Hoe besighede kan voorberei vir die implementering van DORA
INHOUDSOPGAWE:
Finansiële instellings en IT-diensverskaffers het net ses maande om aan tdie Europese Unie se Digital Operational Resilience Act (DORA). DORA is van toepassing op besighede vanaf 17 Januarie 2025, en beoog om die kuberveiligheid van Europese banke, versekeraars, beleggingsfirmas en ander finansiële instellings te versterk, sowel as die derdeparty-verskaffers wat hulle van IKT-dienste voorsien.
Om te verseker dat die toenemend gedigitaliseerde Europese finansiëledienstesektor tydens 'n ernstige kuberaanval of IT-onderbreking kan funksioneer, dek DORA se streng vereistes IKT- en derdeparty-risikobestuur, digitale operasionele veerkragtigheidstoetsing, verslaggewing van kubervoorvalle, deel van bedreigingsintelligensie en baie ander gebiede. Dit sal nie net EU-gebaseerde firmas raak nie, maar ook Britse ondernemings wat finansiële of IKT-dienste aan Europese kliënte verskaf. So, hoe kan maatskappye voorberei vir DORA se implementering?
Berei voor vir DORA
Terwyl besighede voorberei vir DORA se bekendstelling en nakoming probeer verseker, behoort hulle tyd te neem om die sleutelvereistes daarvan te verstaan en hoe dit hul daaglikse bedrywighede en aktiwiteite sal beïnvloed.
Rayna Stamboliyska, uitvoerende hoof van vooruitsiggedrewe strateë RS Strategy, sê daar is twee belangrike aspekte wat besighede hier moet oorweeg. Die eerste is om operasionele veerkragtigheid te bereik deur risiko's te identifiseer en aan te spreek deur bedreigingsgeleide penetrasietoetse te gebruik. Tweedens moet besighede verseker dat al hul kontrakte en vennootskappe aan DORA se vereistes voldoen as deel van 'n deeglike derdeparty-risikobestuursproses.
Sy vertel aan ISMS.online: "Dan kan jy 'n redelike en gestruktureerde benadering uiteensit om met DORA in lyn te kom en jou kliënte en vennote te laat weet jy is op pad na voldoening."
Nog 'n sleutelstap is die implementering van DORA-nakomingsbeleide vir elke sekuriteitsinstrument wat regoor die besigheid gebruik word, volgens Crystal Morin, 'n kuberveiligheidstrateeg by die wolksekuriteitsfirma Sysdig. Deur dit te doen, sal maatskappye in staat stel om hul kuberveiligheid en IT-stapels vir beleidskwessies na te gaan, sê sy.
Sy beveel ook aan dat besighede Infrastruktuur-as-kode (IaC) en beleid-as-kode (PaC) aanneem vir die kodifisering van hul bestuurs- en voldoeningsvereistes, wat sal help om die voldoeningsproses te stroomlyn.
Morin verduidelik: “As-kode-artefakte is verdedigbaar en kan tydens regulatoriese, risiko- en ouditoorsigte gebruik word. Verder skaal hierdie artefakte maklik en handhaaf konsekwentheid oor omgewings heen.”
Bestuur van IT-risiko
Om hul DORA-verpligtinge na te kom, moet besighede 'n robuuste IT-risikobestuurstrategie ontwikkel en implementeer. Hierdie strategie moet beleide, prosedures en gereedskap bevat vir die bestuur van alle risiko-areas, insluitend bestuur, monitering en verslagdoening, voer Graham Thomson, hoofinligtingsekuriteitsbeampte by die regsfirma Irwin Mitchell aan. "Die raamwerk moet ooreenstem met jou besigheidstrategie en -doelwitte, en dit moet gereeld hersien en bygewerk word," sê hy.
In die geval van 'n ernstige voorval wat IT-stelselkontinuïteit, integriteit, sekuriteit of beskikbaarheid raak, sal besighede dit aan relevante owerhede onder DORA moet rapporteer. Thompson sê dit vereis dat hulle 'n toegewyde verslagdoeningsproses moet instel deur 'n "gestandaardiseerde formaat" te gebruik wat aan "spesifieke tydraamwerke en drempels" van elke owerheid voldoen.
Om tegniese foute te identifiseer en te versag, moedig Thompson besighede aan om hul IT-stelsels gereeld te toets deur kwesbaarheidskanderings, penetrasietoetse, deurlopende wolksekuriteitshoudingbestuur en scenario-gebaseerde rooi spanne te gebruik. Hy voeg by: "Dokumenteer die resultate en neem aksie om enige swakhede reg te stel."
