כיצד עסקים יכולים להתכונן ליישום DORA

למוסדות פיננסיים ולספקי שירותי IT יש רק שישה חודשים לעמוד בדרישות tחוק החוסן התפעולי הדיגיטלי של האיחוד האירופי (DORA). DORA אמורה לחול על עסקים החל מה-17 בינואר 2025, ומטרתה לחזק את אבטחת הסייבר של בנקים, חברות ביטוח, חברות השקעות ומוסדות פיננסיים אחרים באירופה, כמו גם של ספקי צד שלישי המספקים להם שירותי ICT.  

כדי להבטיח שסקטור השירותים הפיננסיים האירופיים המדיגיטאלי יכול לתפקד במהלך מתקפת סייבר חמורה או הפסקת IT, הדרישות המחמירות של DORA מכסות ICT וניהול סיכונים של צד שלישי, בדיקות חוסן תפעולי דיגיטלי, דיווח על אירועי סייבר, שיתוף מודיעין איומים ותחומים רבים אחרים. זה ישפיע לא רק על חברות מבוססות האיחוד האירופי, אלא גם על עסקים בריטיים המספקים שירותים פיננסיים או ICT ללקוחות אירופאים. אז איך חברות יכולות להתכונן ליישום של DORA? 

מתכוננים ל-DORA

כאשר עסקים מתכוננים להקדמה של DORA ומחפשים להבטיח תאימות, עליהם לקחת זמן להבין את הדרישות העיקריות שלה וכיצד הן ישפיעו על התפעול והפעילויות היומיומיות שלהם.  

Rayna Stamboliyska, מנכ"לית האסטרטגים RS Strategy מונעי ראיית הנולד, אומרת שיש שני היבטים חשובים לעסקים שיש לקחת בחשבון כאן. הראשון הוא להשיג חוסן תפעולי על ידי זיהוי והתייחסות לסיכונים באמצעות בדיקות חדירה מונחות איומים. שנית, עסקים צריכים להבטיח שכל החוזים והשותפויות שלהם עומדים בדרישות של DORA כחלק מתהליך ניהול סיכונים יסודי של צד שלישי.  

היא אומרת ל-ISMS.online: "אם כך, אתה יכול להגדיר גישה סבירה ומובנית להתיישר עם DORA ולהודיע ​​ללקוחות ולשותפיך לדעת שאתה בדרך לציות." 

צעד מרכזי נוסף הוא הטמעת מדיניות תאימות של DORA עבור כל כלי אבטחה המשמשים ברחבי העסק, על פי Crystal Morin, אסטרטג אבטחת סייבר בחברת אבטחת הענן Sysdig. פעולה זו תאפשר לחברות לבדוק את אבטחת הסייבר וה-IT שלהן עבור בעיות מדיניות, היא אומרת.  

היא גם ממליצה לעסקים לאמץ תשתית כקוד (IaC) ומדיניות כקוד (PaC) לצורך קודיד דרישות הניהול והתאימות שלהם, מה שיעזור לייעל את תהליך הציות. 

מורין מסביר: "חפצי אמנות כקוד הם ניתנים להגנה וניתן להשתמש בהם במהלך סקירות רגולטוריות, סיכונים וביקורת. יתר על כן, חפצי אמנות אלו מתרחבים בקלות ושומרים על עקביות בין הסביבות". 

ניהול סיכוני IT

כדי לעמוד בהתחייבויות ה-DORA שלהם, עסקים חייבים לפתח וליישם אסטרטגיית ניהול סיכוני IT חזקה. אסטרטגיה זו צריכה לכלול מדיניות, נהלים וכלים לניהול כל תחומי הסיכונים, כולל ממשל, ניטור ודיווח, טוען גרהם תומסון, קצין אבטחת מידע ראשי במשרד עורכי הדין אירווין מיטשל. "המסגרת צריכה להתאים לאסטרטגיה וליעדים העסקיים שלך, והיא צריכה להיבדק ולעדכן באופן קבוע", הוא אומר.  

במקרה של תקרית חמורה המשפיעה על המשכיות, שלמות, אבטחה או זמינות של מערכת ה-IT, עסקים יצטרכו לדווח על כך לרשויות הרלוונטיות במסגרת DORA. תומפסון אומר שזה מחייב אותם להקים תהליך דיווח ייעודי תוך שימוש ב"פורמט סטנדרטי" העומד ב"מסגרות זמן וספים ספציפיים" של כל רשות.  

כדי לזהות ולצמצם תקלות טכניות, תומפסון קורא לעסקים לבדוק את מערכות ה-IT שלהם באופן קבוע באמצעות סריקות פגיעות, בדיקות חדירה, ניהול תנוחות אבטחה ענן מתמשך וצוותים אדומים מבוססי תרחישים. הוא מוסיף: "תעדו את התוצאות ונקטו בפעולה לתיקון כל חולשה." 

