Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » DORA redefinește securitatea cibernetică pentru instituțiile financiare din UE
SOITRON GROUP
Menu
Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » DORA redefinește securitatea cibernetică pentru instituțiile financiare din UE
DORA redefinește securitatea cibernetică pentru instituțiile financiare din UE

Banca Națională a României atrăgea recent atenția că regulamentul Digital Operational Resilience Act (DORA) transcende domeniul financiar, urmând să aibă impact asupra întregului ecosistem de furnizori ai entităților din acest domeniu. La această complexitate inerentă se adaugă și termenul scurt de punere în aplicare, DORA intrând în vigoare din 17 ianuarie 2025, deci peste doar câteva luni, precum și suprapunerea cu unele cerințe ale Directivei NIS 2.

Totodată, BNR avertizează că toate entitățile vizate vor intra sub supravegherea  autorităților europene precum EBA (European Banking Authority) sau ESMA (European Securities and Markets Authority), prin intermediul unor echipe mixte de supraveghetori financiari naționali și internaționali.

 

 

Digital Operational Resilience Act este un cadru de reglementare adoptat de Uniunea Europeană, care are ca scop creșterea rezilienței cibernetice a instituțiilor de servicii financiare. Aprobat încă din 2022, dar aplicabil din ianuarie 2025, regulamentul UE 2022/2554 impune organizațiilor financiare să își îmbunătățească reziliența operațională împotriva perturbărilor, cum ar fi atacurile cibernetice, punând accentul pe recuperare și continuitate, mai degrabă decât pe metodele tradiționale de detectare și protecție. Prin impunerea unor standarde stricte pentru managementul riscurilor legate de tehnologia informației și comunicațiilor, raportarea incidentelor, testarea rezilienței și supravegherea furnizorilor de servicii terți, DORA va asigura că sectorul financiar din Europa poate menține continuitatea afacerilor în timpul și după perturbări operaționale serioase.

 

EU consideră că DORA are o necesitate evidentă din cauza escaladării incidentelor cibernetice. Realitatea arată că în 2024 spre exemplu, mai toate instituțiile financiare din România au fost ținta unor serii de atacuri de tip phishing și DDoS. În martie, atacurile au blocat website-urile BCR, Banca Transilvania și Alpha Bank, pe când în iunie, hackerii ar fi vizat inclusiv Banca Națională a României și Bursa de Valori București. Pentru că astfel de incidente există în toată uniune, prin intermediul DORA, Comisia Europeană impune cerințe care să ajute organizațiile financiare să le preîntâmpine.

 

Astfel, DORA stabilește cerințe uniforme pentru securitatea rețelelor și sistemelor informatice ale entităților financiare și ale furnizorilor de servicii ITC critice ale acestor entități. Scopul principal al regulamentului este de a întări reziliența operațională digitală a sectorului financiar din UE, pentru ca entitățile să poată face față și să se poată recupera în fața perturbărilor operaționale și amenințărilor cibernetice grave. Totodată, regulamentul DORA armonizează reglementările existente privind riscurile ITC în statele membre ale UE și creează un cadru coerent pentru gestionarea acestora, eliminând lacunele și conflictele dintre reglementările naționale. Acesta impune standarde tehnice care trebuie implementate de entitățile financiare și furnizorii lor de servicii ITC până în 2025, cu scopul de a preveni întreruperile transfrontaliere ale serviciilor financiare și de a proteja întregul sistem financiar european.

 

DORA este considerat o extensie a Directivei NIS 2 (Network and Information Security) pentru entitățile financiare de la nivelul UE. În cazul DORA, în România, Directoratul Național de Securitate Cibernetică (DNSC) îndeplinește rolul de autoritate competentă, alături de BNR și Autoritatea de Supraveghere Financiară (ASF). Aceste instituții vor avea, de altfel, și competențe  pentru efectuarea de inspecții și investigații, inclusiv citarea reprezentanților entităților financiare și intervievarea altor persoane relevante și solicitarea de măsuri corective pentru încălcările regulamentului.

