Анализа усаглашености (GAP) према ДОРА уредби

Шта је ДОРА?

Европска комисија је 24. септембра 2020. године објавила Нацрт уредбе о дигиталној оперативној отпорности (DORA). Законски предлог заснован је на постојећим захтевима за управљање ризицима информационе и комуникационе технологије (ИКТ) које су већ развиле друге институције ЕУ и повезује неколико недавних иницијатива ЕУ са јединственом уредбом.

Европски парламент је ратификовао Уредбу ЕУ о дигиталној оперативној отпорности (DORA) 10. новембра 2022.

Овим је ефективно завршен законодавни процес DORA -е и почиње 24-месечна примена DORA-е.

То значи да све погођене странке са седиштем у ЕУ треба да очекују да ће морати да испоштују захтеве DORA до краја 2024.

DORA има за циљ да обезбеди свеобухватан оквир за усклађивање процеса и стандарда дигиталне еластичности широм финансијског сектора. DORA такође има за циљ јачање надзорних овлашћења и омогућавање директног надзора.

Захтеви ће се такође односити на субјекте традиционалног финансијског сектора и пружаоце услуга трећих лица финансијских субјеката.

DORA је регулатива која мења ситуацију на тржишту, а која ће приморати FSI фирме да у потпуности схвате како њихова ИКТ, оперативна еластичност, сајбер и TPRM (Third Party Risk Management) пракса утиче на отпорност њихових најкритичнијих функција, као и да развију потпуно нове могућности оперативне отпорности као што су напредне методе тестирања сценарија.

1. Захтеви за управљање ИКТ ризицима – шири фокус на критичне пословне функције

Оквир за управљање ИКТ ризицима DORA ставља фокус на управно тело фирме да преузме "потпуну и крајњу одговорност" за управљање ИКТ ризицима, за постављање и одобравање стратегије дигиталне оперативне еластичности, као и за преиспитивање и одобравање политике фирме о коришћењу ИКТ независних пружаоца услуга (Third Party Providers - TPP), између осталог. DORA даје надлежним органима овлашћење да примењују административне казне и мере обештећења чланова управног тела за свако кршење Уредбе.

Оквир за управљање ИКТ ризицима захтева од фирми да поставе толеранцију ризика за поремећаје ИКТ-а подржане кључним индикаторима перформанси и метрикама ризика. Фирме такође морају да идентификују своје "критичне или важне функције" (Critical or Important Functions - CIFs) и мапирају своју имовину у зависности од тога.

Новина у садржају DORA је и захтев да фирме изврше анализе утицаја пословања на основу сценарија "озбиљног поремећаја пословања".

2. Класификација и извештавање о ИКТ инцидентима – консолидација постојећих захтева али са значајним побољшањима

Оквир извештавања DORA о инцидентима има за циљ да се поједностави низ постојећих обавеза извештавања ЕУ о инцидентима које се односе на фирме из FSI. Упркос томе, створиће се знатан нови оквир класификације, обавештавања и извештавања који ће изазвати фирме да унапреде своју способност прикупљања, анализе, ескалације и разлагања информација везаних за ИКТ инциденте и претње. По нашем мишљењу, већина фирми тренутно не поседује све могућности потребне за процену квантитативног утицаја инцидената и анализу њихових основних узрока на начин на који ће то бити потребно у оквиру DORA.

3. Тестирање дигиталне оперативне еластичности – увођење изазовних нових захтева

DORA успоставља захтев за тестирање дигиталне оперативне еластичности за све фирме на које се односи (осим микро предузећа) која ће морати да:

• показују да спроводе одговарајући скуп тестова безбедности и еластичности на својим "критичним ИКТ системима и апликацијама“ најмање на годишњем нивоу;
• "у потпуности адресирање" свих рањивости идентификованих тестирањем. Заједно са захтевом за анализу пословног утицаја, то би могло да еволуира у значајну област надзорне провере и примора фирме да развију шире и прецизније могућности тестирања и анализе сценарија;
• фирме изнад одређеног прага системског значаја и зрелости (које треба да прецизира Регулаторни технички стандард), треба да спроводе "напредно" пенетрационо тестирање на сваке три године (осим ако их националне власти не измене на чврстој основи).

4. Управљање ризиком поверавања активности (Third party risk management – TPRM) – јачање европског оквира за финансијске услуге
Захтеви DORA у вези TPRM, као и ЕСА смернице (ESA Guidelines), садрже низ уговорних услова које фирме морају да укључе у уговоре о поверавању услуга у вези са информационим системом, до крајњег рока имплементације у четвртом кварталу 2024. Успостављање ових обавезујућих одредби повећаће притисак на FSI фирме да преговарају о тим условима са својим пружаоцима услуга. Одређене захтеве, као што је да TPP омогући "неограничен приступ просторијама" у уговорима који подржавају CIF, можда ће бити теже спровести од других.

