DORA ja Thales: Auta finanssipalveluasiakkaitasi muuttamaan sääntöjen noudattaminen kilpailueduksi.

Oletko sinä (ja asiakkaasi) valmis DORAan?

Digitaalista toimintavarmuutta koskevaa lakia eli DORAa on tarkoitus soveltaa kaikissa EU:n jäsenvaltioissa 17. tammikuuta 2025 alkaen. Sen tavoitteena on parantaa rahoituspalvelualan organisaatioiden vastustuskykyä jatkuvasti kehittyvää verkkohyökkäysten uhkaa vastaan yhdenmukaistamalla digitaalista operatiivista häiriönsietokykyä ja kyberturvallisuutta koskevat vaatimukset koko EU:ssa sen sijaan, että kukin jäsenvaltio laatii omat säännöksensä.

DORA vaikuttaa kaikkiin EU:n ja ETA:n rahoituspalveluorganisaatioihin, mutta on todennäköistä, että myös tämän alueen ulkopuolisten organisaatioiden on noudatettava DORA:n vaatimuksia voidakseen käydä kauppaa Euroopassa. Lisäksi GDPR loi tietosuojaa koskevan ennakkotapauksen, jota muu maailma seurasi, ja asiantuntijat odottavat, että DORA:lla on sama maailmanlaajuinen vaikutus.

Rahoituspalvelualan organisaatioiden on ymmärrettävä uudet säännöt ja varmistettava, että ne ovat valmistautuneet. Ei ole kuitenkaan koskaan huono ajatus tukea asiakkaitasi niiden kyberturvallisuuden parantamisessa. Itse asiassa se voi erottaa heidät kilpailijoistaan - ja sinut omastasi.

Thales tarjoaa valikoiman tuotteita, jotka auttavat organisaatioita noudattamaan DORA:ta ja saamaan merkittäviä strategisia etuja. Tässä artikkelissa kerromme lisää DORA:sta ja siitä, miten voit auttaa asiakkaitasi pääsemään parhaaseen asemaan hyötymään näistä eduista.

DORA-vaatimusten noudattamista koskevat vaatimukset

• DORAa sovelletaan useisiin rahoituspalvelualan organisaatioihin, mukaan lukien:
• Pankki- ja luottotoiminta
• Vakuutukset
• Maksut
• rahoituspalvelujen tieto- ja viestintätekniikka (ICT)
• rahoitusmarkkinat
• Omaisuudenhoito
• Krypto-omaisuuspalvelujen tarjoajat

DORA on laaja joukko vaatimuksia, joiden noudattamista sen soveltamisalaan kuuluvien organisaatioiden on osoitettava 17. tammikuuta 2025 mennessä. DORA-säännökset keskittyvät viiteen keskeiseen pilariin:

• Tieto- ja viestintätekniikan riskienhallinta ja hallinto - Organisaatioiden on määriteltävä, toteutettava ja ylläpidettävä kehys kyberturvallisuusriskien hallitsemiseksi ja häiriönsietokyvyn lisäämiseksi.
• Tapahtumailmoitus - Jos kyberturvallisuusvälikohtaus sattuu, DORA edellyttää, että organisaatiot ilmoittavat siitä asianomaisille viranomaisille tiukkojen aikarajojen puitteissa.
• Digitaalisen toimintavarmuuden testaus - Organisaatioiden on toteutettava vuosittainen testausohjelma sen varmistamiseksi, että häiriöt ovat mahdollisimman vähäisiä häiriötilanteessa.
• Tieto- ja viestintätekniikkaan liittyvä kolmannen osapuolen riski - Rahoituspalveluorganisaatiot ovat suurelta osin riippuvaisia ulkoisista teknologiatoimittajista (joista osa sijaitsee EU:n ulkopuolella). Niiden on otettava nämä kolmannen osapuolen riskit huomioon kyberturvallisuusriskien hallintastrategiassaan.
• Tietojen jakaminen - DORA edistää tietoverkkouhkia koskevan tiedon jakamista organisaatioiden välillä, jotta koko toimialan häiriönsietokykyä voidaan parantaa.

Jos organisaation todetaan rikkovan DORA-sopimusta, se voi joutua maksamaan sakkoja, joiden suuruus voi olla jopa 2 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta.

