Киберустойчивость в соответствии с DORA: готовы ли вы к вызову?

Закон о цифровой операционной устойчивости (DORA) вступил в силу 17 января 2025 года. Финансовые учреждения (ФУ) по всей Европе теперь должны полностью соответствовать его строгим требованиям к цибербезопасности и операционной устойчивости. Но достижение соответствия не ограничивается только соблюдением регулятивных требований. DORA представляет собой фундаментальный сдвиг в подходе финансовых учреждений к цифровой безопасности, обеспечивая их способность противостоять циберугрозам, операционным сбоям и уязвимостям третьих сторон.

Для компаний, которые уже разработали Compliance Framework ( Rahmen для соответствия), акцент теперь переходит на долгосрочную устойчивость и постоянное совершенствование. Для тех, кто еще работает над этим, срочность закрытия пробелов в безопасности никогда не была такой великой. Нарушение требований DORA грозит не только финансовыми штрафами, но также риском операционных ограничений и репутационного ущерба.

В этой новой эре циберрегуляции ФУ должны двигаться за пределы соблюдения нормативов и развивать более широкие подходы к обеспечению безопасности. Это требует постоянного мониторинга угроз, инвестиций в новые технологии безопасности и активной работы по обучению сотрудников.

Изменение роли ИБ

Информационная безопасность (ИБ) должна перестать быть просто защитой от внешних угроз. Вместо этого, это должен стать инструментом, который помогает бизнесу процветать в условиях быстро меняющегося цифрового ландшафта.

Если раньше ИБ была сосредоточена на предотвращении атак и борьбе с угрозами, теперь она должна быть направлена на укрепление операционной эффективности организации. Это означает более активное внедрение технологий, таких как искусственный интеллект (AI) и машинное обучение (ML), для автоматизации процессов и анализа данных.

Постоянное обучение

Для успешного исполнения требований DORA важно постоянно повышать уровень осведомленности сотрудников о рисках, связанных с безопасностью. Это означает регулярные тренинги и обновления знаний в области ИБ.

Для этого можно использовать различные методы обучения: онлайн-курсы, внутренние семинары или внешние консультации. Главное — создать культуру безопасности внутри компании, где каждый сотрудник понимает свою роль в защите данных и информационных систем.

Роль IT-аудита

IT-аудит является важным инструментом для обеспечения соответствия требованиям DORA. Регулярные проверки помогают выявить уязвимости в системах безопасности и предотвратить возможные нарушения.

IT-аудит не должен быть одноразовым мероприятием, а должно стать регулярной частью работы финансовых учреждений. Это поможет обеспечить непрерывное улучшение процессов безопасности и своевременное выявление потенциальных рисков.

Сотрудничество с внешними экспертами

Сотрудничество с внешними экспертами может быть полезным для финансовых учреждений, которые хотят улучшить свою безопасность. Внешние консультанты могут предложить новые подходы и технологии для обеспечения соответствия DORA.

Такое сотрудничество также позволяет избежать ошибок, которые могли бы быть сделаны при самостоятельном внедрении мер безопасности. Эксперты могут помочь определить лучшие практики и рекомендации для успешного выполнения требований DORA.

Вывод

DORA является важным шагом вперед в области цибербезопасности финансовых учреждений. Она не только устанавливает новые требования, но и способствует постоянному развитию и совершенствованию процессов безопасности.

Для успешного выполнения требований DORA важно внедрять новые технологии, активно обучать сотрудников и проводить регулярные проверки. Сотрудничество с внешними экспертами также может быть полезным для достижения целей по повышению безопасности.