Czy Twoja organizacja jest gotowa na DORA?

Poruszanie się w zakresie przestrzegania przepisów Ustawy o Cyfrowej Odporności Operacyjnej.

Digital Operational Resilience Act (DORA)

DORA jest rozporządzeniem UE w sprawie odporności cyfrowej sektora finansowego. Dora odnosi się do: instytucji sektora finansowego w szczególności banków, instytucji płatniczych, zakładów ubezpieczeń, zakładów reasekuracji oraz dostawców usług w zakresie kryptoaktywów.

Rozporządzenie weszło w życie 16 stycznia 2023 roku. Na przygotowanie się do nowych wymogów adresaci DORA mają czas do 17 stycznia 2025 roku.

Aby być gotowym na DORA, organizacja musi zwiększyć swoją odporność operacyjną poprzez wdrożenie solidnych ram zarządzania, przeprowadzenie dokładnych ocen ryzyka oraz zapewnienie ciągłego monitorowania systemów ICT (technologie informacyjne i komunikacyjne). Kluczowe jest opracowanie planów zarządzania incydentami, ustanowienie kompleksowych polityk cyberbezpieczeństwa oraz utrzymanie odpornych infrastruktur danych.

Zgodność wymaga również od organizacji regularnego testowania systemów ICT pod kątem podatności oraz

ustalenia protokołów zgłaszania poważnych incydentów związanych z ICT. Dodatkowo, przestrzeganie DORA obejmuje zarządzanie ryzykiem dostawców, aby zapewnić, że dostawcy usług zewnętrznych spełniają te same standardy odporności.

Kluczowe regulacje DORA

Identyfikacja procesów – jak zacząć?

Aby osiągnąć zgodność organizacji z regulacjami DORA, pierwszym krokiem pozwalającym na przygotowanie się do nowych regulacji jest:
Procesy i zasoby powinny zostać sklasyfikowane zgodnie z wymaganiami regulacji w szczególności należy określić procesy i zasoby które pełnią krytyczną lub istotną funkcję w przedsiębiorstwie. Krytyczna lub istotna funkcja oznacza funkcję, której zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość świadczonych przez niego usług. Zagrożone staje się prowadzenie podstawowej działalności, a tym samym możliwe jest wstrzymanie wypełniania przez taki podmiot jego warunków i obowiązków
wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych.

Pomagamy podmiotom finansowym w wypełnieniu obowiązków DORA

W ramach usług świadczonych przez doświadczonych ekspertów Finture wspieramy klientów podlegających regulacji DORA w następujących etapach badania i raportowania zgodności:

Analiza BIA jest pierwszym krokiem przygotowującym do zgodności z DORA. Pozwala zidentyfikować krytyczne i istotne zasoby oraz procesy w organizacji. Podczas analizy skupiamy się na identyfikacji procesów oraz realizowanych zadań w ramach procesów. Dodatkowo identyfikujemy zasoby informatyczne i pozainformatyczne jakie są wykorzystywane przez procesy i zadania. Definiujemy powiązania pomiędzy procesami. Określamy RTO (Recovery Time Objective) oraz RPO (Recovery Point
Objective), a więc czas potrzebny do przywrócenia procesów po wystąpieniu awarii oraz akceptowalny poziom utraty danych wyrażony w czasie.

Opracowujemy oraz  dostosowujemy do wymagań naszych klientów procedury zarządzania  ryzykiem ICT. Procesy budowane są w oparciu o najlepsze rynkowe praktyki i frameworki takie jak ISO 31000 oraz NIST
800-53. Po opracowaniu wymaganych procedur pomagamy klientom przeprowadzić analizę ryzyka
z uwzględnieniem wszystkich istotnych czynników, które mogą mieć wpływ na wysokość szacowanego
ryzyka.

Wspieramy klientów przy opracowywaniu planów mitygacji ryzyka. Dodatkowo opracowujemy
procedury bezpieczeństwa w tym procedury zarządzania incydentami zgodnie z wymaganiami
prawnymi. Wykorzystujemy wypracowane przez nas wzorce identyfikacji procesów oraz czynników
krytyczności lub adaptujemy istniejące u klienta w materiały we jściowe.

Etapy analizy kończą się opracowaniem przez ekspertów Finture wyników, które są zaprezentowane
podczas spotkania podsumowującego. Produktem naszych prac jest również kompletny raport zbiorczy
przygotowany we współpracy z wyznaczonymi jednostkami organizacyjnymi. Zawarte w nim informacje
mogą stanowić podstawę do przygotowania strategicznych dokumentów firmy, w tym sprawozdań
okresowych lub raportów podlegających dalszym akceptacjom prawnym. Zakres oraz szczegółowość
danych zawartych w raporcie podsumowującym zawsze uzgadniamy z odbiorcami końcowymi.
W opracowaniu umieszczone zostaną także rekomendacje dla krytycznych obszarów procesowych wraz
ze scenariuszami dla okresowej oceny podatności (proces doskonalenia organizacji i jej odporności
na zdarzenia nagłe).

Finture - kompetencje doradztwa DORA

Współpracujemy z wieloma topowymi producentami rozwiązań z zakresu bezpieczeństwa. Dzięki temu posiadamy wiedzę w zakresie stosowanych i możliwych do zastosowania narzędzi automatyzujących i wspierających bezpieczeństwo w organizacji. Pomagamy wybrać najbardziej dostosowane do potrzeb klienta rozwiązanie oraz wspieramy przy jego wdrożeniu i utrzymaniu. Posiadamy kompetencje przy wdrażaniu oraz utrzymywaniu narzędzi do zarządzania podatnościami, ochrony poczty, zabezpieczania punktów końcowych oraz serwerów czy automatyzujących procesy TLPT.

Nasz zespół

Nasz zespół składa się ze specjalistów posiadających wieloletnie doświadczenie zarówno w obszarze zarządzanie bezpieczeństwem informacji, zarządzania ryzykiem oraz zarządzania ciągłością działania. Wszystkie te prace wspierane są przez osoby znające procesy i specyfikę działania sektora finansowego w Polsce.

Poznaj pozostałe usługi

Custom software development

Nasza firma w pełni rozumie, że indywidualne potrzeby naszych klientów wymagają spersonalizowanego podejścia. Nasz zespół specjalistów z dziedziny technologii oraz branży ubezpieczeniowej jest gotowy, by stworzyć oprogramowanie, które doskonale odpowiada unikalnym wymaganiom i specyfice ich działalności.

Nasze doświadczenie oraz dbałość o każdy szczegół to klucz do sukcesu projektów, w których uczestniczymy.

Staff augmentation

Niezależnie czy potrzebujesz pojedynczego analityka systemowo-biznesowego/ programisty / testera / devOpsa czy też kompletnego zespołu, który będzie realizować powierzone zadania, w Finture jesteśmy gotowi pomóc Ci dobrać odpowiednią osobę lub skompletować zespół wg Twoich wymagań.