Na vašem soukromí nám záleží!

Používáme soubory cookie ke zlepšení uživatelského prostředí a pro reklamní účely. Prohlášení o zásadách ochrany osobních údajů.

Jak se připravit na DORA a vše, co potřebujete vědět

Zákon o digitální provozní odolnosti (DORA -Digital Operational Resilience Act) je nové nařízení EU, které mění přístup organizací působících ve finančním sektoru k bezpečnosti v oblasti IT. V platnost vejde 17.1. 2025, s implementací potřebných změn tedy není vhodné otálet.
Adam Šima

28. 5. 2024

Co je nařízení DORA a koho se týká?

DORA, spolu s NIS2 a CER, je součástí snahy EU o lepší zabezpečení a vyšší provozní odolnost kritické infrastruktury v Evropě. Nařízení DORA se zaměřuje hlavně na finanční instituce a subjekty. Proto by měly být ve střehu všechny organizace jako:

  • banky
  • investiční firmy
  • platební instituce
  • ratingové agentury
  • zprostředkovatelé pojištění
  • obchodníci s kryptoměnami.

Pozn. Nařízení DORA narozdíl od směrnice NIS2 není omezena velikostí firmy ani počtem zaměstnanců a vztahuje se tak na všechny finanční instituce působící v EU.

Co hrozí, když nesplníte?

Nedodržování požadavků DORA může vést k pokutám, ztrátě dobré pověsti, která je ve finančním sektoru klíčová, a při opakovaném porušení i k odebrání licence, což může být pro některé instituce likvidační. Sankce se liší podle situace, ale mohou dosáhnout až 10 milionů eur nebo 5 % ročního obratu organizace. Proto je dodržování nařízení DORA pro finanční instituce zásadní strategickou prioritou, nikoli volbou.

Kde začít a jak?

Organizace spadající pod nařízení DORA musejí implementovat a prokázat patřičné změny v klíčových oblastech řízení kyberbezpečnosti. Co to však v praxi konkrétně znamená, shrnujeme v následujících bodech:

Sestavte odpovídající systém pro řízení, analýzu a hodnocení rizik

  • Vytvořte vlastní registr rizik podle stanovených požadavků směrnice.
  • V případě konkrétního typu výpadku či útoku mějte definovanou jeho závažnost, dopad i osobu, která situaci řeší.

Implementujte jednotný systém pro hlášení, řešení a evidenci incidentů

  • Obeznamte všechny zaměstnance se způsobem hlášení bezpečnostních incidentů – nejlépe jedním standardním způsobem.
  • V případě, že má vzniklý problém přímý dopad na zákazníky, stanovte postup pro bezprostřední komunikaci vzniklé situace.

  • Zajistěte, aby hlášené incidenty i žádosti týkající se změn v bezpečnosti měly auditní stopu a bylo možné je jednoduše zpětně dohledat.

Zajistěte pravidelná školení pracovníků v oblasti bezpečnosti informací

  • Pravidelně organizujte školení pro zaměstnance o bezpečném způsobu práce – práci s citlivými daty, hlášení incidentů či podezřelých aktivit atd. .

Zabezpečte odpovídajícím způsobem ICT infrastrukturu 

  • Zajistěte pravidelné testování provozní odolnosti systémů a aplikací alespoň jednou ročně a provádění penetračních testů alespoň jednou za tři roky. 
  • Zabezpečte firemní sítě proti vnějším útokům (např. pomocí firewallu). 
  • Nezapomínejte ani na fyzické zabezpečení infrastruktury (například k firemním serverům má přístup pouze několik vybraných lidí).
  • Mějte přehled o používaném softwaru a jeho aktualizacích. 
  • Zajistěte konzistentní monitoring, který je klíčový pro vyhodnocování hrozeb ve formě útoků, virů, malware, nepovolených přístupů do sítě a dalších kybernetických rizik. 

Spolupracujte pouze s osvědčenými dodavateli IT služeb

  • Dobře znejte své dodavatele, jejich služby a rozsah poskytování. Nové nařízení "motivuje” finanční instituce formou sankcí k výběru osvědčených dodavatelů pro klíčové ICT komponenty. 
  • Mějte přehled o tom, jaká data máte uložená u svých dodavatelů a jak jsou chráněná.
  • S dodavateli ICT služeb mějte jasně nastavené smlouvy, které splňují všechny patřičné náležitosti. To znamená přesný a srozumitelný popis všech dodávaných služeb, podmínky ukončení smlouvy nebo jejich povinnost poskytnout pomoc, dojde-li k incidentu v oblasti ICT.

