DORA & Thales: Pomôžte svojim zákazníkom v oblasti finančných služieb premeniť dodržiavanie predpisov na konkurenčnú výhodu

Ste vy (a vaši zákazníci) pripravení na systém DORA?

Zákon o digitálnej prevádzkovej odolnosti (Digital Operational Resilience Act, DORA) má platiť vo všetkých členských štátoch EÚ od 17. januára 2025. Jeho cieľom je zvýšiť odolnosť organizácií v sektore finančných služieb voči neustále sa vyvíjajúcej hrozbe kybernetických útokov tým, že sa v celej EÚ harmonizujú požiadavky na digitálnu prevádzkovú odolnosť a kybernetickú bezpečnosť namiesto toho, aby si každá členská krajina stanovovala vlastné predpisy.

DORA má vplyv na všetky organizácie poskytujúce finančné služby v EÚ a EHP, ale je pravdepodobné, že aj organizácie z krajín mimo tejto oblasti budú musieť spĺňať požiadavky DORA, aby mohli obchodovať v Európe. Okrem toho, keďže GDPR vytvorilo precedens v oblasti ochrany osobných údajov, ktorý nasledoval zvyšok sveta, odborníci očakávajú, že DORA bude mať rovnaký globálny účinok.

Organizácie v oblasti finančných služieb musia novým pravidlám porozumieť a zabezpečiť, aby boli pripravené. Nikdy však nie je na škodu, ak podporíte svojich zákazníkov, aby zvýšili svoju kybernetickú bezpečnosť. V skutočnosti to môže byť to, čo ich odlišuje od ich konkurentov - a vás od vašich.

Spoločnosť Thales ponúka balík produktov, ktoré organizáciám pomôžu dodržiavať požiadavky smernice DORA a získať významné strategické výhody. V tomto článku vám povieme viac o DORA a o tom, ako môžete pomôcť svojim zákazníkom, aby boli v čo najlepšej pozícii a mohli tieto výhody získať.

Požiadavky na súlad s predpismi DORA

• DORA sa vzťahuje na širokú škálu organizácií v odvetví finančných služieb vrátane tých, ktoré pôsobia v:
• bankovníctva a úverov
• Poisťovníctvo
• Platby
• Informačné a komunikačné technológie (IKT) pre finančné služby
• finančných trhoch
• Správa aktív
• Poskytovatelia služieb v oblasti kryptoaktív

DORA je rozsiahly súbor požiadaviek, ktorých splnenie musia organizácie v jeho pôsobnosti preukázať do 17. januára 2025. Predpisy DORA sa sústreďujú na päť kľúčových pilierov:

• Riadenie a správa rizík IKT - organizácie musia definovať, zaviesť a udržiavať rámec na riadenie rizík kybernetickej bezpečnosti a zvyšovanie odolnosti.
• Hlásenie incidentov - Ak dôjde k incidentu v oblasti kybernetickej bezpečnosti, nariadenie DORA vyžaduje, aby ho organizácie nahlásili príslušným orgánom v prísnych lehotách.
• Testovanie digitálnej prevádzkovej odolnosti - Organizácie musia každoročne vykonávať program testovania, aby sa zabezpečilo, že narušenie v prípade incidentu bude minimálne.
• Riziko IKT tretích strán - Organizácie poskytujúce finančné služby sa vo veľkej časti svojho IT prostredia spoliehajú na externých dodávateľov technológií (niektorí so sídlom mimo EÚ). Tieto riziká tretích strán musia zohľadniť vo svojej stratégii riadenia rizík kybernetickej bezpečnosti.
• Výmena informácií - DORA podporuje výmenu poznatkov o kybernetických hrozbách medzi organizáciami s cieľom zvýšiť odolnosť v celom odvetví.

Ak sa zistí, že organizácia porušila nariadenie DORA, môže jej hroziť pokuta až do výšky 2 % ročného globálneho obratu.

Teraz vidíte, aké dôležité je, aby organizácie poskytujúce finančné služby, na ktoré sa vzťahuje DORA, mali do januára 2025 pokryté svoje základy. Stiahnite si najnovšiu bielu knihu DORA od spoločnosti Thales a získajte podrobnejší zoznam nových požiadaviek.

