Kaj je uredba o digitalni operativni odpornosti (DORA)?

Cilj uredbe EU o digitalni operativni odpornosti (DORA), ki je bil sprejet januarja 2023, je povečati odpornost finančnega sektorja EU proti motnjam, ki jih povzročajo težave z informacijsko tehnologijo. V njej je prepoznano tveganje, ki ga predstavljajo številne notranje in zunanje soodvisnosti IT, katerih operativni učinek sega daleč prek kraja napake. Do 17. januarja 2025 morajo organizacije dokazati, da imajo popoln pregled nad svojim IT okoljem, nad tem kako to okolje podpira poslovne dejavnosti, ter da lahko zanesljivo prepoznajo in zmanjšajo IT tveganja.

Zakaj je EU sprejela uredbo DORA?

EU je ranljivost bančnega sektorja EU obravnavala že leta 2018, ko je pripravila akcijski načrt FinTech: "Za konkurenčnejši in inovativnejši evropski finančni sektor". V njem je zapisano:

"... izreden pomen povečanja odpornosti finančnega sektorja Unije, tudi z operativnega vidika, da se zagotovi njegova tehnološka varnost in dobro delovanje, hitra sanacija po kršitvah in incidentih na področju IKT, kar bo omogočilo učinkovito in nemoteno zagotavljanje finančnih storitev po vsej Uniji, tudi v stresnih razmerah, ter hkrati ohranilo zaupanje potrošnikov in trga."

Ker je bančništvo postalo bolj digitalno, je seveda postalo tudi bolj odvisno od tehnologije. Zaradi večje mobilnosti bančnih potrošnikov in podjetij v državah EU in med državami EU se je bančništvo moralo razširiti prek meja in postati bolj medsebojno povezano. S tem so postale bolj povezane tudi njihove tehnologije. Zaradi večje uporabe storitev tretjih oseb in ponudnikov storitev v oblaku so IT pokrajine postale izjemno omrežene, organizacije v industriji finančnih storitev pa zelo soodvisne. Leta 2020 je Evropski odbor za sistemska tveganja v poročilu, ki obravnava sistemsko kibernetsko tveganje, navedel:

"... obstoječa visoka stopnja medsebojne povezanosti finančnih subjektov, finančnih trgov in infrastruktur finančnih trgov ter zlasti soodvisnost njihovih sistemov IKT bi lahko pomenila sistemsko ranljivost, saj bi se lahko lokalizirani kibernetski incidenti hitro razširili s katerega koli od približno 22.000 finančnih subjektov Unije na celoten finančni sistem, pri čemer jih ne bi ovirale geografske meje."

Odvisnost od tehnologije za nemoteno in zanesljivo poslovanje zahteva visoko celovitost tehnološkega okolja - celovitost, ki jo zlahka ogrozijo notranje in zunanje grožnje ter tveganja.
Cilj sprejetja uredbe DORA je manjša ranljivost bančnega sektorja EU in ohranjanje zaupanja potrošnikov.

Kaj točno DORA zahteva od evropske industrije finančnih storitev?

V uredbi je opredeljenih pet glavnih področij ukrepanja:

  1. Upravljanje tveganj na področju IKT: finančni subjekti morajo vzpostaviti celovit okvir za upravljanje tveganj IKT, ki zagotavlja neprekinjeno poslovanje, ponovno vzpostavitev in omejen vpliv tveganj:
    • določiti, razvrstiti in dokumentirati kritične funkcije in sredstva,
    • neprekinjeno spremljati vse vire tveganj IKT s ciljem vzpostaviti zaščitne in preventivne ukrepe,
    • vzpostaviti namenske in celovite politike neprekinjenega poslovanja ter načrte za primer nesreče in obnovitve, vključno z vsakoletnim testiranjem načrtov.
  2. Poročanje o incidentih, povezanih z IKT: o večjih incidentih, povezanih z IKT je treba poročati z uporabo standardiziranih obrazcev in predlog za poročanje:
    • razviti poenostavljen postopek za beleženje/razvrščanje vseh incidentov IKT in določanje večjih incidentov v skladu z merili iz uredbe, ki jih podrobneje določijo evropski nadzorni organi,
    • predložiti začetno, vmesno in končno poročilo o incidentih, povezanih z IKT.
  3. Testiranje digitalne operativne odpornosti: subjekti se morajo podvreči rednemu testiranju digitalne operativne odpornosti, ki ga izvajajo neodvisne tretje osebe:
    • letno izvajati osnovno testiranje orodij in sistemov IKT,
    • ugotoviti, zmanjšati in takoj odpraviti morebitne slabosti, pomanjkljivosti ali vrzeli z izvajanjem protiukrepov,
    • občasno izvajati napredne teste penetracije s pomočjo groženj (TLPT) za storitve IKT, ki vplivajo na kritične funkcije,
    • tretji ponudniki storitev IKT morajo prisostvovati in v celoti sodelovati pri dejavnostih testiranja.
  4. Tveganja tretjih oseb na področju IKT: to področje določa ključna načela za spremljanje tveganj, ki izhajajo iz tretjih ponudnikov storitev IKT:
    • zagotoviti dobro spremljanje tveganj, ki izhajajo iz odvisnosti od tretjih ponudnikov IKT,
    • poročati o popolnem registru dejavnosti, oddanih v zunanje izvajanje, vključno s storitvami znotraj skupine in vsemi spremembami pri oddajanju kritičnih storitev v zunanje izvajanje,
    • zagotoviti, da pogodbe s tretjimi izvajalci IKT vsebujejo vse potrebne podrobnosti o spremljanju in dostopnosti, kot so popoln opis ravni storitev, navedba lokacij, na katerih se obdelujejo podatki, itd.
  5. Izmenjava informacij: DORA finančnim subjektom omogoča, da med seboj sklenejo dogovore za izmenjavo obveščevalnih podatkov in informacij o kibernetskih grožnjah. Nadzorni organ DORA bo finančnim subjektom zagotovil ustrezne anonimizirane informacije in obveščevalne podatke o kibernetskih grožnjah.

