DORA

Pregled

Zakon o digitalnoj operativnoj otpornosti (DORA) uspostavlja jedinstvene zahtjeve za sigurnost i otpornost mrežnih i informacijskih sustava koji podržavaju poslovne procese financijskih subjekata. Također stvara okvir za nadzor kritičnih ICT pružatelja usluga trećih strana.^[1]

DORA je uredba, što znači da se primjenjuje izravno u svim državama članicama EU bez potrebe za implementacijom.

Subjekti u opsegu

Financijski subjekti^[2]

• Kreditne institucije (banke)
• Platne institucije
• Institucije za elektronički novac
• Investicijska društva
• Osiguravajuća i reosiguravajuća društva
• Centralni depozitori vrijednosnih papira
• Trgovački repozitoriji
• Agencije za kreditni rejting
• Pružatelji usluga kripto-imovine
• Pružatelji usluga crowdfunding-a
• Pružatelji usluga izvještavanja podataka

Kritični ICT pružatelji usluga trećih strana

Europska nadzorna tijela određuju kritične ICT pružatelje usluga na temelju:

• Simptomatskog utjecaja u slučaju neuspjeha pružatelja
• Stupnja zamjenjivosti
• Broja financijskih subjekata koji ovise o pružatelju

Određeni pružatelji podliježu okviru nadzora EU.

Pet stupova DORA-e

1. Upravljanje ICT rizicima (Poglavlje II)

Financijski subjekti moraju uspostaviti i održavati:

• Upravljanje: Odgovornost uprave za ICT strategiju rizika
• Okvir rizika: Identifikacija, zaštita, otkrivanje, odgovor, oporavak
• Dokumentacija: Politike, procedure i protokoli za ICT sigurnost
• Testiranje: Redovita evaluacija ICT sustava i alata

2. Izvještavanje o ICT incidentima (Poglavlje III)^[3]

Veliki ICT povezani incidenti moraju se prijaviti koristeći standardizirane obrasce.

3. Testiranje digitalne operativne otpornosti (Poglavlje IV)

Testiranje mora obuhvatiti: procjene ranjivosti, procjene sigurnosti mreže, preglede sigurnosti softvera, preglede izvornog koda (gdje je izvedivo), testiranje temeljeno na scenarijima i testiranje kompatibilnosti.

4. Upravljanje rizicima trećih strana (Poglavlje V)^[4]

Financijski subjekti moraju:

• Održavati registar svih ICT ugovora s trećim stranama
• Provesti dubinsku analizu prije sklapanja ugovora
• Procijeniti rizike koncentracije
• Uključiti obavezne ugovorne odredbe
• Definirati strategije izlaska
• Prijaviti ugovore nadležnim tijelima

Obavezni ugovorni uvjeti uključuju opise razine usluge, obveze zaštite podataka, prava pristupa i revizije, zahtjeve za izvještavanje o incidentima te prava na raskid s podrškom za prijelaz.

5. Dijeljenje informacija (Poglavlje VI)

Financijski subjekti mogu razmjenjivati informacije o cyber prijetnjama unutar povjerljivih zajednica, uz poštivanje pravila povjerljivosti, radi jačanja kolektivne obrane.

Proporcionalnost

DORA primjenjuje proporcionalnost na temelju veličine i profila rizika subjekta, prirode, opsega i složenosti usluga te sistemske važnosti.

Pojednostavljeni zahtjevi primjenjuju se na mala i ne-povezana investicijska društva, platne i institucije za elektronički novac ispod određenih pragova te određene osiguravajuće posrednike.

Kazne

Nadležna tijela mogu nametnuti:^[5]

• Administrativne novčane kazne
• Periodične novčane kazne
• Javne izjave
• Povlačenje odobrenja
• Privremene zabrane obavljanja upravljačkih funkcija

Specifični iznosi određeni su zakonodavstvom država članica.

Implikacije za programere i ICT pružatelje

Ako pružate ICT usluge financijskom sektoru:

1. Pregled ugovora: Osigurajte da ugovori zadovoljavaju DORA zahtjeve
2. Izvještavanje o incidentima: Uspostavite kanale izvještavanja za klijente
3. Podrška testiranju: Omogućite klijentima testiranje penetracije
4. Planiranje izlaska: Omogućite uredan prijelaz ako ugovori prestanu
5. Svijest o koncentraciji: Pratite ovisnosti o vašim uslugama
6. Kritični status: Pripremite se za mogući nadzor EU