Evropska uredba DORA (»Digital Operational Resilience Act«) je ena ključnih regulativ za finančni sektor. V veljavi je od leta 2023, uporabljati pa se je začela 17. januarja 2025, kar pomeni, da so finančne institucije danes že dolžne izpolnjevati njene zahteve.
DORA uvaja novo razumevanje digitalne odpornosti: ne gre več zgolj za preprečevanje incidentov, temveč za sposobnost organizacije, da se na incident hitro odzove, omeji škodo in nemoteno nadaljuje poslovanje.
Skladnost z DORA ni le vprašanje tehnologije ali varnostnih nastavitev. Vključuje celovito upravljanje informacij, postopkov, dokumentacije, evidenc in odločitev, ki jih mora organizacija kadarkoli dokazljivo prikazati nadzornemu organu.
V podcastu DigiChat je o tem govoril Uroš Žust, strokovnjak za kibernetsko varnost in regulativo. V nadaljevanju povzemamo ključne poudarke pogovora in širši kontekst uredbe.
Kaj je DORA in zakaj je bila potrebna?
DORA uvaja enoten evropski okvir za zagotavljanje operativne odpornosti finančnega sektorja. Njeno izhodišče je jasno: digitalni incidenti se bodo zgodili, vprašanje pa je, kako pripravljena je organizacija, da se nanje odzove, omeji posledice in zagotovi kontinuiteto poslovanja.
Povod za uredbo so naraščajoči kibernetski incidenti, večja kompleksnost digitalnih ekosistemov ter močna odvisnost finančnega sistema od informacijske infrastrukture in zunanjih IKT storitev.
Koga DORA zavezuje?
DORA se uporablja za več kot 20 vrst finančnih subjektov.
Finančne institucije, ki jih DORA neposredno zavezuje
Banke in hranilnice,
zavarovalnice in pozavarovalnice,
investicijska in plačilna podjetja,
ponudnike storitev s kripto sredstvi,
upravljavce tržnih in klirinških infrastruktur.
Posredno pa DORA pomembno vpliva tudi na zunanje izvajalce IKT storitev, ki podpirajo kritične funkcije teh institucij. Finančne organizacije morajo dokazati, da imajo nad temi ponudniki vzpostavljen učinkovit nadzor.
Povezava med DORA, GDPR, NIS2 in »AI Act«
DORA ni izolirana uredba, temveč del širšega evropskega regulativnega okvira.
Kako se regulative med seboj dopolnjujejo
GDPR ureja varstvo osebnih podatkov, DORA pa odpornost poslovanja; pri številnih incidentih je potrebno poročanje po obeh okvirih.
NIS2 pokriva širše področje kibernetske varnosti, vendar za finančne institucije praviloma prevlada DORA.
»AI Act« ureja uporabo umetne inteligence; DORA pa takšne sisteme obravnava z vidika IKT tveganj in odpornosti.
Ta prepletenost zahteva usklajeno upravljanje informacij, dokumentacije in sistemov, saj se zahteve regulativ med seboj dopolnjujejo.
Upravljanje IKT-tveganj kot temelj DORA
Upravljanje IKT-tveganj po DORA ni enkraten dokument ali projekt, temveč stalen proces, ki zahteva preglednost, sledljivost in dokazljivost vseh odločitev. Največ težav imajo organizacije tam, kjer nimajo urejenega sistema za evidenco tveganj, ukrepov in povezane dokumentacije.
Ključni elementi upravljanja IKT-tveganj
DORA zahteva, da organizacije sistematično vzpostavijo:
popis IKT sredstev,
analizo vpliva na poslovanje,
načrte neprekinjenega poslovanja,
redno ocenjevanje in posodabljanje tveganj,
obvladovanje tveganj v dobavni verigi,
dosledno dokumentiranje odločitev in ukrepov.