5. CTPP оквир за спровођење надзора – први режим надзора FSI на свету за трећа лица

ИКТ пружаоци услуга (Third Party Providers - TPP) који су означени као "критични" биће подложни опсежним надзорним овлашћењима која ће омогућити надзорним телима европске уније (European supervisory authorities – ЕSА) да их процене, затраже од њих да промене безбедносну праксу и санкционишу их ако то не ураде. То ће приморати TPP-ове да покажу да могу да побољшају отпорност сопствених операција које подржавају FSI фирме, а посебно тамо где су умешани CIF-ови FSI фирми.

DORA уводи могућност власти да нареде FSI фирмама да обуставе или раскину своје уговоре са TPP-овима. Та овлашћења ће се користити само у изузетним околностима и у погледу утицаја који би имали на тај сектор. DORA такође значајно проширује улогу Заједничког надзорног форума (Joint Oversight Forum - JOF), групе ЕSА, релевантних власти, супервизора и независних експерата. JOF ће сада играти важнију улогу у развоју доследних најбољих пракси за надзор TPP-ова и временом би могао да успостави јаснији стандард за њихов очекивани ниво зрелости.

Зашто је то важно?

Иако је употреба трећих лица драгоцена за финансијске субјекте, повећање зависности резултира одговарајућим растом оперативног ризика и потенцијалом за лоше управљање. Јачање шире оперативне еластичности финансијског сектора је кључно и наш заједнички интерес.

Постоји могућност да ће казне за неусаглашеност бити дефинисане на нивоу од један одсто просечног дневног промета компаније на глобалном нивоу. Иако ће FSI фирме имати „грејс“ период од 12 до 18 месеци за усаглашавање, правовремене припреме могу бити од кључног значаја.

Сада када је технички споразум о DORA финализован, FSI фирме морају озбиљно да почну да планирају задатак примене Уредбе. Као што смо раније рекли у овој анализи, верујемо да ће DORA довести до значајних промена на тржишту и у начину на који свака FSI фирма приступа оперативној еластичности, као и да ће их приморати да заузму шири поглед на еластичност и развију софистициране нове могућности у областима као што су CIF идентификација, извештавање, мерење утицаја и тестирање.

Ране акције имплементације

По нашем мишљењу, неколико активности које FSI фирме треба да разматрају укључују:

• Управљање ИКТ ризицима: спровођење GAP анализе постојећих пракси управљања ИКТ ризицима и управљања. Поред тога, повећање ресурса посвећених откривању претњи и инцидената и унапређивању програма обуке за ИКТ безбедносну свест широм фирме са посебним фокусом на свест руководећих тела као што је одбор је од кључног значаја. Верујемо да посебна пажња мора бити усмерена на разјашњење шта су тачно ваша критична средства, где се налазе, ко их одржава и које процесе подржавају. Ово ће касније бити инпут за тестирање еластичности.
• Извештавање о инцидентима: управљање инцидентима и извештавање о процени зрелости ради разумевање тренутних државних могућности фирме и процена свести фирме о вишеструким захтевима извештавања о ИЦТ инцидентима који се примењују у FSI сектору. Такође погледајте да ли имате могућности да откријете инциденте који се скоро пропуштају. Питања која себи треба да поставите овде су да ли сте способни да увек пријављујете значајне инциденте у року од 48 сати и да ли сте у могућности да пружите информације као што су утврђивање географског ширења и број корисника који су погођени.
• Тестирање еластичности: разумевање вештина и способности потребних за обликовање и покретање тестирања еластичности, укључујући тренинге за чланове одбора о методама тестирања отпорности (укључујући пенетрациона тестирања, ако је вероватно у опсегу напредних захтева тестирања) и импликације за побољшање. Ако сте упознати са TIBER оквиром онда размислите и о потенцијалном повећању учесталости и обима тестирања јер DORA може да прописује повећано тестирање.
• Управљању ризицима поверених услуга (TPP risk management): усредсређивање на побољшање мапирања TPP уговора и веза, документовање и преиспитивање рањивости трећих страна како би се помогло у информисању развоја стратегије сузбијања ризика. Идентификовање који пружаоци услуга су од критичног значаја за функционисање основних пословних процеса. Да ли постоји излазна стратегија, или архитектура толерантна на грешке за ублажавање губитка одређених критичних продаваца?

Када је DORA у питању, компаније морају да буду свесне изазова имплементације који ће се појавити током двогодишњег периода. Фирме могу да остану на предњој нози заузимајући проактиван приступ развоју реалног и остваривог плана имплементације.

 

Како Deloitte може да помогне? 

Deloitte вам може помоћи током целог путовања ка усаглашавању са DORA, кроз процену ваше тренутне спремности и предлагањем мера за усаглашавање са регулаторним захтевима уз прилагођавање плана имплементације у ваше специфично окружење. Deloitte вам може помоћи у различитим активностима које вам омогућавају да побољшате своје тренутне могућности и да примените захтеве DORA.

Deloitte вам такође може помоћи да будете најбоље регулаторно усклађени са услугом регулаторног праћења како бисте били у току са еволуцијом DORA и другим прописима.