![Rozporządzenie DORA. Klienci prawdopodobnie nie dostrzegą zmian bezpośrednio [KOMENTARZ]](https://g.infor.pl/p/_files/37761000/komputer-kompetencje-cyfrowe-37760825.jpg)
Rozporządzenie DORA, które zacznie obowiązywać w styczniu 2025 roku, stanowi kluczowy element w budowaniu odporności cyfrowej sektora finansowego w całej Unii Europejskiej. Nowe regulacje mają zapewnić jednolite standardy ochrony przed incydentami cyberbezpieczeństwa oraz zakłóceniami operacyjnymi - wskazuje Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Rozporządzenie DORA wymaga od instytucji finansowych opracowania kompleksowych ram zarządzania ryzykiem technologii informacyjno-komunikacyjnych (ICT). Oznacza to stworzenie kompleksowych ram zarządzania ryzykiem cybernetycznym, które obejmują nie tylko identyfikację zagrożeń, ale także monitorowanie i szybkie reagowanie na incydenty. W tym kontekście kluczowe znaczenie mają rozwiązania takie jak EDR (Endpoint Detection and Response), które pozwalają na wczesne wykrywanie i neutralizację zagrożeń w czasie rzeczywistym. Obowiązek prowadzenia szczegółowych rejestrów incydentów oraz ich analizowania pozwoli instytucjom lepiej zrozumieć źródła problemów i wdrażać mechanizmy zapobiegawcze.
Nowe regulacje nakładają na sektor finansowy również obowiązek przeprowadzania regularnych testów odporności operacyjnej, takich jak testy penetracyjne czy oceny podatności. Takie działania pozwolą nie tylko na weryfikację poprawności działania istniejących systemów bezpieczeństwa, ale także na przygotowanie organizacji do skutecznej reakcji w razie rzeczywistego zagrożenia.
W ramach DORA firmy będą musiały także zarządzać ryzykiem wynikającym ze współpracy z zewnętrznymi dostawcami usług ICT. Dla instytucji finansowych wiąże się to z wprowadzeniem bardziej rygorystycznych mechanizmów oceny partnerów technologicznych, wykorzystując do tego audyty, umowy określające standardy bezpieczeństwa i procedury awaryjne. Jest to szczególnie ważne w przypadku korzystania z usług chmurowych czy outsourcingu przetwarzania danych, gdzie ryzyko cyberataków jest wysokie.
Warto również podkreślić, że DORA promuje wymianę informacji o zagrożeniach między instytucjami finansowymi. Tworzenie zaufanych społeczności, w ramach których dzielone będą dane o cyberzagrożeniach, takich jak taktyki, techniki i procedury ataków czy wskaźniki kompromitacji, pozwoli na szybsze wykrywanie i reagowanie na zagrożenia. Wdrożenie takiego systemu wymiany informacji może przełożyć się na wzmocnienie zdolności całego sektora finansowego do przeciwdziałania zagrożeniom cybernetycznym.
Klienci prawdopodobnie nie dostrzegą tych zmian bezpośrednio, ponieważ dotyczą one głównie procesów wewnętrznych i zaplecza technologicznego instytucji. Jednak dzięki stosowaniu się do nowych regulacji instytucje finansowe będą mogły być lepiej przygotowane na zagrożenia cybernetyczne, co pozwoli im skuteczniej dbać o bezpieczeństwo środków i informacji swoich klientów