Новата регулация DORA ще повиши стандартите за дигитална устойчивост на финансовия сектор
В международен мащаб през последните години следим доста повишение на турбуленцията в пространството на регулационните условия, както и при стандартите за най-хубави практики в областта на киберсигурността. Съществени промени през последната година претърпяха стандарти и рамки за най-хубави практики като ISO27001, PCI-DSS и NIST CSF, които включват обилни нови условия. Също по този начин директивата NIS мина през съществени промени, които бяха оповестени в новата итерация на регулацията, а точно NIS 2, която влезе в действие през януари 2023 година В този подтекст Европейският съюз показа също и новото си предложение за регулаторен акт за финансовата промишленост на Европейски Съюз - Европейският правилник за цифрова оперативна резистентност - DORA.
В международен мащаб през последните години следим доста повишение на турбуленцията в пространството на регулационните условия, както и при стандартите за най-хубави практики в областта на киберсигурността. Съществени промени през последната година претърпяха стандарти и рамки за най-хубави практики като ISO27001, PCI-DSS и NIST CSF, които включват обилни нови условия. Също по този начин директивата NIS мина през съществени промени, които бяха оповестени в новата итерация на регулацията, а точно NIS 2, която влезе в действие през януари 2023 година В този подтекст Европейският съюз показа също и новото си предложение за регулаторен акт за финансовата промишленост на Европейски Съюз - Европейският правилник за цифрова оперативна резистентност - DORA.
Какво е DORA
Вероятно двата най-големи нефинансови риска, пред които са изправени организациите за финансови услуги през днешния ден, са оперативната резистентност и киберсигурността. Когато преглеждаме застрахователните искове в бранша, главната причина за загуба на стойност са хакерските атаки. Как стигнахме дотук е безизходен урок от близката история, въпреки че, най-общо казано, основните фактори включват пандемията, продължаващия марш към цифровизация и световното повишаване на отдалечената работа, всички, които помогнаха да се сложи началото на вълна от оперативни провали и киберпрестъпления.
В резултат на това финансовите институции са изправени пред голям брой закани за тяхната оперативна непоклатимост, в това число хакерски атаки, систематичен срив, кражба на данни, ransomware и загуба на известност, всяка от които би довела до немислими последствия при положение на реализация.
Тук влиза новата регулация DORA, чийто правилник има намерение да увеличи стандартите на рамките за цифрова резистентност. Регламентът е неповторим с въвеждането на рамка за контрол в целия Европейски съюз, с която се цели да се увеличи стандартът за надзор в целия финансов бранш по отношение на ръководството на:
Реклама
Критични снабдители на осведомителни и информационни технологии (ИКТ) Управление на риска, обвързван с киберсигурност и цифрова оперативна резистентност Управление на произшествия Тестване на механизми, построени за цифрова оперативна резистентност Споразумения за шерване на информация с сътрудници, обвързвана с разузнаване по отношение на закани за сигурността.
Обхват и основни периоди на DORA
DORA ще се ползва за повече от 22 хиляди финансови институции и снабдители на ИКТ услуги, работещи в границите на Европейски Съюз. Регламентът ще вкара характерни и предписващи условия за всички участници на финансовите пазари, да вземем за пример банки, капиталови медиатори, застрахователни предприятия и медиатори, снабдители на криптоактиви, снабдители на отчитане на данни и снабдители на облачни услуги.
Последната актуализация на регламента е на 27.12.2022 година - DORA е оповестена в Официалния вестник на Европейски Съюз, като основните за въвеждане в употреба дати са следните:
16.01.2023 - DORA влиза в действие. Q2 - Q4 2023 - Подготовка на спомагателни механически детайлности от страна на европейските надзорни органи. В този интервал ЕНО ще създадат условията по-конкретни, до момента в който организациите ще могат да обновят контролната си среда, с цел да се съобразят с DORA. Q2 2024 - Срок за подготовка на съответни отговорности на DORA за организациите, попадащи в обсега на регулацията, както и предстояща обява на делегиран акт от Комисията на Европейски Съюз по отношение на класификацията на сериозни трети страни, който ще даде условия за осъществяване на разпознатите сериозни снабдители. 01.2025 - Принудително осъществяване на DORA. Националните способени органи стартират да следят за спазването на DORA. Като част от това се чака европейските надзорни органи да делегират осъществяването на районни инспекции на разнообразни регулаторни институции в страни - членки на Европейски Съюз.
Реклама Кои са основните условия на DORA
DORA подсигурява поредно даване на услуги по цялата верига на цената посредством въвеждане на цялостна рамка за дейно ръководство на риска, оперативни благоприятни условия за ИКТ и киберсигурност и ръководство от трети страни. Тази рамка включва пет основни стълба за създаване на ефикасна оперативна резистентност.
Управление на риска в ИКТ
DORA изисква фирмите да ползват последователен и структуриран метод за ръководство на риска в ИКТ. Това включва оценка на риска, обмисляне и осъществяване на ограничения за ръководство на риска и непрекъснато наблюдаване на успеваемостта на тези ограничения. На първо място, ръководството на риска в ИКТ би трябвало да бъде в детайли и да подхожда изцяло на задачите и тактиката на компанията. Също по този начин нужно е да бъде избрана тактика за цифрова еластичност, която да дефинира дейности по отношение на равнището на риск, което се чака. Необходимо е да се усъвършенства минималното равнище на отбрана на база на разпознатите опасности, като се даде приоритет на най-високо категоризираните такива.
