La finalul anului 2022, actul de reglementare privind rezilienţa operaţională digitală (DORA) a fost publicat în monitorul oficial al Uniunii Europene, întrând în vigoare începând cu 16 ianuarie 2023. Complexitatea efectelor DORA asupra domeniului siguranţei cibernetice pentru organizaţiile din sectorul financiar este comparabilă cu ceea ce a însemnat GDPR pentru domeniul protecţiei datelor personale. DORA creează primul cadru legislativ care armonizează măsurile de securitate cibernetică şi de risc pentru toate entităţile din sectorul financiar, nu doar pentru bănci, la nivel european.
Cei patru piloni prezentaţi în DORA
DORA are în vedere patru piloni pe care companiile din sectorul financiar trebuie să îi ia în considerare pentru a înţelege maniera în care practicile lor privind tehnologia informaţiei şi comunicaţiilor, rezilienţa operaţională şi cibernetică, dar şi managementul riscurilor rezultate în urma colaborării cu terţi asigură continuitatea funcţiilor lor critice.
Primul pilon presupune crearea unui cadru de management al riscului în jurul unui set de principii şi cerinţe cheie în vederea gestionării riscului privind tehnologia informaţiei şi comunicaţiilor.
Al doilea pilon vizează modalitatea de raportare a incidentelor, entităţile financiare fiind nevoite să notifice astfel de cazuri în 24 de ore de la producere. În decurs de o lună, organizaţia compromisă este nevoită să identifice cauza primară a atacului folosind instrumente de detecţie şi răspuns implementate cu ajutorul echipelor operaţionale care trebuie să dea dovadă de o serie de abilităţi speciale în domeniu. Tehnologiile care pot sprijini procesele de detecţie şi răspuns sunt soluţii cu care principalii jucătorii din sistemul bancar sunt cel mai probabil la zi, activând într-un sector deja puternic reglementat.
Testarea rezilienţei operaţionale reprezintă al treilea pilon pe care DORA îl reglementează, stabilind standarde la nivelul UE în vederea realizării acestor exerciţii. Companiile care au depăşit un anumit prag de maturitate – prag care va fi specificat într-un standard tehnic de reglementare ce nu a fost încă adoptat - trebuie să efectueze teste de securitate bazate pe informaţii despre ameninţări cibernetice actuale (Threat-Led Penetration Testing) la fiecare trei ani, excepţie făcând cazurile în care aceste dispoziţii sunt modificate de autorităţile naţionale. În ţara noastră, Banca Naţională a României a adoptat cadrul TIBER-RO în mai 2022, care se aplică instituţiilor financiare pe care le supraveghează. Acesta presupune testarea rezilienţei cibernetice a companiilor din sectorul financiar la fiecare trei ani, iar cele care în prezent se pregătesc pentru implementarea regulamentului nr. 6/2022 privind cadrul de desfăşurare a testelor de rezilienţă cibernetică TIBER-RO pot avea încredere că această activitate le va fi utilă în vederea respectării cerinţelor avansate de testare specificate de DORA.
În final, al patrulea pilon precizează necesitatea adoptării unei strategii holistice în ceea ce priveşte gestionarea relaţiei cu terţii, care să permită o monitorizare completă din partea companiei.
Implicaţii pentru echipele de conducere executivă
Odată cu DORA, un cadru de reglementare mult mai strict decât alte iniţiative similare din zona de securitate cibernetică şi care va beneficia de o vizibilitate mai mare la nivel european, se observă o schimbare de paradigmă în ceea ce priveşte implementarea cerinţelor, membrii echipelor de conducere executivă din sectorul financiar având un rol mult mai specific în acest sens. Astfel, aceştia vor fi nevoiţi să aprobe un set de planuri cheie, cum ar fi strategia de rezilienţă operaţională digitală a companiei şi politica acesteia privind terţii.
De asemenea, echipele de conducere trebuie să fie instruite şi pregătite astfel încât să înţeleagă gradul de maturitate a organizaţiei din perspectiva capacităţii de a face faţă potenţialelor crize cibernetice şi întreruperi majore care ţin de tehnologia informaţiei şi comunicaţiilor. Directorii executivi mai trebuie să ştie şi în ce măsură compania poate asigura continuitatea serviciilor critice în faţa acestor provocări. În acest sens, companiile pot opta pentru organizarea periodică a exerciţiilor de simulare a unor potenţiale atacuri cibernetice, care ajută la exersarea capacităţii de răspuns la criză din perspectiva comunicării cu angajaţii, presa, autorităţile sau din cea juridică.
Un alt aspect de care managementul unei companii trebuie să ţină cont este modalitatea în care DORA va afecta colaborarea cu terţii. Astfel, este probabil ca directorii executivi să fie nevoiţi să regândească deciziile strategice în privinţa partenerilor şi să revizuiască rolul departamentelor de risc şi achiziţii.
Pe scurt, DORA va obliga managementul să devină un actor activ în procesul decizional care asigură rezilienţa cibernetică a organizaţiei.
Deşi direcţiile şi conceptele pe care DORA le propune nu sunt noi, ele fiind deja introduse în unele directive şi ghiduri de specialitate, implementarea cadrului va aduce în prim plan o serie de provocări pentru directorii executivi din sectorul financiar care, până în acest moment, se aflau preponderent pe lista de priorităţi a directorilor de securitate a informaţiilor (chief information security officer - CISO) sau a directorilor de tehnologie (chief technology officers - CTO). Companiile trebuie să aplice prevederile DORA din 17 ianuarie 2025, aşadar au la dispoziţie o perioadă generoasă pentru a se pregăti, dar este important să aibă în vedere că aceste cerinţe nu fac parte dintr-un exerciţiu unic de conformare, ci dintr-un proces continuu, care le va ajuta să rămână în siguranţă într-un peisaj al ameninţărilor cibernetice aflat în plină evoluţie.
