Maak gereed vir die Wet op Digitale Operasionele Veerkragtigheid
INHOUDSOPGAWE:
Finansiële diensorganisasies sal uitgedaag word om hul operasionele veerkragtigheid te verbeter met 'n inkomende stel regulasies waarvan die impak ver buite die sektor sal uitbrei.
Die Digital Operational Resilience Act (DORA) konsolideer en brei bestaande kuberveiligheid- en operasionele veerkragtigheidreëls uit vir finansiëledienstefirmas wat in die Europese Unie werksaam is.
Meer spesifiek, DORA stel spesifieke en voorskriftelike vereistes oor Inligting- en Kommunikasietegnologie (IKT)-risikobestuur en voorvalverslagdoening bekend. Die regulasies is in Januarie 2023 deur die EU-raad goedgekeur, wat die klok begin op 'n implementeringstydperk van 24 maande.
Beide finansiële sektorfirmas en hul IKT-tegnologieverskaffers (soos wolkplatforms en data-analiseverskaffers) het tot 17 Januarie 2025 om aan die nuwe regulasies te voldoen.
Will Richmond-Coggan, 'n vennoot by die Britse regsfirma Freeths en 'n spesialis in die beskerming van data en kuberlitigasie, het gesê: “Die behoefte aan hierdie regulasie is gedryf deur die toenemende afhanklikheid van finansiële instellings van hul digitale stelsels en die onderlinge verband van daardie stelsels oor die hele finansiële sektor.
Daar word lank reeds van banke verwag om operasionele risiko te bestuur deur oudits, beheer en toegang tot voldoende kapitaal. Maatreëls om operasionele veerkragtigheid te verseker in die lig van die groeiende probleem van wanware-aanvalle en kriminele inbraak is minder volwasse, 'n tekortkoming wat die DORA-regulasies probeer aanspreek.
"Dit is duidelik dat die sleuteldrywer agter die wetgewing konsekwentheid en sekerheid skep oor die tegnologiese veerkragtigheid van elke entiteit binne die Europese finansiële sektor, tesame met hul tussengangers, filiale en derdeparty-verskaffers," het Richmond-Coggan aan ISMS.com gesê. . "Die wetgewing het ten doel om 'n verbetering in voorvaldeursigtigheid en stelselrobuustheid aan te dryf deur die minimum verwagtinge op finansiëledienste-ondernemings te verhoog."
Vyf pilare
Die vyf sleutelpilare onder die wetgewing dek kwessies soos risiko bestuur, voorvalverslagdoening, gestandaardiseerde veerkragtigheidstoetsing, intelligensiedeling en die bestuur van derdepartyrisiko.
Die regulasie bied die geleentheid om die sektor se robuustheid as geheel te verbeter, maar slegs as “organisasies die geleenthede aangryp om inligting en bedreigingsintelligensie om mekaar te help om punte van swakheid te identifiseer en aan te spreek,” het Richmond-Coggan afgesluit.
Luke Dash, uitvoerende hoof van ISMS.online, het gesê: "Een van die kritieke beginsels van DORA is dat organisasies 'n proaktiewe benadering moet volg wat deurlopende risiko-identifikasie en die vestiging van robuuste beskermings- en voorkomingsmaatreëls behels."
Dash het voortgegaan: "Dit sal organisasies in staat stel om enige swakhede, tekortkominge of leemtes binne hul digitale bedrywighede onmiddellik te identifiseer en uit te skakel, wat die integriteit en sekuriteit van hul stelsels beskerm."
John Elliott, 'n sekuriteitsadviseur by websekuriteitshulpmiddels-verskaffer Jscrambler, het gesê dat die bekendstelling van DORA sal beteken dat in plaas daarvan om bloot voorkomende beheermaatreëls in te stel, organisasies verplig sal word om 'n "meer holistiese siening te neem wat opsporing, reaksie en herstel insluit".
"Dit vereis ook dat entiteite nie net veerkragtige stelsels moet hê nie, maar om hul veerkragtigheid te toets en te bewys," het Elliott bygevoeg.
Lê die fondamente
Standaarde soos ISO 27001 kan 'n deurslaggewende rol speel om organisasies by te staan om te voldoen aan die Wet op Digitale Operasionele Veerkragtigheid (DORA).
ISO 27001 dek verskeie areas wat relevant is vir DORA-nakoming, insluitend risiko-evaluering, insidentreaksie, besigheidskontinuïteit en operasionele veerkragtigheid. "Organisasies wat reeds ISO 27001-sertifisering behaal het of sy beginsels geïmplementeer het, sal 'n stewige fondament in plek hê om baie van die sekuriteit- en veerkragaspekte wat deur DORA vereis word, aan te spreek," ISMS. aanlyn se Dash verduidelik.
