Bliv klar til lov om digital operationel modstandskraft
Indholdsfortegnelse:
Finansielle serviceorganisationer vil blive udfordret til at forbedre deres operationelle modstandsdygtighed med et indkommende sæt af regler, hvis virkning vil udvide sig langt ud over sektoren.
Digital Operational Resilience Act (DORA) konsoliderer og udvider eksisterende regler for cybersikkerhed og operationel robusthed for finansielle servicevirksomheder, der opererer i Den Europæiske Union.
Mere specifikt indfører DORA specifikke og præskriptive krav til informations- og kommunikationsteknologi (IKT) risikostyring og hændelsesrapportering. Reglerne blev godkendt af EU-rådet i januar 2023, hvor uret startede med en 24-måneders implementeringsperiode.
Både virksomheder i den finansielle sektor og deres IKT-teknologileverandører (såsom cloudplatforme og dataanalyseudbydere) har indtil den 17. januar 2025 til at overholde de nye regler.
Will Richmond-Coggan, partner hos det britiske advokatfirma Freeths og specialist i databeskyttelse og cyberretssager, kommenterede: "Behovet for denne regulering var drevet af den stigende afhængighed af finansielle institutioner af deres digitale systemer og indbyrdes forbundne systemer på tværs af hele den finansielle sektor.
Banker har længe været forpligtet til at styre operationelle risici gennem revision, kontrol og adgang til tilstrækkelig kapital. Foranstaltninger til at sikre operationel modstandskraft i lyset af det voksende problem med malware-angreb og kriminel hacking er mindre modne, en mangel DORA-reglerne søger at afhjælpe.
"Det er klart, at den vigtigste drivkraft bag lovgivningen er at skabe sammenhæng og sikkerhed med hensyn til den teknologiske modstandskraft for enhver enhed i den europæiske finansielle sektor, sammen med deres mellemmænd, datterselskaber og tredjepartsleverandører," sagde Richmond-Coggan til ISMS.com . "Lovgivningen har til formål at fremme en forbedring af hændelsesgennemsigtigheden og systemets robusthed ved at hæve minimumsforventningerne til finansielle servicevirksomheder."
Fem søjler
De fem centrale søjler under lovgivningen dækker emner som f.eks risikostyring, hændelsesrapportering, standardiseret modstandsdygtighedstest, intelligensdeling og styring af tredjepartsrisici.
Forordningen giver mulighed for at forbedre sektorens robusthed som helhed, men kun hvis "organisationer omfavner mulighederne for at samle information og trussel intelligens at hjælpe hinanden med at identificere og adressere svaghedspunkter,” konkluderede Richmond-Coggan.
Luke Dash, administrerende direktør for ISMS.online, kommenterede: "En af de kritiske principper ved DORA er, at organisationer skal vedtage en proaktiv tilgang, der involverer kontinuerlig risikoidentifikation og etablering af robuste beskyttelses- og forebyggelsesforanstaltninger."
Dash fortsatte: "Dette vil gøre det muligt for organisationer omgående at identificere og eliminere eventuelle svagheder, mangler eller huller i deres digitale operationer, hvilket sikrer integriteten og sikkerheden af deres systemer."
John Elliott, en sikkerhedsrådgiver hos leverandøren af websikkerhedsværktøjer Jscrambler, sagde, at introduktionen af DORA vil betyde, at i stedet for blot at etablere forebyggende kontroller, vil organisationer være forpligtet til at anlægge et "mere holistisk syn, der omfatter detektion, respons og gendannelse".
"Det kræver også, at enheder ikke kun har elastiske systemer, men at de tester og beviser deres modstandsdygtighed," tilføjede Elliott.
Læg fundamentet
Standarder som ISO 27001 kan spille en afgørende rolle i at hjælpe organisationer med at overholde loven om digital operationel modstandskraft (DORA).
ISO 27001 dækker forskellige områder, der er relevante for DORA-overholdelse, herunder risikovurdering, hændelsesrespons, forretningskontinuitet og operationel modstandskraft. "Organisationer, der allerede har opnået ISO 27001-certificering eller har implementeret dens principper, vil have et solidt fundament på plads til at løse mange af de sikkerheds- og modstandsdygtighedsaspekter, som DORA kræver," ISMS. onlines Dash forklaret.
