Opinie Deloitte: UE a adoptat DORA, un fel de GDPR al siguranței cibernetice pentru organizațiile din sectorul financiar. Ce presupune noul cadru de reglementare pentru echipele de management?

La finele anului trecut, actul de reglementare privind reziliența operațională digitală (DORA) a fost publicat în monitorul oficial al Uniunii Europene, noua prevedere intrând de altfel în vigoare la mijlocul lunii ianuarie 2023. Complexitatea DORA pentru sectorul financiar este comparabilă cu ceea ce a însemnat GDPR pentru domeniul protecției datelor personale. Noua lege, creează un prim cadru legislativ pentru armonizarea măsurilor de securitate cibernetică și de risc pentru toate companiile care activează în sectorul financiar, la nivel european.

DORA are în vedere patru piloni care trebuie luați în considerare de companiile din acest domeniu. Primul pilon presupune crearea unui cadru de management al riscului bazat pe principii și cerințe cheie în vederea gestionării riscului privind tehnologia informației și comunicațiilor în vreme ce al doilea pilon vizează modul în care sunt raportate incidentele, toate entitățile din sectorul financiar fiind obligate să notifice astfel de cazuri în maxim 24 de ore de la producere. Mai mult, în decurs de o lună, compania respectivă este obligată să identifice cauza primară a atacului.

Al treilea pilon testează reziliența operațională, DORA stabilind standarde la nivelul UE pentru realizarea acestor exerciții. În fine, al patrulea pilon al DORA precizează necesitatea adoptării unei strategii holistice privind gestionarea relațiilor cu terții, strategie care să permită o monitorizare completă din partea companiei.

„Odată cu DORA, un cadru de reglementare mult mai strict decât alte inițiative similare din zona de securitate cibernetică și care va beneficia de o vizibilitate mai mare la nivel european, se observă o schimbare de paradigmă în ceea ce privește implementarea cerințelor, membrii echipelor de conducere executivă din sectorul financiar având un rol mult mai specific în acest sens. Astfel, aceștia vor fi nevoiți să aprobe un set de planuri cheie, cum ar fi strategia de reziliență operațională digitală a companiei și politica acesteia privind terții”, scriu Sergiu Zaharia, Director Cyber Strategy Advisory, Mihai Olteanu, Director Cyber Defense Advisory, și Adrian Ifrim, Director Cyber Risk Services, Deloitte România.

„De asemenea, echipele de conducere trebuie să fie instruite și pregătite astfel încât să înțeleagă gradul de maturitate a organizației din perspectiva capacității de a face față potențialelor crize cibernetice și întreruperi majore care țin de tehnologia informației și comunicațiilor. Directorii executivi mai trebuie să știe și în ce măsură compania poate asigura continuitatea serviciilor critice în fața acestor provocări. În acest sens, companiile pot opta pentru organizarea periodică a exercițiilor de simulare a unor potențiale atacuri cibernetice, care ajută la exersarea capacității de răspuns la criză din perspectiva comunicării cu angajații, presa, autoritățile sau din cea juridică. Pe scurt, DORA va obliga managementul să devină un actor activ în procesul decizional care asigură reziliența cibernetică a organizației”, conchide cei trei experți Deloitte.