Nyt voitte nähdä, miten tärkeää on, että DORA:n piiriin kuuluvat rahoituspalveluorganisaatiot ovat valmistautuneet tammikuuhun 2025 mennessä. Lataa Thalesin uusin DORA-valkoinen paperi, josta saat yksityiskohtaisemman luettelon uusista vaatimuksista.

LATAA VALKOINEN PAPERI

Työtehtävät ja vastuualueet DORA:n noudattamista varten

DORA on asetus, mikä tarkoittaa, että se on laki, ei "vain" tekninen sertifiointi kuten PCI tai ISO27k. DORA:n noudattaminen ei ole asia, jonka johtajat voivat jättää tietoturvaryhmänsä tehtäväksi. Se edellyttää koordinoituja toimia koko organisaatiossa, joihin osallistuu useita toimintoja, kuten seuraavat:

• Johtokunta - Johtajien on oltava henkilökohtaisesti kiinnostuneita kyberturvallisuudesta ja tehtävä oikeita päätöksiä toimintalinjoista, prosesseista ja resurssien jakamisesta.
• Kyberturvallisuus - Kyberturvallisuustiimit ovat etulinjassa, ylläpitävät käytäntöjä ja valvontaa ja käsittelevät vaaratilanteita päivittäin.
• Riskienhallinta - Tämä tiimi vastaa kyberriskien minimointiin tähtäävien toimenpiteiden tunnistamisesta ja toteuttamisesta sekä jatkuvuuden suunnittelusta häiritsevän kybertapahtuman sattuessa.
• Vaatimustenmukaisuus - Organisaation vaatimustenmukaisuusryhmän on luotava prosessit, joilla kyberturvallisuuteen liittyvistä vaaratilanteista raportoidaan ajoissa DORA-raportointivelvoitteiden täyttämiseksi.
• Henkilöstöhallinto - Henkilöstöhallinnolla on ratkaiseva rooli henkilöstön kyberturvallisuuskoulutuksen järjestämisessä ja kyberturvallisuustietoisuuden kulttuurin varmistamisessa.
• Tietotekniikka - Tämä ryhmä vastaa monien DORA-sääntöjen täytäntöönpanosta, kuten pakollisesta monitekijätodennuksesta ja tietojen luottamuksellisuudesta.

DORA:n noudattamisen on oltava koko yrityksen yhteinen ponnistus. Siirtymisen tueksi on kuitenkin saatavilla erinomaista teknologiaa.

Thales Technologies for Compliance -teknologioiden esittely

Thalesilla on laaja valikoima sovellusturvallisuus-, tietoturva- sekä identiteetin ja pääsyn hallinta -ratkaisuja, jotka voivat auttaa asiakkaitasi heidän pyrkiessään noudattamaan DORA-vaatimuksia.

Thales tarjoaa valikoiman sovellusturvallisuusratkaisuja, jotka suojaavat sovelluksia ja API:ita laajassa mittakaavassa, olipa kyse sitten pilvipalvelusta, toimitiloista tai hybridimallista. Thales Impervan Sovellusturvallisuus on Gartnerin toimesta sijoittunut Leader-asemaan WAAP-segmentissä (Web Application and API Protection). Portfolion keskeisiä työkaluja ovat Web Application Firewall, DDoS (Distributed Denial of Service) -hyökkäyksiltä ja ilkivaltaisilta bot-hyökkäyksiltä suojaavat ratkaisut sekä API-suojaus.

Tietoturvan alalla Thales tarjoaa ratkaisuja tietojen löytämiseen ja luokitteluun, tietoriskianalyysiin ja haavoittuvuuksien hallintaan. Ne auttavat tunnistamaan strukturoidut ja strukturoimattomat arkaluonteiset tiedot, jotka ovat vaarassa toimitiloissa ja pilvipalveluissa. Identiteetin- ja pääsyn hallinnan alalla Thales tarjoaa ratkaisuja pääsynvalvontaan, kuten sen määrittämiseen, kenellä on pääsy tiettyihin resursseihin organisaation sisällä.

Kryptografian ja salauksen alalla Cipher Trust Manager on Thalesin alan johtava avaintenhallintajärjestelmä, joka auttaa jopa suurimpia organisaatioita hallitsemaan salausavaimia ja käyttöoikeuskäytäntöjä keskitetysti ja tarjoaa kattavat raportointimahdollisuudet. Thalesin Luna Hardware Security Modules (HSM) -laitteistomoduulit auttavat turvaamaan liiketoiminnan kannalta kriittiset sovellukset ja arkaluonteiset tiedot hallitsemalla salausavaimia verkon sisällä, kun taas Thales Data Protection on Demand (DPoD) on pilvipohjainen avaintenhallintajärjestelmä, jossa ei tarvita laitteistoa.