STIAHNUŤ BIELU KNIHU

Pracovné úlohy a zodpovednosti v súvislosti s dodržiavaním požiadaviek normy DORA

DORA je nariadenie, čo znamená, že ide o zákon, nie "len" o technickú certifikáciu, ako je PCI alebo ISO27k. Dodržiavanie súladu s predpisom DORA nie je niečo, čo vedúci pracovníci môžu nechať len na svoj tím IT bezpečnosti. Vyžaduje si koordinované úsilie v rámci celej organizácie s prispením viacerých funkcií, vrátane:

• Predstavenstva - riaditelia sa musia osobne zaujímať o kybernetickú bezpečnosť a prijímať správne rozhodnutia týkajúce sa politík, procesov a prideľovania zdrojov.
• Kybernetická bezpečnosť - tímy kybernetickej bezpečnosti sú v prvej línii, dodržiavajú politiky a kontrolné mechanizmy a denne riešia incidenty.
• Riadenie rizík - Tento tím je zodpovedný za identifikáciu a implementáciu opatrení na minimalizáciu kybernetických rizík, ako aj za plánovanie kontinuity v prípade rušivého kybernetického incidentu.
• Dodržiavanie predpisov - Tím organizácie zodpovedný za dodržiavanie predpisov musí zaviesť procesy včasného nahlasovania kybernetických bezpečnostných incidentov, aby sa splnili povinnosti nahlasovania podľa smernice DORA.
• Ľudské zdroje - Ľudské zdroje zohrávajú rozhodujúcu úlohu pri poskytovaní školení o kybernetickej bezpečnosti pre zamestnancov a zabezpečovaní kultúry povedomia o kybernetickej bezpečnosti.
• IT - Tento tím je zodpovedný za implementáciu mnohých pravidiel DORA vrátane povinného viacfaktorového overovania a dôvernosti údajov.

Dodržiavanie pravidiel DORA musí byť celopodnikovým úsilím. Na podporu tohto prechodu sú však k dispozícii skvelé technológie.

Predstavujeme technológie spoločnosti Thales na zabezpečenie súladu s predpismi

Spoločnosť Thales má rozsiahle portfólio riešení pre Bezpečnosť aplikácií, Bezpečnosť dát a Správu identít a prístupov, ktoré môžu vašim zákazníkom pomôcť pri dosahovaní súladu s predpismi DORA.

Spoločnosť Thales ponúka celý rad riešení na zabezpečenie aplikácií, ktoré chránia aplikácie a rozhrania API vo veľkom meradle, či už v cloude, lokálne alebo v hybridnom modeli. Spoločnosť Gartner zaradila riešenie Thales Imperva Bezpečnosť aplikácií na vedúcu pozíciu v segmente ochrany webových aplikácií a API (WAAP). Kľúčové nástroje v portfóliu zahŕňajú webový aplikačný firewall, riešenia na ochranu proti distribuovanému odmietnutiu služby (DDoS) a útokom škodlivých botov a zabezpečenie API.

V oblasti zabezpečenia dát ponúka spoločnosť Thales riešenia na zisťovanie a klasifikáciu dát, analýzu dátových rizík a správu zraniteľností. Pomáhajú identifikovať štruktúrované a neštruktúrované citlivé údaje, ktoré sú ohrozené v lokálnom prostredí a v cloude. V oblasti správy identít a prístupov poskytuje spoločnosť Thales riešenia na riadenie kontroly prístupu vrátane vymedzenia toho, kto má prístup ku konkrétnym zdrojom v rámci organizácie.

V oblasti kryptografie a šifrovania je Cipher Trust Manager špičkovým systémom Thales na správu kľúčov, ktorý pomáha aj najväčším organizáciám spravovať šifrovacie kľúče a politiky prístupu z centrálneho miesta s komplexnými možnosťami reportovania. Hardvérové bezpečnostné moduly (HSM) Thales Luna pomáhajú zabezpečiť kritické podnikové aplikácie a citlivé údaje správou kryptografických kľúčov v sieti, zatiaľ čo ochrana dát na požiadanie (DPoD) spoločnosti Thales je cloudový systém správy kľúčov bez potreby hardvéru.