Izzivi v zvezi s skladnostjo z DORA

Poleg očitnega izziva, ki od organizacij zahteva pravočasno skladnost z  DORA, bi se morale organizacije prizadevati tudi za sinergijske učinke, kot so:

  • stroškovna učinkovitost pri dolgoročni skladnosti kot zagotovilo, da skladnost z DORA ne ogroža naložb v poslovne inovacije,
  • izkoriščanje prizadevanj za skladnost z DORA za druge predpise povezane z operativno odpornostjo,
  • usklajevanje prizadevanj za skladnost s strateškimi poslovnimi in informacijskimi cilji,
  • zagotavljanje koristi za organizacijo kot celoto, na primer racionalizacija IT in poslovnih dejavnosti ter večja prožnost pri zagotavljanju inovativnih poslovnih rešitev

Zgoraj omenjene sinergije - in seveda skladnost - je težko doseči, če:

  • upravljanje tveganj IT ni povezano z operativnim modelom in zato ni osredotočeno na operativno odpornost,
  • ni preglednosti nad tveganji, ki prihajajo od tretjih ponudnikov storitev IKT,
  • so informacije o procesih in IKT razpršene po več orodjih in organizacijah,
  • ni razumevanja soodvisnosti IT in poslovnih portfeljev,
  • upravljanje tveganj ni povezano s strateškim načrtovanjem in upravljanjem IT portfelja.

Prednosti skladnosti z DORA

Za vzpostavitev skladnosti z DORA je seveda potreben določen napor. Vendar pa celovit pristop, ki vključuje analizo poslovnih procesov, arhitekturo organizacije in strateško upravljanje portfelja za zagotavljanje operativne odpornosti, prinaša veliko dodatnih koristi:

  • poenoteni in konsistentni podatki med več viri omogočajo preglednost in poročanje za številne različne regulativne in poslovne namene,
  • visoka stopnja preglednosti omogoča odločanje na podlagi dejstev od začetka do konca v okviru strateškega načrtovanja, upravljanja tveganj, upravljanja naložb v IT, izvajanja sprememb in poslovanja,
  • čisto, racionalizirano okolje IT in procesov, ki pri odločitvah o spremembah upošteva tveganja,
  • nov vpogled v procese in IT, ki ga je mogoče izkoristiti za izboljšanje zagotavljanja in delovanja rešitev.

Svetovalna podjetja, kot je npr. Bain Research, potrjujejo, da se je za to vredno potruditi.

DORA s prenovo programov za upravljanje tveganj in zagotavljanje skladnosti, ki vključujejo inteligentno avtomatizacijo ter zmanjšujejo odvečno delo in birokracijo, ponuja priložnost za reševanje globljih temeljnih vprašanj, ki danes povečujejo tveganja in stroške, .
- Bain Research

Navsezadnje ali ne bi bilo bolje, da bi kapital, ki bi ga morali nameniti za kritje IKT tveganj, raje uporabili za nove poslovne rešitve ali izboljšave IT?

Kakšen je najboljši način za izpolnjevanje zahtev DORA?

