DORA & Thales: Pomozte svým zákazníkům v oblasti finančních služeb proměnit dodržování předpisů v konkurenční výhodu

Jste vy (a vaši zákazníci) připraveni na DORA?

Zákon o digitální provozní odolnosti (Digital Operational Resilience Act, DORA) má platit ve všech členských státech EU od 17. ledna 2025. Jeho cílem je zvýšit odolnost organizací v odvětví finančních služeb vůči neustále se vyvíjející hrozbě kybernetických útoků tím, že harmonizuje požadavky na digitální provozní odolnost a kybernetickou bezpečnost v celé EU, namísto toho, aby si každá členská země stanovovala vlastní předpisy.

DORA má dopad na všechny organizace poskytující finanční služby v EU a EHP, ale je pravděpodobné, že požadavky DORA budou muset splňovat i organizace mimo tuto oblast, aby mohly obchodovat v Evropě. Kromě toho, stejně jako GDPR vytvořilo precedens v oblasti ochrany osobních údajů, který následoval zbytek světa, odborníci očekávají, že DORA bude mít stejný globální účinek.

Organizace v oblasti finančních služeb musí novým pravidlům porozumět a zajistit, aby byly připraveny. Nikdy však není na škodu, abyste své zákazníky podpořili ve zvyšování jejich kybernetické bezpečnosti. Ve skutečnosti to může být to, co je odliší od jejich konkurentů - a vás od těch vašich.

Společnost Thales nabízí sadu produktů, které organizacím pomohou splnit požadavky nařízení DORA a získat významné strategické výhody. V tomto článku si povíme více o DORA a o tom, jak můžete svým zákazníkům pomoci, aby byli v co nejlepší pozici a mohli tyto výhody získat.

Požadavky na shodu s nařízením DORA

• DORA se vztahuje na širokou škálu organizací v odvětví finančních služeb, včetně těch, které se zabývají:
• bankovnictví a úvěrování
• Pojištění
• Platby
• Informační a komunikační technologie (ICT) pro finanční služby
• finančních trzích
• Správa aktiv
• Poskytovatelé služeb v oblasti kryptoaktiv

DORA je rozsáhlý soubor požadavků, jejichž splnění musí organizace spadající do její působnosti prokázat do 17. ledna 2025. Nařízení DORA se soustředí na pět klíčových pilířů:

• Řízení a správa rizik v oblasti informačních a komunikačních technologií - organizace musí definovat, zavést a udržovat rámec pro řízení rizik v oblasti kybernetické bezpečnosti a zvyšování odolnosti.
• Hlášení incidentů - Pokud dojde k incidentu v oblasti kybernetické bezpečnosti, musí jej organizace podle nařízení DORA v přísných lhůtách nahlásit příslušným orgánům.
• Testování digitální provozní odolnosti - Organizace musí každoročně provádět program testování, aby bylo zajištěno, že v případě incidentu dojde k minimálnímu narušení.
• Riziko ICT třetích stran - Organizace poskytující finanční služby spoléhají na externí dodavatele technologií (někteří se sídlem mimo EU), pokud jde o velkou část jejich IT prostředí. Tato rizika třetích stran musí zohlednit ve své strategii řízení rizik kybernetické bezpečnosti.
• Sdílení informací - DORA podporuje sdílení znalostí o kybernetických hrozbách mezi organizacemi s cílem zvýšit odolnost v celém odvětví.

Pokud je organizace shledána v rozporu s nařízením DORA, může jí hrozit pokuta až do výše 2 % ročního celosvětového obratu.

Nyní vidíte, jak zásadní je, aby organizace poskytující finanční služby, na které se vztahuje DORA, měly do ledna 2025 pokryté své základy. Stáhněte si nejnovější bílou knihu DORA od Thales a získejte podrobnější seznam nových požadavků.

STÁHNOUT BÍLOU KNIHU

Pracovní role a odpovědnosti pro zajištění souladu s nařízením DORA

DORA je nařízení, což znamená, že se jedná o zákon, nikoli "pouhou" technickou certifikaci jako PCI nebo ISO27k. Splnění požadavků nařízení DORA není něco, co by vedoucí pracovníci mohli nechat jen na svém týmu IT bezpečnosti. Vyžaduje koordinované úsilí napříč celou organizací s přispěním několika funkcí, včetně:

• představenstva - ředitelé se musí osobně zajímat o kybernetickou bezpečnost a přijímat správná rozhodnutí o zásadách, procesech a přidělování zdrojů.
• Kybernetická bezpečnost - týmy kybernetické bezpečnosti jsou v první linii, dodržují zásady a kontrolní mechanismy a denně řeší incidenty.
• Řízení rizik - Tento tým je zodpovědný za identifikaci a implementaci opatření k minimalizaci kybernetických rizik a také za plánování kontinuity v případě rušivého kybernetického incidentu.
• Dodržování předpisů - Tým organizace pro dodržování předpisů musí zavést procesy pro včasné hlášení kybernetických bezpečnostních incidentů, aby byly splněny povinnosti hlášení DORA.
• Lidské zdroje - Personální oddělení hraje klíčovou roli při poskytování školení o kybernetické bezpečnosti pro zaměstnance a zajišťování kultury povědomí o kybernetické bezpečnosti.
• IT - Tento tým je zodpovědný za implementaci mnoha pravidel DORA, včetně povinného vícefaktorového ověřování a důvěrnosti dat.

Dodržování pravidel DORA musí být celopodnikovým úsilím. K dispozici jsou však skvělé technologie, které přechod podporují.

