляющим финансовые услуги, поддерживать более высокую устойчивость бизнеса во всем спектре предприятия, включая предприятия, назначенные критически важными поставщиками в цепочке поставок организации, независимо от того, находятся ли эти поставщики в Европе или где-либо еще в мире. . Итак, что это может означать для бизнеса в США и за пределами Европы?

Установление глобального стандарта
DORA окажет существенное влияние на то, как любой поставщик облачных услуг или крупная финансовая организация ведет бизнес в Европе, а также на то, как финансовые учреждения используют технологию «программное обеспечение как услуга» на протяжении всего жизненного цикла.

DORA напрямую влияет на любого поставщика финансовых услуг, ведущих бизнес в Европе, включая страховые компании, брокерские фирмы, поставщиков криптовалютных активов и связанные с ними предприятия финансовых технологий. Все они должны соответствовать положениям DORA в отношении устойчивости бизнеса и кибербезопасности, в противном случае им грозят серьезные финансовые и другие санкции.

Подобно тому, как Общее положение о защите данных (GDPR) сделало несоблюдение требований довольно обременительным и все более дорогостоящим, ожидается, что DORA окажет аналогичное влияние на то, как крупные финансовые операции ведут бизнес. Мы уже начинаем видеть кое-что из этого в предшественнике DORA — Руководящих принципах Европейского банковского управления по аутсорсингу (EBAG) и аналогичных правилах, появляющихся в Канаде, Сингапуре, Австралии и Великобритании.

ДОРА Требования
DORA значительно ужесточает правила ЕС, вводя правила, конкретно касающиеся управления цепочками поставок, условий контрактов, поставщиков ИКТ, а также оценки и готовности предприятий к кибербезопасности. DORA ограничивает свободу организации принимать бизнес-решения и накапливать риски. Тем не менее, новые правила предназначены для обеспечения большей устойчивости бизнеса и отражают аналогичный набор консультативных рекомендаций, Cyber ​​Safety Framework (CSF), опубликованный Национальным институтом стандартов и технологий.

Критическое отличие заключается в том, что, хотя рекомендации CSF носят исключительно рекомендательный характер, DORA требует соблюдения и требует от организаций демонстрации соблюдения определенных условий. DORA создает механизм правоприменения и надзора, который влияет как на финансовое учреждение, так и на наиболее важные компоненты его цепочки поставок, включая сторонних поставщиков услуг.

Кроме того, организациям необходимо будет предоставить наглядные доказательства тестирования на проникновение угроз, возможностей кибербезопасности, готовности к стихийным бедствиям и измерения данных. Одной из особенно сложных областей является степень нормативного охвата DORA поставщиками и субподрядчиками цепочки поставок организации. Предлагаемая DORA формулировка относится только к «критическим» поставщикам цепочки поставок.

В то время как финансовые регуляторы будут определять и назначать критически важных поставщиков, эта категоризация будет зависеть от функции, которую выполняет поставщик, а не от его размера. Ожидается, что будут включены несколько крупных поставщиков услуг облачной инфраструктуры. Хотя малые и средние предприятия (SMB) исключены из сферы действия DORA, рыночные реалии предполагают, что финансовые учреждения, вероятно, потребуют от SMB такого же уровня соблюдение требований, поскольку в противном случае ведение бизнеса с ними может рассматриваться как риск устойчивости.

Лучшие практики и подготовка к DORA
Ожидается, что DORA будет принята Европейским Союзом где-то в этом году; предприятия должны планировать на 12–24 месяца, чтобы выполнить требования. Чтобы помочь вам подготовиться, вот несколько передовых практик от предприятий, которые уже находятся на пути к соответствию DORA.

Определите пробелы
Ключевым требованием является понимание того, каким будет влияние DORA с точки зрения пробелов, существующих в настоящее время на предприятии, по сравнению с требованиями, которые создает регулирование.

Требовать вовлечения руководства
DORA настолько трансформационна, что без поддержки со стороны руководства организациям будет сложно найти необходимую поддержку или финансирование для обеспечения соблюдения требований. Участие руководства может происходить по-разному, в зависимости от влияния DORA на организацию. Понимание пробелов и обучение ключевых заинтересованных сторон является ключевым.

Если это финансовое учреждение, то заинтересованность руководства может быть обусловлена ​​тем фактом, что соблюдение DORA является аспектом соблюдения нормативных требований, за которым, вероятно, будут жестко следить национальные и европейские регулирующие органы. Если это поставщик ИКТ, то заинтересованность руководства может быть вызвана осознанием того, что DORA является требованием клиента и требованием соответствия, которое, вероятно, будет обеспечиваться давлением со стороны клиента и нормативным надзором, особенно если поставщик определяется как критически важный.

Поймите, где находится ваше учреждение
Требования к DORA сильно различаются. DORA повлияет на цепочку поставок ИКТ в индустрии финансовых услуг, поскольку наложит контрактные и другие требования. Кроме того, если поставщик ИКТ определен как критически важный, то он будет непосредственно подчиняться DORA и некоторым из его требований по надзору.

Полное соответствие EBAG
DORA по существу основывается на Руководящих принципах Европейского банковского управления (EBAG), которые предшествуют ему. DORA превращает и конкретизирует многие рекомендации EBAG в юридические обязательства.

Усилия по соблюдению требований DORA должны быть общекорпоративными. Использование ИКТ и связанные с ним риски пересекаются с различными частями бизнеса финансовых учреждений. Предприятия должны составить карту своих ИКТ-рисков, рисков своих поставщиков и различных бизнес-процессов, несущих ИКТ-риски. Им потребуется разработать стратегию, разработать структуру управления и воспользоваться периодом ранней регистрации, чтобы обеспечить соответствие требованиям DORA и повысить устойчивость собственного бизнеса.

В мире, перевернутом с ног на голову новыми и уникальными угрозами, начиная от программ-вымогателей и заканчивая пандемией, ознакомление с новыми правилами в Европе также может привести к большому конкурентному преимуществу для вашего предприятия и подготовить вас к аналогичным требованиям в других областях. мир.

https://cyberxhack.org/