Cine este DORA?
Dora Exploratoarea este personajul principal al unui serial de desene animate…
De fapt, nu, nu este vorba despre personajul din desenul animat Dora Exploratoarea. 🙂
DORA, în contextul acestui articol, vine de la Digital Operational Resilience Act sau, Actul privind Reziliența Operațională Digitală.
Adoptat de Uniunea Europeană în ianuarie 2023, cu aplicabilitate din ianuarie 2025, acesta este o inițiativă legislativă destinată să asigure că sectorul financiar este bine echipat pentru a face față riscurilor tehnologice și pentru a preveni perturbările care ar putea afecta stabilitatea economică. DORA urmărește să creeze un cadru uniform pentru gestionarea riscurilor legate de tehnologia informației și comunicațiilor (ICT) în întreaga Uniune Europeană, adresându-se atât instituțiilor financiare, cât și furnizorilor terți de servicii și tehnologii.
Oh, nu, încă o lege de la birocrații de la Bruxelles… .
Hai să vedem cum ne ajută, de fapt, acest lucru.
În ultimii ani, modul în care accesăm serviciile online s-a schimbat, iar acum se discută din ce în ce mai mult despre identitatea online. Fiecare serviciu pe care îl folosim, unde ne deschidem un cont, reprezintă o identitate pe care o creăm online. Pierderea unei astfel de identități, din cauza unor atacuri cibernetice, fie că este vorba despre un cont de social media, o adresă de email sau un cont la un retailer online, nu are, în general, un impact atât de mare asupra noastră.
Nu același lucru se poate spune dacă discutăm despre identitățile noastre înregistrate la instituții financiare. Aici riscul unui impact direct sau indirect asupra noastră este mult mai mare.
De exemplu, pe parcursul anului 2024 am fost informat de către două entități că datele mele legate de conturile deschise la acestea au fost accesate în cadrul unor breșe de securitate. Una dintre companii era un retailer de unde făcusem comenzi, fără a avea un impact semnificativ. Cealaltă, însă, era o instituție financiară care nu a mai putut procesa fluxurile financiare. Noroc că trebuia să dau eu bani, nu să primesc. 🙂 Am dat banii, desigur, dar cu o întârziere de două luni, după ce și-au rezolvat problema.
Tocmai aici intervine DORA și își joacă rolul. Unii îi mai spun și „GDPR-ul instituțiilor financiare”.
Rolul acestei legislații este de a crea un regulament-cadru care să fie aplicat în întreaga Uniune Europeană de către instituțiile financiare, dar și de furnizorii terți de servicii tehnologice.
Care sunt obiectivele principale ale DORA?
- Creșterea rezilienței digitale: Simplu explicat, DORA asigură că organizațiile din sectorul financiar sunt pregătite să facă față incidentelor cibernetice, să le diminueze impactul și să asigure continuitatea operațională.
- Standardizare și uniformitate: DORA reduce fragmentarea reglementărilor la nivelul statelor membre. Pentru persoane private, aceasta garantează că primim aceleași standarde, indiferent de statul UE în care se află identitatea noastră digitală.
- Protejarea infrastructurii financiare critice: Sectorul financiar, fiind esențial pentru economie, trebuie să fie protejat împotriva amenințărilor cibernetice și a riscurilor digitale.
Care sunt principalele cerințe DORA?
- Gestionarea riscurilor ICT:
Acest lucru presupune:- Evaluări regulate ale vulnerabilităților tehnologice din infrastructură.
- Adoptarea unor măsuri de protecție și control împotriva atacurilor cibernetice.
- Utilizarea soluțiilor pentru detectarea și răspunsul la incidente.
- Raportarea incidentelor:
Orice incident semnificativ legat de ICT trebuie raportat autorităților relevante într-un interval de timp bine definit. - Testarea rezilienței digitale:
DORA solicită instituțiilor financiare să efectueze testări riguroase și regulate ale rezilienței infrastructurii lor ICT. Aceste testări includ simulări ale atacurilor cibernetice (de exemplu, testare de tip „red team” – un atac cibernetic controlat) pentru a evalua capacitatea organizației de a preveni, detecta și răspunde la amenințări. - Monitorizarea și supravegherea furnizorilor terți:
Acest lucru presupune:- Evaluarea inițială a furnizorilor pentru a identifica riscurile potențiale.
- Monitorizarea continuă a performanței și a securității acestora.
- Asigurarea conformității furnizorilor cu cerințele DORA.
Regulamentul DORA, în principiu, nu introduce cerințe complet noi, ci consolidează ceea ce companiile financiare ar fi trebuit deja să facă. Totuși, rămâne de văzut dacă toate organizațiile vor reuși să-l adopte în timp util. Din experiența mea profesională, am întâlnit un caz recent, în noiembrie 2024, în care unele companii financiare își exprimau dorința de a deveni conforme cu DORA până la sfârșitul anului… adică au lăsat implementarea pe ultima sută de metri. Probabil, la fel ca în cazul implementării GDPR, pe ici, pe colo se va lăsa și cu amenzi.
Sursă: DORA