Představujeme technologie společnosti Thales pro zajištění souladu s předpisy

Společnost Thales má rozsáhlé portfolio řešení pro Bezpečnost aplikací, Bezpečnost dat a Správa identit a přístupů, která mohou vašim zákazníkům pomoci při práci na dosažení souladu s nařízením DORA.

Společnost Thales nabízí celou řadu řešení pro bezpečnost aplikací, která chrání aplikace a rozhraní API ve velkém měřítku, ať už v cloudu, on-premises nebo v hybridním modelu. Řešení Bezpečnost aplikací Thales Imperva je společností Gartner zařazeno na vedoucí pozici v segmentu ochrany webových aplikací a rozhraní API (WAAP). Mezi klíčové nástroje v portfoliu patří brána Web Application Firewall, řešení na ochranu před útoky typu DDoS (Distributed Denial of Service) a útoky škodlivých botů a zabezpečení rozhraní API.

V oblasti zabezpečení dat nabízí Thales řešení pro zjišťování a klasifikaci dat, analýzu datových rizik a správu zranitelností. Pomáhají identifikovat ohrožená strukturovaná i nestrukturovaná citlivá data v lokálním prostředí i v cloudu. V oblasti správy identit a přístupů nabízí Thales řešení pro správu řízení přístupu, včetně vymezení toho, kdo má přístup ke konkrétním zdrojům uvnitř organizace.

V oblasti kryptografie a šifrování je Cipher Trust Manager špičkovým systémem společnosti Thales pro správu klíčů, který pomáhá i těm největším organizacím spravovat šifrovací klíče a zásady přístupu z centrálního umístění a nabízí komplexní možnosti reportování. Hardwarové bezpečnostní moduly (HSM) Thales Luna pomáhají zabezpečit kritické podnikové aplikace a citlivá data správou kryptografických klíčů uvnitř sítě, zatímco Thales Data Protection on Demand (DPoD) je cloudový systém správy klíčů bez potřeby hardwaru.

Tyto produkty by mohly vašim zákazníkům přímo pomoci dodržovat požadavky nařízení DORA tím, že splňují základní požadavky na řízení rizik kybernetické bezpečnosti a poskytují úplné, přesné a včasné zprávy v souladu s články 8, 9, 10, 11, 19 a 28.

Nařízení DORA zejména výslovně ukládá finančním subjektům definovat a zavést zásady pro šifrování dat, jakož i správu kryptografických klíčů, včetně kryptografické agility (tzv. Post Quantum Crypto). V případě incidentů v oblasti informačních a komunikačních technologií vyžaduje DORA, aby finanční subjekty reagovaly na závažný incident do čtyř hodin a poskytly včasnou forenzní analýzu, například analýzu datové aktivity, do 72 hodin. Díky zprávám a portálům Bezpečnost dat společnosti Thales je dodržování těchto pravidel jednoduché, neboť poskytují 12měsíční uchovávané záznamy, které jsou snadno dostupné pro podrobné vyhledávání a vyšetřování. Data auditu se automaticky archivují, ale zůstávají přístupná během několika sekund pro dotazy a vytváření zpráv.

Proměna dodržování předpisů ve výhodu

Využitím technologií společnosti Thales k dosažení shody s předpisy DORA můžete podpořit své zákazníky při zvyšování jejich bezpečnosti, čímž získáte vy i oni konkurenční výhodu.

Hlavní výhodou dodržování předpisů DORA je samozřejmě to, že se vaši klienti vyhnou právním problémům a vyhnou se potenciálně zničujícím pokutám. V mimořádně konkurenčním prostředí finančních služeb však může umístění kybernetické bezpečnosti do centra vašich operací přinést významné strategické výhody:

• Kybernetické incidenty mohou výrazně poškodit pověst organizace, zejména v oblasti financí. Kteří investoři by chtěli vložit své peníze do instituce, která nemůže zaručit jejich bezpečnost?
• Výpadky způsobené kybernetickými incidenty narušují chod zaměstnanců i zákazníků, zejména pokud lidé nemohou spravovat své peníze. Ochrana prostředí před kybernetickými útoky pomáhá poskytovat kvalitnější služby.
• Bezproblémově fungující IT systém bez kybernetických hrozeb, ale také bez těžkopádných opatření pro kontrolu přístupu, zvyšuje produktivitu zaměstnanců.

Dodržování pravidel DORA vyžaduje koordinované celopodnikové úsilí. V dnešním světě stále sofistikovanějších kybernetických hrozeb je však nezbytné. Pokud však své zákazníky podpoříte správnými odbornými znalostmi a nejlepšími technologiemi, nemusí to být příliš velký problém. Proč se místo pouhého dodržování pravidel DORA nevydat nad rámec jejich dodržování a nezačít tyto obchodní výhody skutečně využívat?

Zjistěte více

Stáhněte si nejnovější bílou knihu společnosti Thales, ve které se dozvíte více o souladu s nařízením DORA (včetně podrobného vysvětlení požadavků) - a o tom, jak vám k němu může pomoci sada řešení společnosti Thales.

STÁHNOUT BÍLOU KNIHU

Pokud hledáte odbornou podporu a poradenství na cestě za dodržováním předpisů DORA, je čas obrátit se na Exclusive Networks. Pomůžeme vám využít příležitostí, které vám DORA přináší, aby se dodržování předpisů stalo vaší konkurenční výhodou.

KONTAKTUJTE SE S NÁMI