Czy Twoja organizacja jest gotowa na DORA?

Poruszanie się w zakresie przestrzegania przepisów Ustawy o Cyfrowej Odporności Operacyjnej.

Digital Operational Resilience Act (DORA)

DORA jest rozporządzeniem UE w sprawie odporności cyfrowej sektora finansowego. Dora odnosi się do: instytucji sektora finansowego w szczególności banków, instytucji płatniczych, zakładów ubezpieczeń, zakładów reasekuracji oraz dostawców usług w zakresie kryptoaktywów.

Rozporządzenie weszło w życie 16 stycznia 2023 roku. Aby być zgodnym z DORA, organizacja musi zwiększyć swoją odporność operacyjną. Wymaga to wdrożenia solidnych ram zarządzania. Konieczne jest także przeprowadzenie dokładnych ocen ryzyka. Dodatkowo należy zapewnić ciągłe monitorowanie systemów ICT (technologii informacyjnych i komunikacyjnych). Ponadto kluczowe jest opracowanie planów zarządzania incydentami, ustanowienie kompleksowych polityk cyberbezpieczeństwa oraz utrzymanie odpornych infrastruktur danych.

Zgodność z DORA wymaga od organizacji regularnego testowania systemów ICT. Testy te powinny wykrywać podatności na zagrożenia. Organizacja musi także ustalić protokoły zgłaszania incydentów. Dotyczy to poważnych zdarzeń związanych z ICT. Dodatkowo, przestrzeganie DORA obejmuje zarządzanie ryzykiem dostawców, aby zapewnić, że dostawcy usług zewnętrznych spełniają te same standardy odporności.

Kluczowe regulacje DORA

  • Zarządzanie ryzykiem ICT (Information and Communications Technologies) – z uwzględnieniem zasady proporcjonalności oraz odpowiedzialności podmiotów nadzorowanych
  • Zarządzanie ryzykiem dostawców usług ICT
  • Weryfikowanie bezpieczeństwa systemów, procesów i usług
  • Zarządzanie Incydentami ICT – ujednolicenie i scentralizowanie procesu zarządzania poważnymi incydentami ICT zarówno na poziomie krajowym jak i poziomie unijnym
  • Dokumentacja bezpieczeństwa, która powinna wynikać ze zidentyfikowanych ryzyk

Identyfikacja procesów – jak zacząć?

Aby osiągnąć zgodność organizacji z regulacjami DORA, pierwszym krokiem pozwalającym na przygotowanie się do nowych regulacji jest:
  • identyfikacja procesów,
  • identyfikacja zasobów informatycznych (systemy, infrastruktura techniczna)
  • przegląd i katalog umów ze stronami trzecimi odpowiadającymi za infrastrukturę ICT (Information and Communications Technology)

Procesy i zasoby powinny zostać sklasyfikowane zgodnie z wymaganiami regulacji. W szczególności należy określić procesy i zasoby o krytycznym lub istotnym znaczeniu. Krytyczna lub istotna funkcja to taka, której zakłócenie może znacząco wpłynąć na wyniki finansowe organizacji. Zakłócenia mogą także wpłynąć na bezpieczeństwo lub ciągłość świadczonych usług. W związku z tym, w takiej sytuacji zagrożone jest prowadzenie podstawowej działalności. Ponadto może to skutkować brakiem możliwości spełnienia warunków zezwolenia. Może również uniemożliwić realizację obowiązków wynikających z przepisów o usługach finansowych.

Pomagamy podmiotom finansowym w wypełnieniu obowiązków DORA

W ramach usług świadczonych przez doświadczonych ekspertów Finture wspieramy klientów podlegających regulacji DORA w następujących etapach badania i raportowania zgodności:

Analiza BIA jest pierwszym krokiem przygotowującym do zgodności z DORA. Pozwala zidentyfikować krytyczne i istotne zasoby oraz procesy w organizacji. Podczas analizy skupiamy się na identyfikacji procesów oraz realizowanych zadań w ramach procesów. Dodatkowo identyfikujemy zasoby informatyczne i pozainformatyczne jakie są wykorzystywane przez procesy i zadania. Definiujemy powiązania pomiędzy procesami. Określamy RTO (Recovery Time Objective) oraz RPO (Recovery Point
Objective), a więc czas potrzebny do przywrócenia procesów po wystąpieniu awarii oraz akceptowalny poziom utraty danych wyrażony w czasie.