Nastavte vhodné procesy pro řízení bezpečnosti a přístupu k informacím

  • Mějte jasně definovanou přístupovou politiku k citlivým datům organizace i zákazníků.
  • Přístupy do firemních systémů i aplikací dávejte v přesně definovaném rozsahu.
  • Zajistěte, že při nástupu / odchodu zaměstnance jsou přístupy správně přidělovány i odebírány.
  • V případě změny pracovní pozice či místa práce zaměstnance měňte přístupy vždy podle aktuálních potřeb.
  • Změny v přístupech evidujte, aby bylo možné zpětně dohledat, kdo jaký přístup kdy dostal a proč.

Zajistěte bezpečnost a ochranu citlivých dat a informací

  • Nastavte systém pro ochranu dat, jako je zálohování, šifrování nebo jiná opatření zamezující úniku dat i jejich zneužití. 
  • Evidujte, kdo a proč má přístup ke konkrétním informacím, případně na jak dlouho, přesně podle vámi stanovené politiky vnitřní bezpečnosti.

Vytvořte krizový plán pro zachování kontinuity provozu v případě útoku či havárie

  • Definujte pracovní postup pro zachování provozu v případě výpadku systému včetně jasně nastavených pravidel
  • Stanovte, kde jsou zálohována klíčová data nutná pro případnou obnovu.
  • Vytvořte jasně definovaný postup pro hlášení vzniklých incidentů dohledovým orgánům.
  • Zpracujte krizový plán jak v digitální, tak v papírové podobě, aby byl spolehlivě dostupný i v případě zašifrování dát či výpadku sítě.

Aktualizujte směrnici informační bezpečnosti

  • Zajistěte, aby vaše organizace měla základní vnitřní směrnice bezpečnosti – například bezpečnostní politiku, politiku hesel, pravidla přidělování oprávnění apod.
  • Mějte vypracovanou podrobnou dokumentaci dokazující shodu s podmínkami bezpečnosti podle nařízení DORA.

ALVAO vám pomůže splnit požadavky DORA

Implementace bezpečnostních procesů podle nařízení DORA může být pro organizace náročné i velmi nákladné. Dobrou zprávou je, že s velkou částí výše zmíněné bezpečnostní agendy vám můžeme pomoci. Většinu oblastí pokryjete z jednoho místa díky ALVAO, tedy prostřednictvím jednoho systému.

Jednotné kontaktní místo pro hlášení, řešení a evidenci incidentů

Konsolidace hlášených incidentů je důležitým požadavkem DORA. ALVAO Service Desk slouží jako jednotné kontaktní místo pro všechny zaměstnance a umožňuje jim hlásit vzniklé incidenty rychle a standardním způsobem.

Automatizace procesů

Velká část nové bezpečnostní agendy DORA je postavena na procesech. ALVAO vám pomůže většinu práce částečně nebo plně automatizovat - ať už se jedná o hlášení incidentů, řešení výpadku či školení zaměstnanců.

Bezpečnost přístupu k informacím

Zabezpečení citlivých dat je z pohledu DORA klíčové. ALVAO usnadňuje správu přístupových oprávnění napříč službami, objekty a dokumenty podle vaší bezpečnostní politiky. V případě žádosti o přístup je nastaven proces, který má jasné pořadí kroků, v případě schválení je pak možné přístup automaticky udělit (např. přes integrace s Power Automate). 

Stejným způsobem lze nastavit i bezpečnostní politiku při nástupu a odchodu zaměstnanců, kdy se často zapomíná na včasné přidělení nebo odebrání přístupů, což je v přímém rozporu s novým nařízením.

Pravidelná školení podle aktuálních potřeb

Na základě dat z ALVAO vždy víte, jaké jsou nejčastější bezpečnostní incidenty a rizika, s kterými se vaši zaměstnanci setkávají. To vám pomůže lépe plánovat odpovídající školení a předcházet bezpečnostním rizikům a incidentům. Samotnou organizaci pravidelných školení navíc můžete jednoduše automatizovat v ALVAO.