“Verder strook ISO 27001 se klem op 'n risiko-gebaseerde benadering en voortdurende verbetering met die gees van DORA, aangesien beide standaarde proaktiewe risikobestuur en die voortdurende verbetering van operasionele veerkragtigheid bevorder,” het hy bygevoeg.
Dash het voortgegaan: "Die implementering van ISO 27001 kan organisasies help om potensiële kwesbaarhede te identifiseer en aan te spreek, hul sekuriteitsposisie te versterk en die nodige prosesse en kontroles daar te stel om aan DORA-vereistes te voldoen."
Ander kenners het saamgestem dat die toepassing van ISO 27001 die grondslag lê vir die meer ambisieuse doelwit om na voldoening aan DORA te beweeg.
Elliott van Jscrambler het verduidelik: “Aangesien artikel 5(4) [van DORA] van organisasies vereis om 'n inligtingsekuriteitbestuurstelsel of ISMS te implementeer, sal die navolging van standaarde soos 27001 die natuurlike keuse vir die meeste organisasies wees om hulle 'n struktuur vir hul inligtingsekuriteit te gee en om aan ’n reguleerder te kan demonstreer dat hulle ’n ISMS in plek het.”
ISMS.online se Dash het bygevoeg dat deur 27001 as 'n stapsteen te gebruik, "organisasies hul nakomingspogings kan vaartbelyn en 'n proaktiewe verbintenis tot inligtingsekuriteit en operasionele veerkragtigheid demonstreer", 'n noodsaaklike aspek om na voldoening aan DORA te beweeg.
"ISO 27001 kan organisasies ook in staat stel om met verloop van tyd ander standaarde bo-op te plaas, wat voldoening meer algemeen vir organisasies vereenvoudig namate die risiko-landskap aanpas," het Dash afgesluit.
Anglo-lêer
DORA is 'n EU-regulasie, en aangesien die VK nie in die EU is nie, is daar geen direkte effek nie - ten minste op Britse wetgewing. VK-gebaseerde entiteite wat hul dienste aan kliënte in die EU bied, moet egter aan DORA voldoen.
"Die regering het aangedui dat hulle wetgewing sal maak ten opsigte van die operasionele veerkragtigheid van derde partye, en die BOE [Bank of England]/PRA en FCA [Finasiele Gedragsowerheid] het gesamentlik oor hierdie gebied gekonsulteer, hoewel geen formele regulasie nog verskyn het nie." volgens Jscrambler se Elliott. "Die bank het ander programme in plek wat ooreenstem met sommige aspekte van DORA, byvoorbeeld die vereiste vir bedreigingsloodpenetrasietoetsing in CBEST."
ISMS.aanlyn die inligtingskommissaris se kantoor (ICO) genooi om kommentaar te lewer oor hoe vinnig DORA deur Britse organisasies aangeneem kan word en of die ICO 'n rol sal speel in die bevordering of toepassing van die regulasie. Dit het geweier om kommentaar te lewer.
struikelblokke
Die bereiking van voldoening aan DORA sal waarskynlik 'n groot projek wees.
Elliott van Jscrambler het gesê: “Die grootste probleem wat ek voorsien, is vir middelslag finansiële instellings wat te groot is om voordeel te trek uit die vrystellings vir klein firmas en mikro-ondernemings, maar wat nie voorheen so 'n gesofistikeerde benadering tot kuberveiligheid moes hê nie. Hulle het nie veel tyd om die tegniese en filosofiese veranderinge aan te bring wat deur die regulasie vereis word nie.”
Hoe vinnig geaffekteerde organisasies aan DORA kan voldoen, sal deur baie faktore beïnvloed word, insluitend "maatskappygrootte, infrastruktuurkompleksiteit en organisatoriese gereedheid om nuwe werkswyses te omhels" ISMS. aanlyn se Dash verduidelik.
"Die DORA-regulasie het baie vereistes, insluitend die uitvoer van risiko-assesserings, die versterking van operasionele veerkragtigheid en die vestiging van robuuste insidentreaksieprosedures," het Dash afgesluit. "Om aan hierdie doelwitte te werk en hierdie prosesse voldoende in te sluit, kan 'n paar maande tot 'n paar jaar strek."
Voldoeningspersoneel en platforms kan "help om die implementeringsproses te stroomlyn en deurlopende voldoening te verseker," het Dash afgesluit.
15-stap DORA-kontrolelys
Laai hierdie handige 15-stap kontrolelys af om jou te help om op jou reis na voldoening te begin. Met net 18 maande oor voordat die Wet op Digitale Operasionele Veerkragtigheid in werking tree, was daar nog nooit 'n beter tyd om te begin nie!
