Sekuriteits- en voldoeningspanne het 'n besige begin tot 2025 gehad. Tussen die sperdatum vir lidstate om NIS 2 in plaaslike wetgewing te implementeer en die begin van die nuwe PCI DSS 4.0-regime het DORA gekom: die Wet op Digitale en Operasionele VeerkragtigheidVanaf 17 Januarie is verwag dat dit meer as 22,000 XNUMX finansiëledienstefirmas en hul IKT-verskaffers wat in die EU werksaam is, in sy bestek sou insluit.

Daar is net een probleem. Volgens nuwe navorsing glo 96% van Europese finansiëledienstefirmas steeds nie dat hul digitale veerkragtigheid voldoende is om aan DORA se streng vereistes te voldoen nie. En baie IT- en sekuriteitspanne voel oorweldig deur die ekstra werklas. Dit is waar ISO 27001-nakoming nuttig kan wees.

'n Nuwe Era van Finansiële Veerkragtigheid

Kubervoorvalle oor die afgelope twee dekades het $12 miljard in direkte verliese vir globale finansiële firmas veroorsaak, volgens die IMFDit is nie net 'n finansiële risiko nie; dit kan 'n sistemiese risiko inhou vir die geheel van wat as kritieke nasionale infrastruktuur dien. DORA is die Europese Kommissie se antwoord: 'n nuwe regulasie wat ontwerp is om te verseker dat finansiële firmas – en veral hul verskaffers – die veerkragtigheid het om voort te gaan met bedrywighede selfs deur periodes van ernstige ontwrigting.

Dit doen dit deur regulasies te harmoniseer en die standaard vir sekuriteits- en voldoeningspanne binne die omvang te verhoog. Daar is vyf sleutelpilare:

  1. IKT-risikobestuur: Robuuste beleide om IKT-risiko's te identifiseer, te assesseer en te verminder.
  2. Voorvalverslaggewing: Tydige en gestandaardiseerde rapportering van beduidende IKT-verwante voorvalle aan relevante owerhede.
  3. Digitale veerkragtigheidstoetsing: Gereelde toetsing om 'n organisasie se gereedheid vir ontwrigtings te evalueer.
  4. Derdeparty-risikobestuur: Verseker dat finansiële instellings risiko's wat met hul voorsieningsketting verband hou, monitor en bestuur.
  5. Deel inligting: Aanmoediging van die deel van bedreigingsintelligensie binne die bedryf om kollektiewe veerkragtigheid te verbeter.

Nog 'n pad om te gaan

Ongelukkig verloop dinge nie heeltemal volgens plan nie, as die resultate van 'n nuwe Veeam-opname is te glo. Die firma het meer as 400 IT/nakomingsbesluitnemers in die VK, Frankryk, Duitsland en Nederland ondervra. Die gevolglike verslag bevind dat 94% DORA nou 'n hoër prioriteit gee as 'n maand voor die sperdatum, en dieselfde persentasie is duidelik oor watter stappe hulle moet neem. Tog voldoen die oorgrote meerderheid steeds nie aan DORA se standaarde van veerkragtigheid nie.

Veeam beweer dat baie firmas nie die begroting (20%) vir DORA-nakoming het nie, en in sommige gevalle te doen het met hoër verskafferskoste (37%) wat deur hul IKT-vennote deurgegee word. Twee vyfdes (41%) rapporteer ook verhoogde stres en druk op hul IT- en sekuriteitspanne.

Slegs die helfte het DORA se vereistes in hul breër veerkragtigheidsprogramme geïntegreer. Veeam se streeksvisepresident van die VK en Ierland, Drew Gardner, glo dat baie van hierdie voldoeningsgapings en vertragings moontlik te wyte is aan derdeparty-aanspreeklikhede.

