DORA i Thales: Pomóż swoim klientom usług finansowych przekształcić zgodność z przepisami w przewagę konkurencyjną

Czy Ty (i Twoi klienci) jesteście gotowi na DORA?

Ustawa o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA) ma obowiązywać we wszystkich państwach członkowskich UE od 17 stycznia 2025 roku. Ma ona na celu zwiększenie odporności organizacji z sektora usług finansowych na stale rosnące zagrożenie cyberatakami poprzez harmonizację wymogów w zakresie cyfrowej odporności operacyjnej i cyberbezpieczeństwa w całej UE, zamiast ustanawiania własnych przepisów przez każdy kraj członkowski.

DORA ma wpływ na wszystkie organizacje świadczące usługi finansowe w UE i EOG, ale jest również prawdopodobne, że organizacje spoza tego obszaru będą musiały spełnić wymogi DORA, aby móc handlować w Europie. Ponadto, ponieważ RODO stworzyło precedens w zakresie prywatności danych, za którym podążyła reszta świata, eksperci oczekują, że DORA będzie miała taki sam globalny wpływ.

Organizacje na arenie usług finansowych muszą zrozumieć nowe zasady i upewnić się, że są przygotowane. Jednak wspieranie swoich klientów w celu poprawy ich cyberbezpieczeństwa nigdy nie jest złym pomysłem. W rzeczywistości może to być to, co odróżnia ich od konkurencji - a Ciebie od konkurencji.

Thales oferuje pakiet produktów, które pomogą organizacjom spełnić wymogi DORA i uzyskać znaczące korzyści strategiczne. W tym artykule dowiesz się więcej o DORA i o tym, jak możesz pomóc swoim klientom w osiągnięciu najlepszych wyników.

Wymagania dotyczące zgodności z DORA

• DORA ma zastosowanie do szerokiej gamy organizacji w branży usług finansowych, w tym w następujących sektorach
• Bankowość i kredyty
• Ubezpieczenia
• Płatności
• Technologie informacyjne i komunikacyjne (ICT) dla usług finansowych
• Rynki finansowe
• Zarządzanie aktywami
• Dostawcy usług w zakresie aktywów kryptograficznych

DORA to szeroko zakrojony zestaw wymogów, z którymi organizacje objęte jej zakresem muszą wykazać zgodność do 17 stycznia 2025 roku. Regulacje DORA koncentrują się na pięciu kluczowych filarach:

• Zarządzanie ryzykiem ICT i ład korporacyjny - organizacje muszą zdefiniować, wdrożyć i utrzymywać ramy zarządzania ryzykiem cyberbezpieczeństwa i zwiększania odporności.
• Zgłaszanie incydentów - w przypadku wystąpienia incydentu cyberbezpieczeństwa, DORA wymaga od organizacji zgłaszania go odpowiednim organom w ściśle określonych ramach czasowych.
• Testowanie cyfrowej odporności operacyjnej - organizacje muszą przeprowadzać coroczny program testów, aby zapewnić, że zakłócenia będą minimalne w przypadku incydentu.
• Ryzyko ICT ze strony osób trzecich - organizacje świadczące usługi finansowe polegają na zewnętrznych dostawcach technologii (niektórych z siedzibą poza UE) w odniesieniu do większości swojego środowiska IT. Muszą one uwzględnić te ryzyka w swojej strategii zarządzania ryzykiem cyberbezpieczeństwa.
• Wymiana informacji - DORA promuje dzielenie się wiedzą na temat zagrożeń cybernetycznych między organizacjami w celu zwiększenia odporności w całej branży.

Jeśli organizacja zostanie uznana za naruszającą DORA, może zostać ukarana grzywną w wysokości do 2% rocznego globalnego obrotu.

Teraz widać, jak ważne jest, aby organizacje świadczące usługi finansowe objęte DORA miały swoje podstawy do stycznia 2025 r. Pobierz najnowszą białą księgę DORA od Thales, aby uzyskać bardziej szczegółową listę nowych wymagań.

