DIGITAL OPERATIONAL RESILIENCE ACT (DORA)
Digital Operational Resilience Act (DORA) on suunniteltu parantamaan operatiivista resilienssiä, vähentämään IT-uhkia ja lisäämään EU:n rahoitusyritysten kykyä estää ja käsitellä ICT:hen liittyviä tapauksia. Se tulee voimaan 17. tammikuuta 2025 osana EU:n pyrkimyksiä säännellä digitaalista sektoria. DORA koskee kaikkia EU:n rahoituslaitoksia, ja joissakin yrityksissä se vaatii lisäturvatoimenpiteitä - vaikka ne jo noudattaisivatkin esimerkiksi ISO 27001- tai COBIT-standardeja.
MITÄ YRITYSTEN TULEE TIETÄÄ DORA:sta?
DORA koskee rahoituslaitoksia, kuten (mutta ei rajoittuen) luotto- ja maksulaitoksia, sijoituspalveluyrityksiä, vakuutusyhtiöitä ja -välittäjiä, eläkerahastoja ja kaupankäyntialustoja. Asetus luo sääntelykehyksen digitaaliseen operatiiviseen resilienssiin, joka kattaa IT-riskienhallinnan, pakollisen tapahtumien raportoinnin, testisuunnitelmien dokumentoinnin, kolmansien osapuolten riskienhallinnan sekä koulutuksen ja hallinnon. Sääntöjen noudattaminen varmistaa, että yrityksillä on oikeat järjestelmät paikoillaan kestääkseen, reagoidakseen ja toipuakseen kaikentyyppisistä ICT-häiriöistä ja -uhkista, mukaan lukien kolmansien osapuolten kautta tulevat.
Vaikutuksen kohteena olevien yritysten velvoitteet voidaan jakaa karkeasti viiteen ryhmään:
- Riskienhallinta
- Testaus ja tarkastukset
- IT-palveluntarjoajien turvallisuuden hallinta
- Tapausten hallinta
- Tiedonvaihto
DORA-VAATIMUSTEN TÄRKEYS ORGANISAATIOILLE
Vaikka DORA on EU:n säädös, se vaikuttaa myös kolmansien osapuolten ICT-palveluntarjoajiin. DORA sallii yritysten tehdä sopimuksia vain sellaisten palveluntarjoajien kanssa, jotka täyttävät kehyksessä määritellyt tietoturvavaatimukset. Tämä koskee pilvipalveluita, verkkopalveluita, laitteistopalveluita ja ICT-konsultointia.
DORA on monimutkainen säädös, joka lisää velvoitteita monille organisaatioille. Kiireinen tai tietämätön lähestymistapa ei ainoastaan jätä organisaatiotasi haavoittuvaiseksi, vaan voi myös altistaa sinut oikeudellisille ja taloudellisille rangaistuksille.
Vaatimusten rikkominen voi johtaa sakkoon, joka on enintään 2 % vuosittaisesta maailmanlaajuisesta liikevaihdosta tai enintään 1 % yrityksen keskimääräisestä päivittäisestä maailmanlaajuisesta liikevaihdosta.
DORA-VAATIMUSTENMUKAISUUSPALVELUT BUREAU VERITAKSELTA
Asiantuntijamme Securassa, Bureau Veritaksen tytäryhtiössä, tarjoavat laajan valikoiman palveluita tukemaan DORA:n vaatimusten noudattamista, missä tahansa vaiheessa kyberturvallisuusmatkaasi oletkin.
- DORA-koulutus organisaation johdolle: DORA vaatii johtajien osallistuvan koulutukseen osoittaakseen tehokkaan hallinnon kyberturvallisuusasioissa. Olemme kehittäneet DORA-koulutuksen yhteistyössä De Clercq Lawyersin kanssa, tarjoten näkemyksiä vähintään DORA:n mukaisista riskienhallintatoimenpiteistä. Tämä yhden päivän kurssi voidaan järjestää haluamassasi paikassa.
- DORA-puutteiden arviointi: Erikoistiimimme voi suorittaa DORA-puutteiden arvioinnin, tarjoten yksityiskohtaisen yleiskuvan nykyisestä turvallisuuden kypsyystasostasi ja vaiheista, jotka sinun tulee ottaa tullaksesi DORA-vaatimusten mukaiseksi. Tämä palvelu perustuu todistettuun Security Maturity Assessment -arviointiimme.