“Met soveel funksies wat deur hierdie derde partye gedek word, sou baie organisasies aangeneem het dat hul produkte aan DORA voldoen, maar dis eenvoudig nie die geval nie,” sê hy vir ISMS.online. “Met soveel ooreenkomste wat nie gedeelde verantwoordelikheidsmodelle het nie, kon 'n organisasie aangeneem het dat voldoening onder die sambreel van hul verskaffer val, terwyl die verskaffer die teenoorgestelde geglo het.”

Waar hulle misluk

Data uit die verslag ondersteun Gardner se siening. 'n Derde (34%) van diegene wat ondervra is, beweer dat die moeilikste deel van nakoming derdeparty-risiko-toesig is. 'n Vyfde het dit nog nie eers probeer nie.

“Die blote aantal derdeparty-verskaffers waarmee die gemiddelde finansiëledienste-organisasie werk, is waarskynlik ver in die dosyne, en die meeste sal onder die swartboksmodel werk – wat min insig gee in hul sekuriteitsmaatreëls,” sê Gardner.

“Vir diegene wat hierdie derdeparty-toesig nog moet vestig, sal dit geen geringe taak wees om dit te ontrafel nie, en organisasies kan dit nie bekostig om te talm nie.”

Ander gebiede wat baie organisasies nog nie begin aanpak het nie, sluit in:

  • Herstel- en kontinuïteitstoetsing (24%)
  • Voorvalrapportering (24%)
  • Die keuse van 'n DORA-implementeringsleier (24%)
  • Digitale operasionele veerkragtigheidstoetsing (23%)
  • Rugsteunintegriteit en veilige dataherwinning (21%)

Om weer op dreef

Met soveel wat nog gedoen moet word, asook om ander prioriteite te bestuur, kan DORA-nakoming soos 'n uitdagende taak lyk. Gardner voer egter aan dat die implementering van beste praktykstandaarde en -raamwerke die nakomingslas "aansienlik kan verlig".

“Met ISO 27001 in die besonder kan organisasies duplisering van pogings verminder en voldoening oor verskeie regulasies stroomlyn, wat beide tyd en hulpbronne bespaar,” verduidelik hy.

“Die gestruktureerde benadering tot risikobestuur beteken dat organisasies potensiële sekuriteitsrisiko's op 'n sistematiese wyse kan identifiseer en verminder, eerder as om brande gelyktydig op verskeie fronte te bestry. Dit verbeter die algehele sekuriteitshouding en bied 'n duidelike en gedokumenteerde proses om voldoening aan ouditeure en reguleerders te demonstreer.”

James Hughes, hoof-tegnologiebeampte vir ondernemings by Rubrik, dring daarop aan dat organisasies DORA-nakoming in daaglikse prosesse moet inkorporeer eerder as om dit as 'n eenmalige projek te beskou.

“Ses maande later doen DORA meer as net om by te dra tot die nakomingslas; dit forseer werklike operasionele verandering. Maar daar is 'n gevaar dat dit nog 'n blokkie-afmerk-oefening word as KISO's nie hul denkwyse verander nie,” sê hy vir ISMS.online. “Dit gaan nie daaroor om oudits te slaag nie, dit gaan daaroor om werklike aanvalle te kan weerstaan en daarvan te herstel, met minimale stilstandtyd in die besigheid.”

Meer as 'n vyfde (22%) van die organisasies wat deur Veeam ondervra is, voer aan dat DORA se ontwerp verbeter kon gewees het om nakomingsyfers te verhoog. Hulle het gevra vir vereenvoudiging, verduideliking en meer gedetailleerde leiding oor hoe om derdeparty-risiko te bestuur. Dit mag dalk van die reguleerders verwag word, of dalk nie. Intussen is dit nie te laat om die gapings wat deur die studie uitgelig is, te begin vul nie, voer Hughes aan.

“Begin deur jou kritieke IKT-bates te karteer, voorvalreaksie te oefen en verskaffersrisiko te assesseer,” sluit hy af. “Maar uiteindelik is dit tyd om dinge op te skerp – aanvallers sal nie wag vir jou papierwerk om in te haal nie.”