Hvordan virksomheder kan forberede sig på implementeringen af DORA
Indholdsfortegnelse:
Finansielle institutioner og it-serviceudbydere har kun seks måneder til at overholde tDen Europæiske Unions Digital Operational Resilience Act (DORA). DORA skal gælde for virksomheder fra den 17. januar 2025 og sigter mod at styrke cybersikkerheden for europæiske banker, forsikringsselskaber, investeringsselskaber og andre finansielle institutioner samt tredjepartsleverandører, der leverer IKT-tjenester til dem.
For at sikre, at den stadig mere digitaliserede europæiske finansielle servicesektor kan fungere under et alvorligt cyberangreb eller it-udfald, dækker DORAs strenge krav IKT og tredjeparts risikostyring, digital operationel modstandsdygtighedstest, cyberhændelsesrapportering, deling af trusselsintelligens og mange andre områder. Det vil påvirke ikke kun EU-baserede virksomheder, men også britiske virksomheder, der leverer finansielle eller ikt-tjenester til europæiske kunder. Så hvordan kan virksomheder forberede sig på DORAs implementering?
Forberedelse til DORA
Mens virksomheder forbereder sig på DORA's introduktion og søger at sikre overholdelse, bør de bruge tid på at forstå dets nøglekrav, og hvordan disse vil påvirke deres daglige drift og aktiviteter.
Rayna Stamboliyska, administrerende direktør for fremsynsdrevne strateger RS Strategy, siger, at der er to vigtige aspekter for virksomheder at overveje her. Den første er at opnå operationel modstandskraft ved at identificere og adressere risici ved hjælp af trusselsstyret penetrationstest. For det andet skal virksomheder sikre, at alle deres kontrakter og partnerskaber opfylder DORAs krav som en del af en grundig tredjeparts risikostyringsproces.
Hun fortæller til ISMS.online: "Så kan du opstille en fornuftig og struktureret tilgang til at tilpasse dig DORA og lade dine kunder og partnere vide, at du er på vej mod compliance."
Et andet vigtigt skridt er implementering af DORA-overholdelsespolitikker for hvert sikkerhedsværktøj, der bruges på tværs af virksomheden, ifølge Crystal Morin, en cybersikkerhedsstrateg hos skysikkerhedsfirmaet Sysdig. Det vil gøre det muligt for virksomheder at kontrollere deres cybersikkerhed og it-stabler for politiske spørgsmål, siger hun.
Hun anbefaler også, at virksomheder anvender Infrastructure-as-code (IaC) og policy-as-code (PaC) til kodificering af deres ledelses- og compliancekrav, hvilket vil hjælpe med at strømline overholdelsesprocessen.
Morin forklarer: "Artefakter som kode er forsvarlige og kan bruges under regulerings-, risiko- og revisionsgennemgange. Desuden skalerer disse artefakter let og bevarer konsistens på tværs af miljøer."
Håndtering af IT-risici
For at opfylde deres DORA-forpligtelser skal virksomheder udvikle og implementere en robust IT-risikostyringsstrategi. Denne strategi bør omfatte politikker, procedurer og værktøjer til styring af alle risikoområder, herunder styring, overvågning og rapportering, argumenterer Graham Thomson, Chief Information Security Officer hos advokatfirmaet Irwin Mitchell. "Rammen bør stemme overens med din forretningsstrategi og -mål, og den bør regelmæssigt gennemgås og opdateres," siger han.
I tilfælde af en alvorlig hændelse, der påvirker IT-systemets kontinuitet, integritet, sikkerhed eller tilgængelighed, skal virksomheder rapportere det til relevante myndigheder under DORA. Thompson siger, at dette kræver, at de etablerer en dedikeret rapporteringsproces ved hjælp af et "standardiseret format", der overholder "specifikke tidsrammer og tærskler" for hver myndighed.
For at identificere og afhjælpe tekniske fejl opfordrer Thompson virksomheder til at teste deres it-systemer regelmæssigt ved hjælp af sårbarhedsscanninger, penetrationstests, kontinuerlig styring af cloud-sikkerhedsstillinger og scenariebaserede røde teams. Han tilføjer: "Dokumentér resultaterne og tag handling for at rette eventuelle svagheder."
