A DORA (Digital Operational Resilience Act) betartásának határidejének közeledtével az S-RM globális kiberbiztonsági és vizsgálati tanácsadó cég öt lépést határozott meg a pénzügyi intézmények és IKT-szolgáltatóik számára a megfelelés érdekében.

A DORA egy uniós szintű felügyeleti keretrendszert hoz létre, amelynek célja, hogy a pénzügyi szektor ellenálljon a súlyos működési zavaroknak. A több mint 20 000 szervezetre - köztük pénzügyi intézményekre, hitelminősítő intézetekre és IKT-szolgáltatókra - kiterjedő rendelet szigorú követelményeket vezet be a kiberkockázatkezelésre, az incidensek jelentésére, az ellenálló képesség tesztelésére és a harmadik fél általi kockázatfigyelésre vonatkozóan.

Katherine Kearns, az S-RM proaktív kiberszolgáltatásokért felelős vezetője megjegyezte: „Bár a DORA összetettnek tűnhet, lényegében számos olyan kiberbiztonsági gyakorlatot foglal össze és helyez előtérbe, amelyeken az európai pénzügyi szervezetek már eddig is dolgoztak. A felvázolt, megvalósítható lépésekre összpontosítva a szervezetek nemcsak a megfelelési követelményeknek felelhetnek meg, hanem a kiberfenyegetésekkel szembeni általános ellenálló képességüket is erősíthetik.”

A DORA egyszerre jelent kihívást és lehetőséget a hatálya alá tartozó szervezetek számára, beleértve azokat az egyesült királyságbeli székhelyű vállalatokat, amelyek az EU-ban nyújtanak szolgáltatásokat. A szervezetek felkészülésének elősegítése érdekében az S-RM a következő lépéseket ajánlja:

1. Hézagelemzés elvégzése a DORA követelményeihez viszonyított gyengeségek azonosítása és célzott terv kidolgozása azok kezelésére.
2. A vezetők tájékoztatása a DORA szerinti felelősségeikről és a kiberbiztonság felülről lefelé irányuló megközelítésének elfogadása.
3. Az incidensekre való felkészültség és helyreállítás tesztelése a kulcsfontosságú üzleti és informatikai érdekeltekkel.
4. Biztosítsa a biztonsági incidensek minősítésére és az illetékes hatóságok 24 órán belüli bejelentésére való felkészültséget.
5. A releváns IKT harmadik felekkel fennálló szerződéses kapcsolatok aktualizálása, hogy azok tartalmazzák az információbiztonsággal és a kockázatkezeléssel kapcsolatos kötelezettségeket, valamint az ellenőrzési jogokat, az információkhoz való hozzáférést és a biztonságos kilépési stratégiákat.

A DORA-nak való megfelelés határideje 2025. január 17.