Zakaj so dokumentacija, zapisi in revizijska sled ključni
Institucija mora regulatorju dokazati ne le rezultat, temveč celoten proces:
kdo je sprejel odločitev,
zakaj,
na podlagi katerih informacij,
kdaj je bil ukrep izveden,
kako se dokumentacija hrani in spremlja.
Brez urejene revizijske sledi upravljanje tveganj ni dokazljivo.
DORA in poročanje o incidentih: strogi roki
Poročanje o incidentih po DORA ni zgolj administrativna obveznost, temveč zahteva vnaprej jasno definirane procese, odgovornosti in dostop do ažurnih informacij.
Časovni roki za poročanje incidentov
Začetna prijava: čim prej, najpozneje v 4 urah po razvrstitvi incidenta kot resnega in v 24 urah po zaznavi,
Vmesno poročilo: v 72 urah,
Končno poročilo: v 30 dneh.
Digitalna infrastruktura za upravljanje informacij je tu ključna, saj mora organizacija v kratkem času zagotoviti dokazila, zapise odločitev in sledljivost ukrepov.
Testiranje digitalne odpornosti in »TLPT«
Finančne institucije morajo izvajati redne tehnične in organizacijske preskuse odpornosti.
Oblike testiranja, ki jih zahteva DORA
Penetracijski testi,
varnostni pregledi,
ocene skladnosti,
»Threat-Led Penetration Testing (TLPT)«, ki se za izbrane subjekte izvaja vsake tri leta.
TLPT zahteva visoko stopnjo pripravljenosti, popolno dokumentacijo, evidence rezultatov ter sledljivost odločitev in ukrepov.
Upravljanje zunanjih IKT ponudnikov – največji izziv
DORA prvič sistematično postavlja zunanje IKT ponudnike v središče regulatornega nadzora. Finančne institucije morajo dokazati, da nad dobavitelji izvajajo dejanski nadzor, ne le formalnih pogodbenih določil.
Kaj DORA zahteva pri upravljanju dobaviteljev
Razvrščanje ponudnikov po kritičnosti,
pogodbe z DORA zahtevami,
zahteve glede varnosti, razpoložljivosti in poročanja,
pravico do revizije,
izstopne strategije (exit strategije).
Urejena dokumentacijska infrastruktura je tu ključna: pogodbe, SLA-ji, nadzorni mehanizmi in evidence incidentov morajo biti centralizirani in sledljivi.
Vloga zaposlenih pri digitalni odpornosti
Tehnologija lahko zapre marsikateri vektor napada. Človeškega faktorja pa ne more.
Področja, kjer je izobraževanje ključno
Prepoznavanje phishinga in socialnega inženiringa,
varno ravnanje z informacijami,
uporaba digitalnih orodij,
postopki ob incidentih,
vloge pri neprekinjenem poslovanju.
Institucije, ki gradijo kulturo varnosti, bodo DORA skladnost dosegale hitreje in z manj tveganji.
Ali je DORA šele začetek?
Evropa razvija širši ekosistem digitalne odpornosti, ki vključuje:
nadzor nad umetno inteligenco,
certificiranje varnostnih tehnologij,
dodatno urejanje dobavne verige,
standardizacijo poročanja in odzivov.
DORA je temelj – ne končna faza. Organizacije, ki danes postavljajo trdne temelje upravljanja informacij in tveganj, bodo prihodnje regulativne zahteve lažje obvladovale.
In kaj storiti zdaj?
Skladnost z DORA ni enkraten projekt, temveč stalni proces upravljanja digitalne odpornosti. Finančne institucije lahko začnejo, če tega še niso storile, z:
oceno IKT-tveganj in popisom sredstev,
posodobitvijo politik in postopkov,
vajami in simulacijami incidentov,
pregledom pogodb z dobavitelji,
testiranjem odpornosti,
izobraževanjem zaposlenih,
vzpostavitvijo trajnega sistema upravljanja dokumentacije in evidenc.
Celoten pogovor z Urošem Žustom lahko poslušate TUKAJ.