По-високи изисквания в областта на киберсигурността влизат в обхвата на акта за оперативната устойчивост на цифровите технологии, по-известен като DORA (Digital Operational Resilience Act). С него Европейският съюз цели да гарантира, че финансовият сектор в Европа може да запази устойчивостта си в случай на сериозни оперативни смущения. Регулацията вече е влязла в сила и ще стане задължителна за прилагане от 17 януари 2025 г., припомнят от "Мнемоника".
В обхвата на DORA попадат всички компании, предоставящи финансови услуги - като банки, доставчици на плащания, доставчици на електронни пари, инвестиционни посредници, доставчици на услуги за криптоактиви, както и критични доставчици на ИКТ услуги, действащи като аутсорсинг дружества за регулираните участници на финансовите пазари.
Основните 5 области, в които DORA налага нови изисквания, са:
- Управление на риска при ИКТ на финансови субекти - изискването включва оценка на риска, разработване на стратегия за непрекъснат мониторинг и подходящи политики за управление на риска.
- Задължения за докладване на ИКТ инциденти - компаниите трябва да следват стриктни процедури за докладване на инциденти пред регулатора, както и да събират и съхраняват информация за всички свързани с ИКТ инциденти и значителни киберзаплахи.
- Тестване на цифровата експлоатационна стабилност - финансовите компании трябва да тестват своята оперативна безопасност и да провеждат регулярни тестове за проникване, извършени от външни независими доставчици на ИТ услуги.
- Европейска рамка за мониторинг на доставчици на услуги от трети страни в областта на ИКТ - отношенията с доставчици на ИТ услуги от трети страни трябва да бъдат мониторирани, за да се гарантира, че услугите, които предоставят, отговарят на изискванията на DORA.
- Споделяне на информация - насърчава се обменът на информация по отношение на киберзаплахите между финансовите организации.
От компанията, специализирана в решенията за информационна сигурност и регулаторна съвместимост, "Мнемоника" коментират, че част от подходящите за предприемане мерки са създаване на стратегии за архивиране и възстановяване на данни, процедури за ранно предупреждение с цел откриване и управление на кибератаки. Компанията препоръчва още подходящи тестове и одити - оценки и проверки на уязвимостта, оценки на мрежовата сигурност, анализ на пропуските, анализ на физическата сигурност, въпросници и софтуерни решения за сканиране. Не на последно място от значение е и провеждане на тестове за съвместимост, за ефективност или за проникване.
По-високи изисквания в областта на киберсигурността влизат в обхвата на акта за оперативната устойчивост на цифровите технологии, по-известен като DORA (Digital Operational Resilience Act). С него Европейският съюз цели да гарантира, че финансовият сектор в Европа може да запази устойчивостта си в случай на сериозни оперативни смущения. Регулацията вече е влязла в сила и ще стане задължителна за прилагане от 17 януари 2025 г., припомнят от "Мнемоника".
В обхвата на DORA попадат всички компании, предоставящи финансови услуги - като банки, доставчици на плащания, доставчици на електронни пари, инвестиционни посредници, доставчици на услуги за криптоактиви, както и критични доставчици на ИКТ услуги, действащи като аутсорсинг дружества за регулираните участници на финансовите пазари.