POBIERZ BIAŁĄ KSIĘGĘ

Role i obowiązki związane z zapewnieniem zgodności z przepisami DORA

DORA jest rozporządzeniem, co oznacza, że jest prawem, a nie "tylko" certyfikatem technicznym, takim jak PCI lub ISO27k. Zgodność z DORA nie jest czymś, co liderzy mogą po prostu pozostawić swojemu zespołowi ds. bezpieczeństwa IT. Wymaga to skoordynowanego wysiłku w całej organizacji z udziałem kilku funkcji, w tym

• Zarząd - Dyrektorzy muszą osobiście zainteresować się cyberbezpieczeństwem i podejmować właściwe decyzje dotyczące polityk, procesów i alokacji zasobów.
• Cyberbezpieczeństwo - zespoły ds. cyberbezpieczeństwa znajdują się na pierwszej linii frontu, przestrzegając zasad i kontroli oraz codziennie zajmując się incydentami.
• Zarządzanie ryzykiem - zespół ten jest odpowiedzialny za identyfikację i wdrażanie środków minimalizujących ryzyko cybernetyczne, a także planowanie ciągłości działania w przypadku zakłócającego incydentu cybernetycznego.
• Zgodność z przepisami - zespół ds. zgodności z przepisami organizacji musi ustanowić procesy terminowego zgłaszania incydentów cyberbezpieczeństwa w celu spełnienia obowiązków sprawozdawczych DORA.
• Zasoby ludzkie - dział HR odgrywa kluczową rolę w prowadzeniu szkoleń z zakresu cyberbezpieczeństwa dla pracowników i zapewnianiu kultury świadomości cyberbezpieczeństwa.
• IT - ten zespół jest odpowiedzialny za wdrożenie wielu zasad DORA, w tym obowiązkowego uwierzytelniania wieloskładnikowego i poufności danych.

Zgodność z DORA musi być wysiłkiem całej firmy. Dostępna jest jednak świetna technologia wspierająca transformację.

Przedstawiamy technologie Thales zapewniające zgodność z przepisami

Thales posiada bogate portfolio rozwiązań z zakresu bezpieczeństwa aplikacji, bezpieczeństwa danych oraz zarządzania tożsamością i dostępem, które mogą pomóc klientom w osiągnięciu zgodności z DORA.

Thales oferuje szereg rozwiązań w zakresie bezpieczeństwa aplikacji, które chronią aplikacje i interfejsy API na dużą skalę, zarówno w chmurze, lokalnie, jak i w modelu hybrydowym. Bezpieczeństwo aplikacji Thales Imperva jest pozycjonowane jako lider przez firmę Gartner w segmencie Web Application and API Protection (WAAP). Kluczowe narzędzia w portfolio obejmują Web Application Firewall, rozwiązania do ochrony przed Distributed Denial of Service (DDoS) i złośliwymi atakami botów oraz bezpieczeństwo API.

W zakresie bezpieczeństwa danych Thales oferuje rozwiązania do wykrywania i klasyfikacji danych, analizy ryzyka związanego z danymi oraz zarządzania podatnościami. Pomagają one identyfikować ustrukturyzowane i nieustrukturyzowane wrażliwe dane zagrożone lokalnie i w chmurze. W zakresie zarządzania tożsamością i dostępem Thales dostarcza rozwiązania do zarządzania kontrolą dostępu, w tym określania, kto ma dostęp do określonych zasobów wewnątrz organizacji.

W obszarze kryptografii i szyfrowania, Cipher Trust Manager jest wiodącym w branży systemem zarządzania kluczami Thales, pomagającym nawet największym organizacjom zarządzać kluczami szyfrującymi i zasadami dostępu z centralnej lokalizacji, z wszechstronnymi możliwościami raportowania. Sprzętowe moduły bezpieczeństwa (HSM) Thales Luna pomagają zabezpieczyć krytyczne aplikacje biznesowe i wrażliwe dane poprzez zarządzanie kluczami kryptograficznymi wewnątrz sieci, podczas gdy Thales Data Protection on Demand (DPoD) to oparty na chmurze system zarządzania kluczami, który nie wymaga sprzętu.