Opracowujemy oraz  dostosowujemy do wymagań naszych klientów procedury zarządzania  ryzykiem ICT. Procesy budowane są w oparciu o najlepsze rynkowe praktyki i frameworki takie jak ISO 31000 oraz NIST
800-53. Po opracowaniu wymaganych procedur pomagamy klientom przeprowadzić analizę ryzyka
z uwzględnieniem wszystkich istotnych czynników, które mogą mieć wpływ na wysokość szacowanego
ryzyka.

Wspieramy klientów przy opracowywaniu planów mitygacji ryzyka. Dodatkowo opracowujemy
procedury bezpieczeństwa w tym procedury zarządzania incydentami zgodnie z wymaganiami
prawnymi. Wykorzystujemy wypracowane przez nas wzorce identyfikacji procesów oraz czynników
krytyczności lub adaptujemy istniejące u klienta w materiały we jściowe.

Etapy analizy kończą się opracowaniem przez ekspertów Finture wyników, które są zaprezentowane
podczas spotkania podsumowującego. Produktem naszych prac jest również kompletny raport zbiorczy
przygotowany we współpracy z wyznaczonymi jednostkami organizacyjnymi. Zawarte w nim informacje
mogą stanowić podstawę do przygotowania strategicznych dokumentów firmy, w tym sprawozdań
okresowych lub raportów podlegających dalszym akceptacjom prawnym. Zakres oraz szczegółowość
danych zawartych w raporcie podsumowującym zawsze uzgadniamy z odbiorcami końcowymi.
W opracowaniu umieszczone zostaną także rekomendacje dla krytycznych obszarów procesowych wraz
ze scenariuszami dla okresowej oceny podatności (proces doskonalenia organizacji i jej odporności
na zdarzenia nagłe).

Finture - kompetencje doradztwa DORA

Współpracujemy z wieloma topowymi producentami rozwiązań z zakresu bezpieczeństwa. Dzięki temu posiadamy wiedzę w zakresie stosowanych i możliwych do zastosowania narzędzi automatyzujących i wspierających bezpieczeństwo w organizacji. Dodatkowo pomagamy wybrać najbardziej dostosowane do potrzeb klienta rozwiązanie oraz wspieramy przy jego wdrożeniu i utrzymaniu. Co więcej posiadamy kompetencje przy wdrażaniu oraz utrzymywaniu narzędzi do zarządzania podatnościami, ochrony poczty, zabezpieczania punktów końcowych oraz serwerów czy automatyzujących procesy TLPT.

Nasz zespół

Eksperci domenowi – osoby, które na co dzień działają w procesach, które automatyzujemy w projektach IT, są niezastąpionym źródłem informacji o tym, jak dany proces biznesowy naprawdę wygląda, jaki jest jego przebieg i co jest potrzebne w ich codziennej pracy.
Nasz zespół składa się ze specjalistów posiadających wieloletnie doświadczenie zarówno w obszarze zarządzanie bezpieczeństwem informacji, zarządzania ryzykiem oraz zarządzania ciągłością działania. Wszystkie te prace wspierane są przez osoby znające procesy i specyfikę działania sektora finansowego w Polsce.
Poznaj zespół

Poznaj pozostałe usługi

business processes

Custom software development

Nasza firma w pełni rozumie, że indywidualne potrzeby naszych klientów wymagają spersonalizowanego podejścia. Nasz zespół specjalistów z dziedziny technologii oraz branży ubezpieczeniowej jest gotowy, by stworzyć oprogramowanie, które doskonale odpowiada unikalnym wymaganiom i specyfice ich działalności.

Nasze doświadczenie oraz dbałość o każdy szczegół to klucz do sukcesu projektów, w których uczestniczymy.

Rozwiązania dedykowane

Staff augmentation

Niezależnie czy potrzebujesz pojedynczego analityka systemowo-biznesowego/ programisty / testera / devOpsa czy też kompletnego zespołu, który będzie realizować powierzone zadania, w Finture jesteśmy gotowi pomóc Ci dobrać odpowiednią osobę lub skompletować zespół wg Twoich wymagań.

Outsourcing