"Ydermere er ISO 27001's vægt på en risikobaseret tilgang og løbende forbedring i overensstemmelse med DORAs ånd, da begge standarder fremmer proaktiv risikostyring og den kontinuerlige forbedring af operationel modstandsdygtighed," tilføjede han.
Dash fortsatte: "Implementering af ISO 27001 kan hjælpe organisationer med at identificere og adressere potentielle sårbarheder, styrke deres sikkerhedsposition og etablere de nødvendige processer og kontroller for at overholde DORA-kravene."
Andre eksperter var enige om, at anvendelsen af ISO 27001 danner grundlaget for det mere ambitiøse mål om at bevæge sig hen imod overholdelse af DORA.
Jscrambler's Elliott forklarede: "Da artikel 5(4) [i DORA] kræver, at organisationer implementerer et informationssikkerhedsstyringssystem eller ISMS, vil efter standarder som 27001 være det naturlige valg for de fleste organisationer til både at give dem en struktur for deres informationssikkerhed og at være i stand til at demonstrere over for en regulator, at de har et ISMS på plads."
ISMS.online's Dash tilføjede, at ved at bruge 27001 som et springbræt, "kan organisationer strømline deres overholdelsesindsats og demonstrere en proaktiv forpligtelse til informationssikkerhed og operationel modstandsdygtighed", et væsentligt aspekt af at bevæge sig hen imod overholdelse af DORA.
"ISO 27001 kan også gøre det muligt for organisationer at lægge andre standarder oven i tiden, hvilket forenkler overholdelse mere generelt for organisationer, efterhånden som risikolandskabet tilpasser sig," konkluderede Dash.
Anglo-fil
DORA er en EU-forordning, og da Storbritannien ikke er med i EU, er der ingen direkte effekt – i hvert fald på britisk lovgivning. UK-baserede enheder, der tilbyder deres tjenester til kunder i EU, skal dog overholde DORA.
"Regeringen har tilkendegivet, at den vil lovgive med hensyn til tredjeparters operationelle modstandsdygtighed, og BOE [Bank of England]/PRA og FCA [Finacial Conduct Authority] har i fællesskab konsulteret om dette område, selvom der endnu ikke er opstået nogen formel regulering." ifølge Jscrambler's Elliott. "Banken har andre programmer på plads, der stemmer overens med nogle aspekter af DORA, for eksempel kravet om trussels-lead penetration test i CBEST."
ISMS.online opfordrede Information Commissioner's Office (ICO) til at kommentere, hvor hurtigt DORA kunne blive vedtaget af britiske organisationer, og hvorvidt ICO vil have en rolle i at fremme eller håndhæve forordningen. Det afviste at kommentere.
Forhindringer
At opnå overholdelse af DORA vil sandsynligvis blive et stort projekt.
Jscrambler's Elliott kommenterede: "Det største problem, jeg forudser, er for mellemstore finansielle institutioner, der er for store til at drage fordel af undtagelserne for små virksomheder og mikrovirksomheder, men som ikke tidligere har skullet have en så sofistikeret tilgang til cybersikkerhed. De har ikke meget tid til at foretage de tekniske og filosofiske ændringer, som forordningen kræver."
Hvor hurtigt berørte organisationer kan overholde DORA, vil blive påvirket af mange faktorer, herunder "virksomhedsstørrelse, infrastrukturkompleksitet og organisatorisk parathed til at omfavne nye måder at arbejde på" ISMS. onlines Dash forklaret.
"DORA-forordningen har mange krav, herunder udførelse af risikovurderinger, styrkelse af operationel modstandskraft og etablering af robuste hændelsesprocedurer," konkluderede Dash. "At arbejde hen imod disse mål og integrere disse processer tilstrækkeligt kan strække sig fra flere måneder til et par år."
Compliance-professionelle og platforme kan "hjælpe med at strømline implementeringsprocessen og sikre løbende compliance," konkluderede Dash.
15-trins DORA-tjekliste
Download denne praktiske tjekliste i 15 trin for at hjælpe dig i gang med din rejse til overholdelse. Med kun 18 måneder tilbage, før The Digital Operational Resilience Act træder i kraft, har der aldrig været et bedre tidspunkt at komme i gang!