Systémová integrovatelnost

ALVAO se standardně integruje do většiny běžně používaných aplikací Microsoft 365. Díky tomu mohou zaměstnanci svoje požadavky/tickety zadávat do ServiceDesku přímo z aplikací Teams nebo Outlook. Systémová integrace na monitorovací systémy (např. Zabbix) pak zajišťuje maximální přehlednost pro IT, a to jak z pohledu analýzy výkonu prvků infrastruktury, tak z pohledu bezpečnostních a podezřelých aktivit ve firemní síti (např. připojení neznámého zařízení do sítě).

Správa IT majetku

Dobrý přehled o IT majetku je klíčový pro kybernetickou bezpečnost celé organizace. ALVAO Asset Management vám jeho evidenci zjednoduší a zefektivní. Automatická detekce vám vytvoří ucelený obrázek veškerého vybavení (počítače, monitory, servery, kopírky, switche, apod) včetně technických parametrů. Jednoduše tak získáte přehled o zastaralém hardwaru, nelicencovaném či škodlivém softwaru či nevyužitých zařízeních.


Snadná auditovatelnost

Ať už jde o incident či kompletní historii konkrétního zařízení, ALVAO poskytuje kompletní auditní stopu. Snadná auditovatelnost je přitom základním předpokladem shody s podmínkami nařízení DORA.

Plánování bezpečnostních testů

Ať už plánujete běžný bezpečnostní test nebo komplexní penetrační test, ALVAO vám pomůže s organizací a rozdělením úkolů. Výsledky testování jsou snadno dohledatelné v ticketu.

Řízení bezpečnostních změn

Při nalezení slabých míst v ICT infrastruktuře můžete v konfigurační databázi (CMDB) zobrazit vazby mezi konfiguračními položkami (CI) a zjistit, které další konfigurační položky je nutné zabezpečit stejným způsobem.

Řízení a hodnocení rizik

Registr rizik je klíčový pro efektivní risk management. ALVAO pomáhá nastavit různé stupně rizika a definovat odpovídající kroky. Můžete si určit závažnost výpadku, pravděpodobnost a zodpovědné osoby, což minimalizuje dopady při útoku nebo výpadku.

Sestavte krizový plán pro zajištění kontinuity provozu v ALVAO

Zachování provozu v případě útoku či havárie je jedním z nejdůležitějších požadavků nového nařízení. Sestavte krizový plán a proces následně implementujte do ALVAO, aby se v případě incidentu jednotlivé kroky plně automatizovaly. 

Například v případě výpadku serveru či služby je automaticky založen incident na konkrétního řešitele pro okamžité odstranění následku (quick fix) a zároveň může být vytvořena automatická zpráva o horší dostupnosti služby pro koncové uživatele. Požadavek je následně vytvořen i na správce infrastruktury, aby provedl hloubkovou analýzu problému (problem management) a jeho odstranění (change management).

ALVAO mu poskytne všechny důležité informace, včetně provozní historie, konfigurace, vazeb i předchozích incidentů.

Transparentní řízení vztahů s dodavateli IT služeb

ALVAO vám pomůže s evidencí IT služeb, dodavatelů, smluv a termínů. Jednoduše si můžete nastavit například upomínku na končící záruku, končící kontrakt či obnovu licence. Komunikovat s dodavateli můžete přímo z ALVAO, takže máte k dispozici kompletní historii komunikace a můžete vyhodnotit spolehlivost jednotlivých dodavatelů a nastavit efektivní a bezpečnou spolupráci podle požadavků DORA.

Jsme dlouholetým partnerem pro finanční instituce v České republice a na Slovensku


Závěrem

Pokud ještě vyčkáváte nebo se už připravujete na implementaci změn spojených s DORA a hledáte efektivní řešení, které vám pomůže splnit požadavky nařízení, neváhejte se obrátit na naše specialisty pro nezávaznou konzultaci. Rádi vám na vašem konkrétním případě vysvětlíme, jak vám ALVAO může pomoci s implementací nových procesů a změn vyplývajících z DORA. S přípravou však neotálejte.


Naplánovat schůzku

Odebírejte CIO newsletter

  • to nejlepším z našeho blogu
  • tipy a triky z IT managmentu
  • inspirativní rozhovory s CIO českých i zahraničních firem
  • pozvánky na webináře a konference


Přihlaste se k odběru newsletteru