Tieto produkty by mohli priamo pomôcť vašim zákazníkom dodržiavať nariadenie DORA tým, že riešia základné požiadavky na riadenie rizík kybernetickej bezpečnosti a poskytujú úplné, presné a včasné správy v súlade s článkami 8, 9, 10, 11, 19 a 28.

V nariadení DORA sa finančným subjektom výslovne nariaďuje najmä definovať a implementovať politiky šifrovania údajov, ako aj správy kryptografických kľúčov vrátane kryptografickej agility (tzv. postkvantovej kryptografie). V prípade incidentov v oblasti IKT sa v nariadení DORA vyžaduje, aby finančné subjekty reagovali na závažný incident do štyroch hodín a poskytli včasnú forenznú analýzu, napríklad analýzu činnosti údajov, do 72 hodín. Správy a portály bezpečnosti dát od spoločnosti Thales zjednodušujú dodržiavanie týchto pravidiel a poskytujú 12-mesačné uchovávané záznamy, ktoré sú ľahko dostupné na podrobné vyhľadávanie a vyšetrovanie. Údaje z auditu sa automaticky archivujú, ale zostávajú prístupné v priebehu niekoľkých sekúnd na účely dotazov a reportovania.

Premena súladu s predpismi na výhodu

Využitím technológií spoločnosti Thales na dosiahnutie súladu s predpismi DORA môžete podporiť svojich zákazníkov pri zlepšovaní ich bezpečnostného postavenia, čím získate vy aj oni konkurenčnú výhodu.

Samozrejme, hlavnou výhodou dodržiavania súladu so smernicou DORA je, že vaši klienti sa vyhnú právnym problémom a vyhnú sa potenciálne zničujúcim pokutám. V mimoriadne konkurenčnom priestore finančných služieb však môže umiestnenie kybernetickej bezpečnosti do centra vašej činnosti priniesť významné strategické výhody:

• Kybernetické incidenty môžu výrazne poškodiť povesť organizácie, najmä v oblasti financií. Ktorí investori by chceli vložiť svoje peniaze do inštitúcie, ktorá nemôže zaručiť ich bezpečnosť?
• Prestávky spôsobené kybernetickými incidentmi narúšajú prácu zamestnancov aj zákazníkov, najmä ak ľudia nemôžu spravovať svoje peniaze. Ochrana prostredia pred kybernetickými útokmi pomáha poskytovať kvalitnejšie služby.
• Bezproblémovo fungujúci IT systém bez kybernetických hrozieb, ale aj bez ťažkopádnych opatrení na kontrolu prístupu, zvyšuje produktivitu zamestnancov.

Dodržiavanie pravidiel DORA si vyžaduje koordinované celopodnikové úsilie. V dnešnom svete čoraz sofistikovanejších kybernetických hrozieb je však nevyhnutné. Keď však podporíte svojich zákazníkov správnymi odbornými znalosťami a najlepšími technológiami, nemusí to byť príliš veľká výzva. Prečo namiesto jednoduchého dodržiavania pravidiel DORA neprekročiť rámec súladu a nezačať tieto obchodné výhody skutočne využívať?

Zistite viac

Stiahnite si najnovšiu bielu knihu Thales, v ktorej sa dozviete viac o dodržiavaní predpisov DORA (vrátane podrobného vysvetlenia požiadaviek) - a o tom, ako vám k tomu môže pomôcť súbor riešení Thales.

STIAHNUŤ BIELU KNIHU

Ak hľadáte odbornú podporu a poradenstvo na ceste za súladom s predpismi DORA, je čas obrátiť sa na Exclusive Networks. Pomôžeme vám využiť príležitosti, ktoré prináša nariadenie DORA, aby sa dodržiavanie predpisov stalo vašou konkurenčnou výhodou.

KONTAKTUJTE SA