DORA — Akt o digitalnoj operativnoj otpornosti — primjenjuje se na širok spektar finansijskih subjekata i, što je ključno, na njihove kritične ICT pružaoce usluga. Harmonizuje zahtjeve operativne otpornosti koji su prije bili razbacani.
Pet stubova
- Upravljanje ICT rizicima — sveobuhvatan okvir za koji odgovara uprava.
- Upravljanje ICT incidentima — klasifikacija, postupanje i prijava velikih incidenata.
- Testiranje digitalne operativne otpornosti — uključujući penetracijsko testiranje vođeno prijetnjama.
- Rizik ICT trećih strana — nadzor pružalaca sa ključnim ugovornim zahtjevima.
- Dijeljenje informacija — dobrovoljna razmjena obavještajnih podataka o prijetnjama.
Rizik trećih strana je glavna tema
DORA stavlja stvarnu težinu na rizik ICT trećih strana. Finansijski subjekti moraju voditi registar informacija o ICT aranžmanima, osigurati ugovorne odredbe i procijeniti rizik koncentracije.
Kako se odnosi na ono što već imate
Ako ste implementirali ISO 27001 ili se uskladili sa NIS2, imate snažan temelj — ali DORA je mjestimično preciznija, posebno oko testiranja i ugovora. Tretirajte je kao proširenje.
DORA-in naglasak na testiranju otpornosti i ugovorima sa dobavljačima zatiče mnoge koji su mislili da je njihov postojeći program dovoljan.
Praktični prvi koraci
- Potvrdite jeste li finansijski subjekt ili ICT pružalac za njega.
- Izgradite ili ažurirajte registar ICT aranžmana sa trećim stranama.
- Pregledajte ugovore sa dobavljačima u odnosu na DORA-ine odredbe.
- Uspostavite proces klasifikacije i prijave incidenata.
- Planirajte program testiranja otpornosti srazmjeran vašoj veličini i riziku.
DORA je zahtjevna ali logična. Počnite razumijevanjem svoje uloge u lancu, sredite trećе strane i ugradite testiranje otpornosti u rutinu.
Teme
Povezani resursi
Pretvorite ovo u plan koji prolazi reviziju
Zakažite besplatnu 30-minutnu konsultaciju i zajedno ćemo mapirati najbrži put do usklađenosti s najmanjim rizikom — bez žargona, bez prodaje.
Zakaži besplatnu konsultaciju