Управление на произшествия, свързани с ИКТ
В международен мащаб през последните години следим доста повишение на турбуленцията в пространството на регулационните условия, както и при стандартите за най-хубави практики в областта на киберсигурността. Съществени промени през последната година претърпяха стандарти и рамки за най-хубави практики като ISO27001, PCI-DSS и NIST CSF, които включват обилни нови условия. Също по този начин директивата NIS мина през съществени промени, които бяха оповестени в новата итерация на регулацията, а точно NIS 2, която влезе в действие през януари 2023 година В този подтекст Европейският съюз показа също и новото си предложение за регулаторен акт за финансовата промишленост на Европейски Съюз - Европейският правилник за цифрова оперативна резистентност - DORA.
Какво е DORA
Вероятно двата най-големи нефинансови риска, пред които са изправени организациите за финансови услуги през днешния ден, са оперативната резистентност и киберсигурността. Когато преглеждаме застрахователните искове в бранша, главната причина за загуба на стойност са хакерските атаки. Как стигнахме дотук е безизходен урок от близката история, въпреки че, най-общо казано, основните фактори включват пандемията, продължаващия марш към цифровизация и световното повишаване на отдалечената работа, всички, които помогнаха да се сложи началото на вълна от оперативни провали и киберпрестъпления.
В резултат на това финансовите институции са изправени пред голям брой закани за тяхната оперативна непоклатимост, в това число хакерски атаки, систематичен срив, кражба на данни, ransomware и загуба на известност, всяка от които би довела до немислими последствия при положение на реализация.
Тук влиза новата регулация DORA, чийто правилник има намерение да увеличи стандартите на рамките за цифрова резистентност. Регламентът е неповторим с въвеждането на рамка за контрол в целия Европейски съюз, с която се цели да се увеличи стандартът за надзор в целия финансов бранш по отношение на ръководството на:
Реклама
Критични снабдители на осведомителни и информационни технологии (ИКТ) Управление на риска, обвързван с киберсигурност и цифрова оперативна резистентност Управление на произшествия Тестване на механизми, построени за цифрова оперативна резистентност Споразумения за шерване на информация с сътрудници, обвързвана с разузнаване по отношение на закани за сигурността.
Обхват и основни периоди на DORA
DORA ще се ползва за повече от 22 хиляди финансови институции и снабдители на ИКТ услуги, работещи в границите на Европейски Съюз. Регламентът ще вкара характерни и предписващи условия за всички участници на финансовите пазари, да вземем за пример банки, капиталови медиатори, застрахователни предприятия и медиатори, снабдители на криптоактиви, снабдители на отчитане на данни и снабдители на облачни услуги.
Последната актуализация на регламента е на 27.12.2022 година - DORA е оповестена в Официалния вестник на Европейски Съюз, като основните за въвеждане в употреба дати са следните:
16.01.2023 - DORA влиза в действие. Q2 - Q4 2023 - Подготовка на спомагателни механически детайлности от страна на европейските надзорни органи. В този интервал ЕНО ще създадат условията по-конкретни, до момента в който организациите ще могат да обновят контролната си среда, с цел да се съобразят с DORA. Q2 2024 - Срок за подготовка на съответни отговорности на DORA за организациите, попадащи в обсега на регулацията, както и предстояща обява на делегиран акт от Комисията на Европейски Съюз по отношение на класификацията на сериозни трети страни, който ще даде условия за осъществяване на разпознатите сериозни снабдители. 01.2025 - Принудително осъществяване на DORA. Националните способени органи стартират да следят за спазването на DORA. Като част от това се чака европейските надзорни органи да делегират осъществяването на районни инспекции на разнообразни регулаторни институции в страни - членки на Европейски Съюз.
Реклама Кои са основните условия на DORA
DORA подсигурява поредно даване на услуги по цялата верига на цената посредством въвеждане на цялостна рамка за дейно ръководство на риска, оперативни благоприятни условия за ИКТ и киберсигурност и ръководство от трети страни. Тази рамка включва пет основни стълба за създаване на ефикасна оперативна резистентност.
Управление на риска в ИКТ
DORA изисква фирмите да ползват последователен и структуриран метод за ръководство на риска в ИКТ. Това включва оценка на риска, обмисляне и осъществяване на ограничения за ръководство на риска и непрекъснато наблюдаване на успеваемостта на тези ограничения. На първо място, ръководството на риска в ИКТ би трябвало да бъде в детайли и да подхожда изцяло на задачите и тактиката на компанията. Също по този начин нужно е да бъде избрана тактика за цифрова еластичност, която да дефинира дейности по отношение на равнището на риск, което се чака. Необходимо е да се усъвършенства минималното равнище на отбрана на база на разпознатите опасности, като се даде приоритет на най-високо категоризираните такива.
Управление на произшествия, свързани с ИКТ
Източник: capital.bg
КОМЕНТАРИ