Opinie Sergiu Zaharia, Director Cyber Strategy Advisory, Mihai Olteanu, Director Cyber Defense Advisory, şi Adrian Ifrim, Director Cyber Risk Services, Deloitte România: UE a adoptat DORA, un fel de GDPR al siguranţei cibernetice pentru organizaţiile din sectorul financiar. Ce presupune noul cadru de reglementare pentru echipele de management?
La finalul anului 2022, actul de reglementare privind rezilienţa operaţională digitală (DORA) a fost publicat în monitorul oficial al Uniunii Europene, întrând în vigoare începând cu 16 ianuarie 2023. Complexitatea efectelor DORA asupra domeniului siguranţei cibernetice pentru organizaţiile din sectorul financiar este comparabilă cu ceea ce a însemnat GDPR pentru domeniul protecţiei datelor personale. DORA creează primul cadru legislativ care armonizează măsurile de securitate cibernetică şi de risc pentru toate entităţile din sectorul financiar, nu doar pentru bănci, la nivel european.
Cei patru piloni prezentaţi în DORA
DORA are în vedere patru piloni pe care companiile din sectorul financiar trebuie să îi ia în considerare pentru a înţelege maniera în care practicile lor privind tehnologia informaţiei şi comunicaţiilor, rezilienţa operaţională şi cibernetică, dar şi managementul riscurilor rezultate în urma colaborării cu terţi asigură continuitatea funcţiilor lor critice.
Primul pilon presupune crearea unui cadru de management al riscului în jurul unui set de principii şi cerinţe cheie în vederea gestionării riscului privind tehnologia informaţiei şi comunicaţiilor.
Al doilea pilon vizează modalitatea de raportare a incidentelor, entităţile financiare fiind nevoite să notifice astfel de cazuri în 24 de ore de la producere. În decurs de o lună, organizaţia compromisă este nevoită să identifice cauza primară a atacului folosind instrumente de detecţie şi răspuns implementate cu ajutorul echipelor operaţionale care trebuie să dea dovadă de o serie de abilităţi speciale în domeniu. Tehnologiile care pot sprijini procesele de detecţie şi răspuns sunt soluţii cu care principalii jucătorii din sistemul bancar sunt cel mai probabil la zi, activând într-un sector deja puternic reglementat.
Testarea rezilienţei operaţionale reprezintă al treilea pilon pe care DORA îl reglementează, stabilind standarde la nivelul UE în vederea realizării acestor exerciţii. Companiile care au depăşit un anumit prag de maturitate – prag care va fi specificat într-un standard tehnic de reglementare ce nu a fost încă adoptat – trebuie să efectueze teste de securitate bazate pe informaţii despre ameninţări cibernetice actuale (Threat-Led Penetration Testing) la fiecare trei ani, excepţie făcând cazurile în care aceste dispoziţii sunt modificate de autorităţile naţionale. În ţara noastră, Banca Naţională a României a adoptat cadrul TIBER-RO în mai 2022, care se aplică instituţiilor financiare pe care le supraveghează. Acesta presupune testarea rezilienţei cibernetice a companiilor din sectorul financiar la fiecare trei ani, iar cele care în prezent se pregătesc pentru implementarea regulamentului nr. 6/2022 privind cadrul de desfăşurare a testelor de rezilienţă cibernetică TIBER-RO pot avea încredere că această activitate le va fi utilă în vederea respectării cerinţelor avansate de testare specificate de DORA.
În final, al patrulea pilon precizează necesitatea adoptării unei strategii holistice în ceea ce priveşte gestionarea relaţiei cu terţii, care să permită o monitorizare completă din partea companiei.
Implicaţii pentru echipele de conducere executivă
Odată cu DORA, un cadru de reglementare mult mai strict decât alte iniţiative similare din zona de securitate cibernetică şi care va beneficia de o vizibilitate mai mare la nivel european,
