Šta je DORA regulativa i kako osigurava digitalnu otpornost finansijskog sektora?
Digital Operational Resilience Act (DORA) je regulativa Evropske unije usvojena sa ciljem da se ojača digitalna otpornost finansijskog sektora. DORA se primjenjuje od 17. januara 2025. godine i obavezuje sve finansijske institucije u EU, kao i njihove tehnološke partnere, da osiguraju visoke standarde sigurnosti i stabilnosti svojih informaciono-komunikacionih (ICT) sistema.
U digitalnom dobu finansijski sektor je sve više izložen cyber napadima, tehničkim kvarovima i operativnim rizicima. DORA je razvijena kao odgovor na ove izazove i postavlja jedinstveni okvir koji osigurava da banke, osiguravajuća društva, investicijske firme i druge finansijske organizacije mogu da predvide, spriječe, reaguju i oporave se od informacionih i komunikacionih zastoja i sigurnosnih incidenata.
Ciljevi i značaj DORA regulative Glavni cilj DORA regulative je osigurati stabilan i siguran finansijski sistem u digitalnom okruženju, gdje su podaci i tehnologija ključni elementi poslovanja. Regulativa postavlja precizne zahtjeve za upravljanje ICT rizicima, zaštitu podataka, kontinuitet poslovanja, kao i za testiranje otpornosti sistema.
Ovim se postiže harmonizacija pravila i veća transparentnost u oblasti cyber sigurnosti, čime se drastično smanjuje mogućnost sistemskih poremećaja u finansijskom sektoru.
Na koga se DORA odnosi? DORA obuhvata čitav ekosistem finansijskih i tehnoloških aktera koji zajedno osiguravaju stabilnost sistema. Primjenjuje se na više od 20 različitih tipova subjekata, uključujući:
- Banke i kreditne institucije
- Društva za osiguranje i reosiguranje
- Investicijske i brokerske firme
- Penzione fondove i društva za upravljanje imovinom
- Tržišne infrastrukture (berze, klirinške kuće)
- IT servisne kompanije, cloud provajdere, data centre i druge eksterne dobavljače.
Ključni zahtjevi i 5 stubova digitalne otpornosti DORA definiše pet glavnih stubova usklađenosti:
- Upravljanje ICT rizicima: Uspostavljanje politika i procesa za identifikaciju i kontrolu digitalnih rizika.
- Upravljanje incidentima: Obavezno prijavljivanje i analiza ICT incidenata.
- Testiranje otpornosti: Redovni testovi i simulacije cyber napada.
- Upravljanje trećim stranama: Nadzor nad svim eksternim ICT dobavljačima.
- Razmjena informacija: Saradnja sa drugim institucijama radi razmjene saznanja o prijetnjama.
Kako najbrže postići usklađenost sa DORA zahtjevima? DORA ne predstavlja samo pravnu obavezu, već ključni pokretač digitalne transformacije. Organizacije koje pravovremeno implementiraju ove zahtjeve pokazuju tržištu da su sigurne, pouzdane i spremne za budućnost.
Najefikasniji način da finansijske institucije i njihovi IT dobavljači ispune stroge zahtjeve DORA regulative jeste oslanjanje na već dokazane međunarodne okvire. Implementacija sistema za upravljanje sigurnošću informacija, kao što je ISO/IEC 27001 standard, pokriva ključne aspekte upravljanja ICT rizicima. Također, za ispunjavanje zahtjeva koji se odnose na brzi oporavak i testiranje otpornosti, uspostavljanje sistema menadžmenta kontinuitetom poslovanja kroz ISO 22301 standard pruža gotova, međunarodno priznata rješenja za vašu organizaciju.