As 'n laaste stap van DORA-voorbereiding, beveel Thompson aan dat besighede deeglike omsigtigheidsondersoek doen op hul derdeparty IT-diensverskaffers om eksterne risikofaktore te identifiseer en te bestuur. Hy voeg by: "Maak seker dat jou kontrakte belangrike regte soos toegang, inspeksie en databeskerming insluit."
Die impak op Britse besighede
Ten spyte daarvan dat die VK die Europese Unie in 2020 verlaat, sal baie Britse ondernemings geraak word deur die bekendstelling van DORA en moet gevolglik stappe doen om aan die nuwe wet te voldoen voor die Januarie 2025-sperdatum.
Stamboliyska van RS Strategy verduidelik dat enige VK-gebaseerde besighede wat finansiële of kritieke inligting- en kommunikasietegnologiedienste bied aan kliënte wat in die EU geleë is, sal moet voldoen aan DORA-vereistes.
Die ignorering van hierdie regulatoriese verpligtinge kan lei tot aansienlike finansiële en reputasieskade vir Britse ondernemings wat in die EU werksaam is. “As u nie aan DORA voldoen nie, sal dit 1% van u daaglikse omset kos vir tot ses maande,” gaan Stamboliyska voort. "En soos gewoonlik met sanksies, sou jy onderworpe wees aan een, sou dit ook jou toegang tot die EU-mark en jou besigheidsreputasie belemmer."
Sy sê Britse ondernemings sal hul verbintenis tot "robuuste sekuriteit en operasionele veerkragtigheid" demonstreer deur aan DORA te voldoen. Dit sal hulle help om meer kliënte en vennote in die EU te lok, wat hul "algehele markmededingendheid" verhoog.
Benewens boetes wat op die besigheid as geheel opgelê word, kan individue wat versuim om aan die DORA te voldoen ook aanspreeklik bevind word. Sean Wright, leier van toepassingsekuriteit by Featurespace, verduidelik: "Dit is 'n beduidende verskil van ander sulke regulasies, waar individue sowel as die organisasie aanspreeklik kan wees vir nie-nakoming."
Morin van Sysdig verwag dat groot getalle Britse ondernemings in die komende maande deur DORA geraak word, en doen 'n beroep op hulle om dringend te begin beplan. 'n Groot deel hiervan is die evaluering van hul kliëntebasisse, voorsieningskettings en enige ander besigheidsverhoudings om risikogebiede binne DORA se jurisdiksie te vind. Sy voeg by: "Verder moet hulle DORA-regulasies in gedagte hou, aangesien hul sakebedrywighede en kliënte oor tyd ontwikkel."
Die rol van raamwerke
Alhoewel die nakoming van DORA 'n skrikwekkende vooruitsig vir baie besighede kan wees, bedryfsraamwerke soos ISO 27001 bied 'n basislyn vanwaar hulle kuberrisiko kan verstaan en bestuur.
Marc Lueck, CISO van EMEA by IT-sekuriteitsfirma Zscaler, verduidelik: "Raamwerke soos ISO 27001 is 'n goeie begin om vereistes met die nuwe regulasie te pas, aangesien dit demonstreer dat sommige van die basiese beheermaatreëls reeds in plek is, soos om konnektiwiteit in die kern te voorsien. stelsels.”
Benewens die implementering van 'n professionele kubersekuriteitsraamwerk as deel van DORA-nakoming, beveel Lueck aan om dit aan te vul met 'n nul-trust-benadering. Hy verduidelik dat dit ondernemings sal help om derdeparty-risiko's te assesseer en te meet.
Martin Greenfield, uitvoerende hoof van die moniteringsplatform Quod Orbis vir kuberveiligheid deurlopende beheer, stem saam dat ISO 27001 en soortgelyke raamwerke besighede 'n stewige basis bied om hul IT-risiko's aan te spreek en die DORA-vereistes te volg.
Hy merk egter op hoe DORA “bykomende elemente bekendstel” rondom derdepartyrisiko, en hy sê ondernemings moet ISO-praktyke met DORA-vereistes vergelyk as hulle van plan is om dit saam te gebruik. "Hierdie ontleding moet veral aandag gee aan die derdeparty-risikobestuursaspekte, want dit is waar beduidende verskille kan lê," sê hy.
Met die tyd wat vinnig opraak om voor te berei vir die DORA Januarie 2025-sperdatum, is dit duidelik dat beide Europese en Britse finansiële firmas en IKT-verskaffers moet begin om DORA se streng vereistes te verstaan en te implementeer as hulle dit nog nie het nie. In die lig van die Crowdstrike-onderbreking wat besighede se IT-stelsels wêreldwyd verwoes het, lyk dit of die bestuur van derdeparty-IKT-risiko as deel van DORA in die beste belang van alle maatskappye is en nie bloot 'n regmerkie-oefening nie.