כשלב אחרון בהכנה של DORA, תומפסון ממליצה לעסקים לבצע בדיקת נאותות יסודית לספקי שירותי IT של צד שלישי שלהם כדי לזהות ולנהל גורמי סיכון חיצוניים. הוא מוסיף: "ודא שהחוזים שלך כוללים זכויות חשובות כמו גישה, בדיקה והגנה על נתונים." 

ההשפעה על עסקים בבריטניה

למרות עזיבת בריטניה את האיחוד האירופי ב-2020, עסקים בריטיים רבים יושפעו מהכנסת DORA, וכתוצאה מכך, עליהם לנקוט בצעדים כדי לציית לחוק החדש לפני המועד האחרון של ינואר 2025.  

Stamboliyska מ-RS Strategy מסביר שכל עסקים מבוססי בריטניה המציעים שירותי טכנולוגיית מידע ותקשורת פיננסיים או קריטיים ללקוחות הממוקמים באיחוד האירופי יצטרכו לעמוד בדרישות DORA. 

התעלמות מההתחייבויות הרגולטוריות הללו עלולה לגרום לנזק פיננסי ומוניטין משמעותי לעסקים בבריטניה הפועלים באיחוד האירופי. "אי עמידה ב-DORA תעלה 1% מהמחזור היומי שלך עד שישה חודשים", ממשיך Stamboliyska. "וכרגיל עם סנקציות, אם תהיה כפוף לסנקציות, זה גם יפגע בגישה שלך לשוק האיחוד האירופי ואת המוניטין העסקי שלך." 

לדבריה, עסקים בבריטניה יציגו את מחויבותם ל"אבטחה איתנה וחוסן תפעולי" על ידי דבקות ב-DORA. זה יעזור להם למשוך יותר לקוחות ושותפים באיחוד האירופי, ויגדיל את "תחרותיות השוק הכוללת" שלהם. 

בנוסף לקנסות המוטלים על העסק בכללותו, אנשים שלא יעמדו בדרישות ה-DORA עלולים להימצא גם באחריות. שון רייט, מוביל אבטחת יישומים ב-Featurespace, מסביר: "זהו הבדל משמעותי מתקנות אחרות כאלה, שבהן יחידים כמו גם הארגון יכולים להיות אחראים על אי ציות." 

מכיוון שמספר גדול של עסקים בריטיים יושפעו מ-DORA בחודשים הקרובים, מורין מ-Sysdig קורא להם להתחיל בתכנון בדחיפות. חלק גדול מזה הוא הערכת בסיסי הלקוחות שלהם, שרשראות האספקה ​​וכל קשר עסקי אחר כדי למצוא תחומי סיכון בתחום השיפוט של DORA. היא מוסיפה: "יתר על כן, עליהם לזכור את תקנות DORA כשהפעילות העסקית וקהל הלקוחות שלהם מתפתחים עם הזמן". 

תפקיד המסגרות

למרות שעמידה ב-DORA עשויה להיות פוטנציאל מרתיע עבור עסקים רבים, מסגרות תעשייתיות כמו ISO 27001 מספקות קו בסיס שממנו הם יכולים להבין ולנהל את סיכוני הסייבר. 

מארק לואק, CISO של EMEA בחברת אבטחת ה-IT Zscaler, מסביר: "מסגרות כמו ISO 27001 הן התחלה מצוינת להתאים את הדרישות עם הרגולציה החדשה, מכיוון שהן מדגימות שחלק מהבקרות הבסיסיות כבר קיימות, כמו אספקת קישוריות לתוך הליבה מערכות." 

בנוסף להטמעת מסגרת אבטחת סייבר מקצועית כחלק מתאימות DORA, Lueck מייעץ להשלים אותה בגישה של אפס אמון. הוא מסביר שזה יעזור לעסקים להעריך ולמדוד סיכונים של צד שלישי.  

מרטין גרינפילד, מנכ"ל פלטפורמת ניטור בקרת סייבר רציפה Quod Orbis, מסכים ש-ISO 27001 ומסגרות דומות מספקות לעסקים "בסיס איתן" לטיפול בסיכוני ה-IT שלהם ולעמידה בדרישות DORA.  

עם זאת, הוא מציין כיצד DORA "מציגה אלמנטים נוספים" סביב סיכון של צד שלישי, ולדבריו עסקים צריכים להשוות שיטות ISO עם דרישות DORA אם הם מתכננים להשתמש בהם יחד. "ניתוח זה צריך לתת תשומת לב מיוחדת להיבטי ניהול סיכונים של צד שלישי, מכיוון שכאן עשויים להיות הבדלים משמעותיים", הוא אומר.  

כשהזמן אוזל במהירות להתכונן למועד האחרון של DORA בינואר 2025, ברור שגם חברות פיננסיות באירופה וגם בבריטניה וספקי ICT צריכים להתחיל להבין וליישם את הדרישות המחמירות של DORA אם הם עדיין לא עשו זאת. לאור הפסקת ה-Crowdstrike שהרסה את מערכות ה-IT של עסקים ברחבי העולם, נראה שניהול סיכוני ICT של צד שלישי כחלק מ-DORA הוא האינטרס הטוב של כל החברות ולא רק תרגיל.