Produkty te mogą bezpośrednio pomóc klientom w spełnieniu wymogów DORA poprzez spełnienie podstawowych wymogów zarządzania ryzykiem cyberbezpieczeństwa i dostarczanie kompletnych, dokładnych i terminowych raportów zgodnie z art. 8, 9, 10, 11, 19 i 28.

W szczególności DORA wyraźnie zobowiązuje podmioty finansowe do zdefiniowania i wdrożenia zasad szyfrowania danych, a także zarządzania kluczami kryptograficznymi, w tym zwinnością kryptograficzną (aka Post Quantum Crypto). W przypadku incydentów teleinformatycznych, DORA wymaga, aby podmioty finansowe reagowały na poważne incydenty w ciągu czterech godzin i zapewniały wczesne analizy śledcze, takie jak analiza aktywności danych, w ciągu 72 godzin. Raporty i portale bezpieczeństwa danych Thales sprawiają, że przestrzeganie tych zasad jest proste, zapewniając 12-miesięczne przechowywane zapisy, łatwo dostępne do szczegółowego wyszukiwania i badania. Dane audytowe są automatycznie archiwizowane, ale pozostają dostępne w ciągu kilku sekund do zapytań i raportowania.

Przekształcenie zgodności w przewagę

Wykorzystując technologie Thales do osiągnięcia zgodności z DORA, możesz wspierać swoich klientów w zwiększaniu poziomu bezpieczeństwa, zapewniając sobie i im przewagę konkurencyjną.

Oczywiście podstawową zaletą zgodności z DORA jest to, że Twoi klienci unikają kłopotów prawnych i potencjalnie druzgocących grzywien. Jednak w niezwykle konkurencyjnej przestrzeni usług finansowych umieszczenie cyberbezpieczeństwa w centrum działalności może przynieść znaczące korzyści strategiczne:

• Incydenty cybernetyczne mogą znacząco zaszkodzić reputacji organizacji, zwłaszcza w branży finansowej. Którzy inwestorzy chcieliby ulokować swoje pieniądze w instytucji, która nie może zagwarantować ich bezpieczeństwa?
• Przestoje spowodowane incydentami cybernetycznymi są uciążliwe zarówno dla pracowników, jak i klientów, zwłaszcza jeśli ludzie nie są w stanie zarządzać swoimi pieniędzmi. Ochrona środowiska przed cyberatakami pomaga zapewnić wyższą jakość usług.
• Sprawnie działający system IT, wolny od cyberzagrożeń, ale także wolny od uciążliwych środków kontroli dostępu, sprawia, że pracownicy są bardziej produktywni.

Zgodność z dyrektywą DORA wymaga skoordynowanych działań w całej firmie. Jednak w dzisiejszym świecie coraz bardziej wyrafinowanych cyberzagrożeń jest to niezbędne. Jeśli jednak wspierasz swoich klientów odpowiednią wiedzą i najlepszą technologią, nie musi to być zbyt dużym wyzwaniem. Zamiast tylko przestrzegać przepisów DORA, dlaczego nie wyjść poza zgodność i zacząć naprawdę czerpać korzyści biznesowe?

Dowiedz się więcej

Pobierz najnowszą białą księgę Thales, aby dowiedzieć się więcej na temat zgodności z przepisami DORA (w tym szczegółowe objaśnienia wymagań) - i tego, jak pakiet rozwiązań Thales może pomóc w osiągnięciu tego celu.

POBIERZ BIAŁĄ KSIĘGĘ

Jeśli szukasz fachowego wsparcia i wskazówek na drodze do osiągnięcia zgodności z wymogami DORA, czas porozmawiać z Exclusive Networks. Pomożemy Ci wykorzystać możliwości, jakie stwarza DORA, aby zgodność stała się Twoją przewagą konkurencyjną.

SKONTAKTUJ SIĘ Z NAMI