 

Domeniu de aplicare. Cine trebuie să respecte standardele DORA

 

DORA se aplică aproape tuturor tipurilor de entități financiare, inclusiv bănci, furnizori de plăți, furnizori de monedă electronică, firme de investiții, furnizori de servicii de criptoactive, furnizorilor terți de servicii ITC care sunt reglementați la nivelul UE. Totodată potrivit ASF  lista include și depozitari centrali de titluri de valoare, administratori de fonduri de investiții alternative, societăți de administrare, furnizori de servicii de raportare a datelor, întreprinderi de asigurare și de reasigurare, intermediari de asigurări și reasigurări, instituții pentru furnizarea de pensii ocupaționale, administratori de indici de referință critici și furnizori de servicii de finanțare participativă. Regulamentul include și excepții, condițiile speciale pentru aceste excepții pot fi analize în documentul oficial DORA.

 

Care sunt cerințele regulamentului

 

În primul rând, regulamentul adaptează proporțional cerințele în funcție de mărimea entităților, astfel încât organizațiile mai mici nu vor trebui să se conformeze acelorași standarde stricte ca marile instituții financiare. DORA impune cerințe tehnice entităților financiare și furnizorilor de servicii ITC în cinci zone esențiale:

  1. Managementul și guvernanța riscurilor asociate ITC. DORA impune ca gestionarea riscurilor TIC să fie o responsabilitate directă a conducerii entităților financiare. Top managementul este obligat să creeze și să implementeze strategii eficiente de gestionare a riscurilor TIC, în caz contrar, vor fi trași la răspundere personal. Regulamentul solicită entităților financiare să dezvolte un cadru complet de gestionare a riscurilor IT, care implică: maparea sistemelor, identificarea și clasificarea activelor/funcțiilor critice, proceduri de backup și restaurare, precum și evaluări continue ale riscurilor. Aceste evaluări includ analize de impact asupra activității în diverse scenarii de risc. De asemenea, entitățile trebuie să implementeze măsuri de protecție cibernetică, precum gestionarea identității și accesului, managementul patch-urilor și sisteme de detectare și răspuns la amenințări, dar și planuri de continuitate operațională.
  2. Gestionarea și raportarea incidentelor. Entitățile vizate de DORA sunt obligate să implementeze sisteme pentru monitorizarea, gestionarea, înregistrarea, clasificarea și raportarea incidentelor ITC. În cazul unor incidente majore (cu impact mare asupra rețelei/sistemelor de informații), entitățile trebuie să raporteze situația atât autorităților (DNSC în cazul României), cât și clienților și partenerilor afectați. În cazul incidentelor critice, sunt necesare trei tipuri de rapoarte: un raport inițial pentru notificarea autorităților, un raport intermediar care detaliază progresul în rezolvarea incidentului și un raport final care analizează cauzele profunde ale incidentului de securitate cibernetică. Autoritățile europene lucrează la crearea de modele standardizate, pentru o raportare simplificată.
  3. Testarea rezilienței operaționale. Organizațiile financiare trebuie să testeze periodic sistemele ITC pentru a identifica vulnerabilitățile, raportând ulterior rezultatele și planurile de remediere autorităților competente. Testele de bază, precum evaluarea vulnerabilităților, și testele bazate pe scenarii, trebuie realizate anual. În plus, organizațiile financiare mari care sunt considerate critice trebuie să realizeze teste de penetrare bazate pe amenințări (TLPT) la fiecare trei ani, inclusiv cu participarea furnizorilor esențiali de tehnologie și comunicații. Standarde tehnice pentru TLPT sunt în dezvoltare, însă specialiștii se așteaptă să fie conforme cu cadrul TIBER-UE pentru red-teaming etc.
  4. Administrarea riscurilor legate de furnizorii terți. Aplicabilitatea DORA se extinde asupra furnizorilor ITC care deservesc entitățile financiare. Organizațiile sunt obligate să negocieze contracte care includ audituri și obiective de performanță pentru accesibilitate și securitate. Contractele cu furnizori care nu respectă aceste cerințe nu sunt permise, iar autoritățile vor avea autoritatea de a suspenda sau rezilia astfel de acorduri. Comisia Europeană ia în considerare adoptarea unor clauze contractuale standardizate. În plus, entitățile financiare trebuie să evite dependența funcțiilor critice de un singur furnizor sau un grup mic de furnizori și să păstreze un registru detaliat al tuturor acordurilor contractuale legate de serviciile IT.
  5. Schimbul de informații. DORA promovează, dar nu impune, schimbul de informații privind amenințările cibernetice între entitățile financiare. Această colaborare ar trebui să se realizeze prin intermediul unor rețele de încredere și acorduri formale. Toate informațiile trebuie să fie raportate și autorităților competente.