Obstaja veliko notranjih in zunanjih groženj, vendar pa v organizacijah obstajajo tudi temeljne težave kot so:

  • zapleteni, nepregledni procesi in IT okolje,
  • preveč nepotrebnih gibljivih delov v poslovnih portfeljih in portfeljih IT,
  • poslovne rešitve, ki se razvijajo brez upoštevanja možnosti za uvedbo ranljivosti v poslovanje,

ki povečujejo tveganja.

Če je vaš cilj?

  • prepoznati vpliv napak IT na poslovanje,
  • prepoznati tveganja, ki prihajajo od tretjih ponudnikov storitev IKT,
  •  vključiti vidike tveganja v zasnovo IT rešitev in naložbe v IT.

Potem je rešitev ARIS za analiziranje poslovnih procesov, upravljanje tveganj in skladnosti ter upravljanje celovite arhitekture organizacije za vas.

Rešitev ARIS omogoča, da določite regulativne zahteve in jih povežete z ustreznimi poslovnimi procesi. Ocenite in spremljate lahko tveganja IKT v zvezi s procesi ter tako vzpostavite zaščitne in preventivne ukrepe, kot so kontrole. Poleg tega lahko vzpostavite namenske in celovite politike neprekinjenega poslovanja, načrte za primer nesreče in obnovitve, vključno z letnim testiranjem načrtov. ARIS omogoča tudi vrednotenje rezultatov ocenjevanja ter podpira poročanje notranjim in zunanjim presojevalcem. V primeru incidentov ali pomanjkljivosti v zvezi s skladnostjo ARIS ponuja učinkovito upravljanje težav od zaznave do rešitve.

 

Kontrolni seznam skladnosti z DORA

Orodja za podporo zagotavljanju skladnosti z DORA bi morala podpirati spodaj naštete zmožnosti:

1. Upravljanje celovite arhitekture organizacije: integriran in skladen pogled na povezave med poslovanjem in IT portfeljem ter s tem povezanimi tveganji.
2. Upravljanje IT: okvir za načrtovanje in upravljanje IT ter s tem povezano upravljanje tveganj.
3. Upravljanje groženj: zmožnost prepoznavanja groženj in njihovega povezovanja z elementi arhitekture ali sredstvi IT portfelja.
4. Upravljanje tveganj IT: politike in postopki za upravljanje celovitosti IT glede aplikacij, projektov, podatkov, sistemov in zaposlenih za zagotavljanje neprekinjenega poslovanja.
5. Zmanjševanje tveganj: ocenjevanje tveganj, načrtovanje in izvajanje ukrepov za zmanjšanje splošne nevarnosti za organizacijo.
6. Upravljanje pogodb in dobaviteljev: poznavanje vseh ponudnikov storitev, vključno s pogodbenimi pogoji v zvezi z elementi arhitekture in sredstvi portfelja.
7. Upravljanje predpisov: analiziranje zahtev s pomočjo dokumentiranja in ocenjevanja uredbe ter sprejemanje ukrepov za uskladitev.
8. Samoocenjevanje: ocena statusa vašega potovanja s postavljanjem pravih vprašanj.
9. Upravljanje potrditev: uvajanje politik in potrjevanje, da so jih vsi sodelujoči prebrali in razumeli.
10. Testiranje in upravljanje kontrol: redno preizkušanje učinkovitosti kontrol in nadaljnje ukrepanje v primeru prepoznanih pomanjkljivosti.
11. Upravljanje incidentov in težav: dokumentiranje incidentov, proženje reševanja težav in sledenje vpeljevanju rešitev.

Zaključek

Organizacije bi morale svoja prizadevanja za skladnost z DORA uporabiti za vzpostavitev vitkega in racionaliziranega procesnega in informacijskega okolja, ki je odporno na vse vrste motenj. Spoznanja, ki bodo pridobljena tekom vzpostavljanja skladnosti z DORA, je pametno uporabiti za poslovne inovacije in premišljene odločitve o spremembah IT.
Če boste na skladnost z DORA gledali kot na enostavno nalogo, ki jo je mogoče zlahka opraviti v nekaj dneh, bo to v prihodnosti vodilo le v težave.  Za skladnost z DORA je potreben trajnostni pristop, ki nenehno preverja naložbe, sredstva, delovanje in razvoj IT z vidika groženj in tveganj za poslovanje.

search video
PlayPlay
enoten sistem upravljanja
Enoten sistem upravljanja podprt z orodji ARIS konsolidira tradicionalno ločene sisteme upravljanja kot so upravljanje procesov, upravljanje tveganj in internih kontrol, upravljanje kakovosti, upravljanje IT portfelja, upravljanje znanj, upravljanje preobrazb in drugih ter s tem omogoči učinkovitejše delovanje organizacije.