Nämä tuotteet voivat suoraan auttaa asiakkaitasi noudattamaan DORA-asetusta täyttämällä keskeiset kyberturvallisuusriskien hallinnan vaatimukset ja toimittamalla täydellisiä, tarkkoja ja oikea-aikaisia raportteja 8, 9, 10, 11, 19 ja 28 artiklan mukaisesti.

Erityisesti DORA:ssa nimenomaisesti velvoitetaan rahoituslaitokset määrittelemään ja toteuttamaan tietojen salausta sekä salausavainten hallintaa koskevat käytännöt, mukaan lukien kryptografinen ketteryys (eli Post Quantum Crypto). Tieto- ja viestintätekniikkatapahtumien osalta DORA:ssa edellytetään, että finanssialan yksiköt reagoivat vakavaan tapahtumaan neljän tunnin kuluessa ja tarjoavat 72 tunnin kuluessa varhaisen rikostutkinnan, kuten tietojen analysoinnin. Thalesin tietoturvaraporttien ja -portaalien avulla näiden sääntöjen noudattaminen on helppoa, sillä ne tarjoavat 12 kuukauden säilytetyt tiedot, jotka ovat helposti saatavilla yksityiskohtaisia hakuja ja tutkimuksia varten. Auditointitiedot arkistoidaan automaattisesti, mutta ne ovat saatavilla sekunneissa kyselyjä ja raportointia varten.

Vaatimustenmukaisuudesta etua

Hyödyntämällä Thalesin teknologioita DORA-yhteensopivuuden saavuttamiseksi voit tukea asiakkaitasi, kun he parantavat tietoturva-asetelmaansa, mikä antaa sinulle ja heille kilpailuetua.

DORA:n noudattamisen ensisijainen etu on tietenkin se, että asiakkaasi pysyvät poissa oikeudellisista ongelmista ja välttävät mahdollisesti tuhoisat sakot. Erittäin kilpaillulla rahoituspalvelualalla kyberturvallisuuden asettaminen toimintojesi ytimeen voi kuitenkin tuottaa merkittäviä strategisia etuja:

• Tietoverkkotapahtumat voivat vahingoittaa merkittävästi organisaation mainetta, erityisesti rahoitusalalla. Ketkä sijoittajat haluaisivat sijoittaa rahansa laitokseen, joka ei voi taata sen turvallisuutta?
• Kyberhyökkäysten aiheuttamat käyttökatkokset häiritsevät niin työntekijöitä kuin asiakkaitakin, varsinkin jos ihmiset eivät pysty hallinnoimaan rahojaan. Ympäristön suojaaminen kyberhyökkäyksiltä auttaa tarjoamaan laadukkaampaa palvelua.
• Sujuvasti toimiva IT-järjestelmä, joka on vapaa kyberuhkista mutta myös hankalista pääsynvalvontatoimenpiteistä, tekee työntekijöistä tuottavampia.

DORA:n noudattaminen edellyttää koordinoituja, koko yrityksen laajuisia toimia. Nykyisessä yhä kehittyneempien kyberuhkien maailmassa se on kuitenkin välttämätöntä. Kun tuet asiakkaitasi oikealla asiantuntemuksella ja parhaalla teknologialla, sen ei kuitenkaan tarvitse olla liian suuri haaste. Sen sijaan, että vain noudatat DORA:ta, miksi et menisi vaatimustenmukaisuutta pidemmälle ja alkaisi todella hyödyntää liiketoimintahyötyjä?

Lisätietoja

Lataa Thalesin uusin valkoinen paperi, josta saat lisätietoja DORA-yhteensopivuudesta (mukaan lukien yksityiskohtaiset selitykset vaatimuksista) - ja siitä, miten Thalesin ratkaisusarja voi auttaa vaatimusten täyttämisessä.

LATAA VALKOINEN PAPERI

Jos etsit asiantuntevaa tukea ja opastusta DORA-yhteensopivuusmatkallasi, on aika keskustella Exclusive Networksin kanssa. Autamme sinua tarttumaan DORA:n tarjoamiin mahdollisuuksiin, jotta vaatimustenmukaisuudesta tulee kilpailuetusi.

OTA YHTEYTTÄ