Sancțiuni

 

Fiecare stat membru își va stabili normele pentru sancțiuni administrative, acestea trebuie să fie eficiente și proporționale (se vor adapta la dimensiunea organizației), și vor include:

  • Emiterea de ordine pentru oprirea comportamentului ilegal și prevenirea repetării acestuia;
  • Încetarea temporară sau permanentă a practicilor neconforme;
  • Amenzi care pot ajunge până la 2% din cifra de afaceri anuală globală totală a unei entități;
  • Solicitarea de înregistrări de date relevante în caz de suspiciuni;
  • Emiterea de notificări publice privind identitatea și natura încălcării.

În practică, dacă, de exemplu, o bancă din România folosește un serviciu de cloud computing de la un furnizor terț pentru a stoca și gestiona datele clienților săi, conform DORA, banca trebuie să se asigure că acest furnizor îndeplinește cerințele stricte de securitate cibernetică. Asta înseamnă că banca nu doar implementează măsuri interne de protecție, dar și verifică și monitorizează securitatea furnizorului de cloud.

În cazul unui atac cibernetic care ar compromite datele clienților, banca trebuie să raporteze rapid incidentul și să demonstreze că are un plan de răspuns solid pentru a minimiza impactul. Dacă acest furnizor nu respectă standardele impuse de DORA, banca ar putea fi obligată să schimbe furnizorul sau să implementeze măsuri suplimentare de securitate.

În concluzie, deși cerințele DORA pot aduce costuri suplimentare pentru entitățile financiare, acestea oferă beneficii semnificative pe termen lung, inclusiv o protecție mai eficientă și o creștere a încrederii clienților în stabilitatea și securitatea acestor instituții. Adoptarea acestor măsuri nu doar că întărește securitatea, dar și plasează organizațiile financiare într-o postură mai competitivă, permițându-le să gestioneze mai bine riscurile și să se adapteze rapid la inovațiile tehnologice din sector.

 

Cum puteți colabora cu Datanet pentru conformarea cu DORA

 

Chiar dacă direcțiile propuse de DORA nu sunt noi, implementarea acestora necesită o abordare multidisciplinară, atât în ceea ce privește tehnologiile și soluțiile, cât și în privința departamentelor implicate (IT, Securitate, Operațional).

Datanet Systems oferă suport extins pentru conturarea unei strategii și a unui plan de acțiune pentru alinierea la DORA. Cu echipa noastră de experți, beneficiați de suport pe parcursul întregului proces, atât la nivel de consultanță, cât și de expertiză tehnică pentru implementare. Portofoliul nostru include soluții de la cei mai reprezentativi furnizori globali și acoperă toate cerințele operaționale care decurg din alinierea la DORA. Mai mult, în ultimii ani am derulat numeroase proiecte de consolidarea a securității cibernetice pentru organizații din sectorul financiar, bancar și non-bancar.

Pentru mai multe informații despre conturarea unui plan de aliniere la DORA, contactați-ne la sales@datanets.ro.