Som et sidste trin i DORA-forberedelsen anbefaler Thompson, at virksomheder udfører en grundig due diligence på deres tredjeparts IT-tjenesteudbydere for at identificere og håndtere eksterne risikofaktorer. Han tilføjer: "Sørg for, at dine kontrakter inkluderer vigtige rettigheder som adgang, inspektion og databeskyttelse."
Indvirkningen på britiske virksomheder
På trods af, at Storbritannien forlader EU i 2020, vil mange britiske virksomheder blive påvirket af introduktionen af DORA og skal følgelig tage skridt til at overholde den nye lov inden deadline i januar 2025.
Stamboliyska fra RS Strategy forklarer, at enhver UK-baseret virksomhed, der tilbyder finansielle eller kritiske informations- og kommunikationsteknologitjenester til kunder i EU, skal overholde DORA-kravene.
At ignorere disse lovmæssige forpligtelser kan resultere i betydelig økonomisk skade og skade på omdømmet for britiske virksomheder, der opererer i EU. "Hvis du ikke overholder DORA, vil det koste 1 % af din daglige omsætning i op til seks måneder," fortsætter Stamboliyska. "Og som sædvanligt med sanktioner, hvis du skulle blive udsat for en, ville det også hæmme din adgang til EU-markedet og dit forretningsomdømme."
Hun siger, at britiske virksomheder vil demonstrere deres forpligtelse til "robust sikkerhed og operationel modstandsdygtighed" ved at overholde DORA. Dette vil hjælpe dem med at tiltrække flere kunder og partnere i EU og øge deres "overordnede markedskonkurrenceevne".
Ud over bøder, der pålægges virksomheden som helhed, kan personer, der undlader at overholde DORA, også blive fundet ansvarlige. Sean Wright, applikationssikkerhedschef hos Featurespace, forklarer: "Dette er en væsentlig forskel fra andre sådanne regler, hvor enkeltpersoner såvel som organisationen kan være ansvarlige for manglende overholdelse."
I forventning om, at et stort antal britiske virksomheder bliver berørt af DORA i de kommende måneder, opfordrer Morin fra Sysdig dem til at begynde planlægningen som et presserende spørgsmål. En stor del af dette er at evaluere deres kundebaser, forsyningskæder og andre forretningsforbindelser for at finde risikoområder inden for DORA's jurisdiktion. Hun tilføjer: "Desuden skal de have DORA-reglerne i tankerne, efterhånden som deres forretningsdrift og kundekreds udvikler sig over tid."
Rammernes rolle
Mens overholdelse af DORA kan være en skræmmende udsigt for mange virksomheder, industrirammer som ISO 27001 giver en baseline, hvorfra de kan forstå og styre cyberrisici.
Marc Lueck, CISO for EMEA hos IT-sikkerhedsfirmaet Zscaler, forklarer: "Frameworks som ISO 27001 er en god start på at matche kravene med den nye forordning, da de viser, at nogle af de grundlæggende kontroller allerede er på plads, som at give forbindelse til kernen systemer."
Ud over at implementere en professionel cybersikkerhedsramme som en del af DORA compliance, råder Lueck til at supplere den med en nul-tillid tilgang. Han forklarer, at dette ville hjælpe virksomheder med at vurdere og måle tredjepartsrisici.
Martin Greenfield, administrerende direktør for overvågningsplatformen Quod Orbis for kontinuerlig cybersikkerhed, er enig i, at ISO 27001 og lignende rammer giver virksomheder "en solid base" til at håndtere deres it-risici og følge DORA-kravene.
Han bemærker dog, hvordan DORA "introducerer yderligere elementer" omkring tredjepartsrisiko, og han siger, at virksomheder bør sammenligne ISO-praksis med DORA-krav, hvis de planlægger at bruge dem sammen. "Denne analyse bør være særlig opmærksom på tredjeparts risikostyringsaspekter, da det er her, der kan være væsentlige forskelle," siger han.
Da tiden hurtigt løber ud til at forberede sig til DORA-deadline januar 2025, er det klart, at både europæiske og britiske finansielle virksomheder og IKT-udbydere skal begynde at forstå og implementere DORAs strenge krav, hvis de ikke allerede har gjort det. I lyset af Crowdstrike-afbrydelsen, der ødelagde virksomheders it-systemer globalt, ser det ud til, at styring af tredjeparts IKT-risici som en del af DORA er i alle virksomheders bedste interesse og ikke blot en afkrydsningsøvelse.
