Czy Twoja organizacja jest gotowa na DORA?
Poruszanie się w zakresie przestrzegania przepisów Ustawy o Cyfrowej Odporności Operacyjnej.
Digital Operational Resilience Act (DORA)
DORA jest rozporządzeniem UE w sprawie odporności cyfrowej sektora finansowego. Dora odnosi się do: instytucji sektora finansowego w szczególności banków, instytucji płatniczych, zakładów ubezpieczeń, zakładów reasekuracji oraz dostawców usług w zakresie kryptoaktywów.
Rozporządzenie weszło w życie 16 stycznia 2023 roku. Na przygotowanie się do nowych wymogów adresaci DORA mają czas do 17 stycznia 2025 roku.
Aby być gotowym na DORA, organizacja musi zwiększyć swoją odporność operacyjną poprzez wdrożenie solidnych ram zarządzania, przeprowadzenie dokładnych ocen ryzyka oraz zapewnienie ciągłego monitorowania systemów ICT (technologie informacyjne i komunikacyjne). Kluczowe jest opracowanie planów zarządzania incydentami, ustanowienie kompleksowych polityk cyberbezpieczeństwa oraz utrzymanie odpornych infrastruktur danych.
Zgodność wymaga również od organizacji regularnego testowania systemów ICT pod kątem podatności oraz
Kluczowe regulacje DORA
- Zarządzanie ryzykiem ICT (Information and Communications Technologies) – z uwzględnieniem zasady proporcjonalności oraz odpowiedzialności podmiotów nadzorowanych
- Zarządzanie ryzykiem dostawców usług ICT
- Weryfikowanie bezpieczeństwa systemów, procesów i usług
- Zarządzanie Incydentami ICT – ujednolicenie i scentralizowanie procesu zarządzania poważnymi incydentami ICT zarówno na poziomie krajowym jak i poziomie unijnym
- Dokumentacja bezpieczeństwa, która powinna wynikać ze zidentyfikowanych ryzyk
Identyfikacja procesów – jak zacząć?
- identyfikacja procesów,
- identyfikacja zasobów informatycznych (systemy, infrastruktura techniczna)
- przegląd i katalog umów ze stronami trzecimi odpowiadającymi za infrastrukturę ICT (Information and Communications Technology)
Pomagamy podmiotom finansowym w wypełnieniu obowiązków DORA
Analiza BIA jest pierwszym krokiem przygotowującym do zgodności z DORA. Pozwala zidentyfikować krytyczne i istotne zasoby oraz procesy w organizacji. Podczas analizy skupiamy się na identyfikacji procesów oraz realizowanych zadań w ramach procesów. Dodatkowo identyfikujemy zasoby informatyczne i pozainformatyczne jakie są wykorzystywane przez procesy i zadania. Definiujemy powiązania pomiędzy procesami. Określamy RTO (Recovery Time Objective) oraz RPO (Recovery Point
Objective), a więc czas potrzebny do przywrócenia procesów po wystąpieniu awarii oraz akceptowalny poziom utraty danych wyrażony w czasie.
Opracowujemy oraz dostosowujemy do wymagań naszych klientów procedury zarządzania ryzykiem ICT. Procesy budowane są w oparciu o najlepsze rynkowe praktyki i frameworki takie jak ISO 31000 oraz NIST
800-53. Po opracowaniu wymaganych procedur pomagamy klientom przeprowadzić analizę ryzyka
z uwzględnieniem wszystkich istotnych czynników, które mogą mieć wpływ na wysokość szacowanego
ryzyka.
Wspieramy klientów przy opracowywaniu planów mitygacji ryzyka. Dodatkowo opracowujemy
procedury bezpieczeństwa w tym procedury zarządzania incydentami zgodnie z wymaganiami
prawnymi. Wykorzystujemy wypracowane przez nas wzorce identyfikacji procesów oraz czynników
krytyczności lub adaptujemy istniejące u klienta w materiały we jściowe.
Etapy analizy kończą się opracowaniem przez ekspertów Finture wyników, które są zaprezentowane
podczas spotkania podsumowującego. Produktem naszych prac jest również kompletny raport zbiorczy
przygotowany we współpracy z wyznaczonymi jednostkami organizacyjnymi. Zawarte w nim informacje
mogą stanowić podstawę do przygotowania strategicznych dokumentów firmy, w tym sprawozdań
okresowych lub raportów podlegających dalszym akceptacjom prawnym. Zakres oraz szczegółowość
danych zawartych w raporcie podsumowującym zawsze uzgadniamy z odbiorcami końcowymi.
W opracowaniu umieszczone zostaną także rekomendacje dla krytycznych obszarów procesowych wraz
ze scenariuszami dla okresowej oceny podatności (proces doskonalenia organizacji i jej odporności
na zdarzenia nagłe).
Finture - kompetencje doradztwa DORA
Nasz zespół
Poznaj pozostałe usługi
Custom software development
Nasza firma w pełni rozumie, że indywidualne potrzeby naszych klientów wymagają spersonalizowanego podejścia. Nasz zespół specjalistów z dziedziny technologii oraz branży ubezpieczeniowej jest gotowy, by stworzyć oprogramowanie, które doskonale odpowiada unikalnym wymaganiom i specyfice ich działalności.
Nasze doświadczenie oraz dbałość o każdy szczegół to klucz do sukcesu projektów, w których uczestniczymy.
Staff augmentation
Niezależnie czy potrzebujesz pojedynczego analityka systemowo-biznesowego/ programisty / testera / devOpsa czy też kompletnego zespołu, który będzie realizować powierzone zadania, w Finture jesteśmy gotowi pomóc Ci dobrać odpowiednią osobę lub skompletować zespół wg Twoich wymagań.