Czym jest DORA i jakie wyznacza ramy działania
Rozporządzenie o cyfrowej odporności operacyjnej sektora finansowego. Dowiedz się, jakie obowiązki nakłada na instytucje finansowe i jak się do nich przygotować.
DORA (Digital Operational Resilience Act) to przełomowe rozporządzenie Unii Europejskiej, które weszło w życie 16 stycznia 2023 roku, a będzie w pełni stosowane od 17 stycznia 2025 roku. Jego głównym celem jest wzmocnienie cyfrowej odporności operacyjnej podmiotów sektora finansowego w obliczu rosnących zagrożeń cybernetycznych. Rozporządzenie wprowadza jednolite standardy zarządzania ryzykiem ICT, które obejmują również wykrywanie danych osobowych w systemach informatycznych oraz właściwą retencję danych osobowych.
Zakres podmiotowy DORA
Rozporządzenie obejmuje szeroki katalog podmiotów sektora finansowego: banki, instytucje płatnicze, firmy ubezpieczeniowe, fundusze inwestycyjne, firmy kryptowalutowe oraz dostawców usług ICT. Każdy z tych podmiotów musi wdrożyć mechanizmy wykrywania danych osobowych w swoich systemach, aby zapewnić zgodność z RODO i DORA jednocześnie. Automatyczne wykrywanie danych wrażliwych staje się kluczowym elementem infrastruktury bezpieczeństwa.
Zarządzanie ryzykiem ICT
DORA wymaga od instytucji finansowych stworzenia kompleksowego systemu zarządzania ryzykiem ICT. Obejmuje to identyfikację wszystkich zasobów informacyjnych, w tym lokalizację danych osobowych w systemach. Narzędzia do automatycznego wykrywania danych osobowych pozwalają na inwentaryzację wrażliwych informacji i wdrożenie odpowiednich mechanizmów ochrony. Instytucje muszą również określić polityki retencji danych osobowych zgodne z zasadą minimalizacji danych.
Testowanie odporności cyfrowej
Rozporządzenie wprowadza obowiązek regularnego testowania systemów ICT, w tym zaawansowanych testów penetracyjnych (TLPT). Testy te powinny uwzględniać scenariusze wycieku danych osobowych i weryfikować skuteczność mechanizmów ich wykrywania. Organizacje muszą posiadać zdolność do szybkiej identyfikacji, gdzie w systemach znajdują się dane osobowe, aby w przypadku incydentu móc ocenić jego skalę.
Zgłaszanie incydentów i dokumentacja
DORA nakłada obowiązek zgłaszania poważnych incydentów związanych z ICT właściwym organom nadzoru w określonych terminach. W przypadku naruszeń dotyczących danych osobowych, kluczowa jest szybka identyfikacja zakresu zdarzenia. Automatyczne narzędzia do wykrywania danych osobowych umożliwiają precyzyjne określenie, jakie dane zostały naruszone. Prawidłowa dokumentacja procesów, w tym polityk retencji danych, jest niezbędna do wykazania zgodności.
Wizards.io oferuje narzędzia wspierające zgodność z DORA. **Revelio** to zaawansowane rozwiązanie do automatycznego wykrywania danych osobowych w dokumentach i systemach informatycznych. Pozwala na szybką identyfikację, gdzie w organizacji znajdują się wrażliwe dane. **Detecto** umożliwia ciągłe monitorowanie systemów pod kątem obecności danych osobowych. Z kolei **Oblivio** wspiera zarządzanie retencją danych osobowych, automatyzując proces usuwania danych po upływie określonych okresów przechowywania.
Wdrożenie DORA to kompleksowe przedsięwzięcie wymagające współpracy działów IT, bezpieczeństwa, prawnego i biznesowego. Kluczowym elementem jest posiadanie narzędzi do wykrywania danych osobowych oraz zarządzania ich cyklem życia. Organizacje powinny rozpocząć przygotowania jak najszybciej, aby spełnić wymogi rozporządzenia przed terminem pełnego stosowania.