- DORA:n toteutuspalvelut: Tarjoamme myös laajan valikoiman palveluita DORA:n toteuttamiseksi organisaatiollesi. Ratkaisumme tarkka laajuus riippuu DORA-puutteiden analyysin tuloksesta, mutta se voi sisältää CyberCare-turvallisuuspalvelumme, turvallisuuden hallinnan, tietoisuuden ja käyttäytymisen tuen, tapausten hallinnan ja toimittajien turvallisuuspalvelut.
VAIHEET DORA-VAATIMUSTENMUKAISUUDEN SAAVUTTAMISEKSI
Jos tiedät, että organisaatiosi kuuluu DORA:n piiriin, on tärkeää aloittaa valmistautuminen vaatimustenmukaisuuteen ajoissa. Keskustele kyberturvallisuusasiantuntijoidemme kanssa saadaksesi lisää tietoa alkuvaiheen DORA-arvioinnista ja suunnittelusta sekä strategioiden ja ratkaisujen toteuttamisesta, joita tarvitset riskien hallintaan ja vaatimustenmukaisuuden saavuttamiseen.
MITKÄ OVAT DORA-VAATIMUSTENMUKAISUUDEN HYÖDYT?
Vaatimustenmukaisuus on pakollista joillekin organisaatioille, mutta DORA-vaatimusten täyttäminen tuo myös muita etuja, kuten:
- Parantunut kyberresilienssi ja parempi suunnittelu ICT-uhkia varten
- Parantunut ICT-riskien ymmärrys koko organisaatiossa
- Parempi hallinta ICT-toimitusketjuista
- Tehostettu tapausten raportointi ja tiedonvaihto
MIKSI VALITA BUREAU VERITAS?
- Meiltä saat kokeneen tiimin, joilla on vuosikymmenten kokemus hallinnon riskienhallinnasta ja vaatimustenmukaisuudest
- Löydät valikoimastamme laajasti eri palveluita, jotka on kehitetty täyttämään DORA-tarpeesi ja auttamaan sinua saavuttamaan vaatimustenmukaisuuden
- Saat meiltä käyttöösi kyberturvallisuuden asiantuntijat, joilla on osaamista ihmisten, prosessien ja teknologian alalta
- Tarjoamme sinulle selkeän etenemissuunnitelman DORA-vaatimusten täyttämiseksi ja noudattamiseksi
- Meillä on maailmanlaajuinen asiantuntemus, joka on johtava testaus-, tarkastus- ja sertifiointipalveluissa
UKK
-
MITEN DORA LIITTYY NYKYISIIN VIITEKEHYKSIIN KUTEN ISO 27001?
Nykyiset riskienhallintaviitekehykset, kuten NIST ja ISO 27001, tarjoavat ohjeita siitä, miten noudattaa erilaisia lakeja, esimerkiksi kouluttamalla henkilöstöä, suorittamalla tarkastuksia ja testejä sekä käyttämällä tapausten hallintaa ja toimitusketjun riskienhallintaa. Tällaiset riskienhallintaviitekehykset ovat hyvä lisä DORA:an, mutta niiden noudattaminen ei tarkoita automaattisesti DORA-vaatimustenmukaisuutta, joka on itsenäinen säädös.
-
MITEN DORA MUUTTAA KYBERTAPAHTUMIEN HALLINTAVAATIMUKSIA?
Kybertapahtumien hallinta on kriittinen osa palvelujen turvallisuuden ja jatkuvuuden varmistamiseksi.
DORA:n alaisuudessa yrityksillä on oltava suunnitelmia henkilöstön, ulkoisten sidosryhmien, median ja asiakkaiden kanssa kommunikointia varten kyberturvallisuuden häiriötilanteiden sattuessa. Sisäiset eskalointimenettelyt on myös perustettava.
Lisäksi suuret kyberhäiriöt on raportoitava asiaankuuluvalle ylimmälle johdolle ja "johtamistoimelle", selittäen tapahtuman vaikutukset, vastauksen ja lisäkontrollit, jotka on otettu käyttöön häiriön seurauksena.