UE a adoptat DORA, un fel de GDPR al sigurantei cibernetice pentru organizatiile din sectorul financiar. Ce presupune noul cadru de reglementare pentru echipele de management?

Articol de opinie de Sergiu Zaharia, Director Cyber Strategy Advisory, Mihai Olteanu, Director Cyber Defense Advisory, si Adrian Ifrim, Director Cyber Risk Services, Deloitte Romania

La finalul anului 2022, actul de reglementare privind rezilienta operationala digitala (DORA) a fost publicat in monitorul oficial al Uniunii Europene, intrand in vigoare incepand cu 16 ianuarie 2023. Complexitatea efectelor DORA asupra domeniului sigurantei cibernetice pentru organizatiile din sectorul financiar este comparabila cu ceea ce a insemnat GDPR pentru domeniul protectiei datelor personale. DORA creeaza primul cadru legislativ care armonizeaza masurile de securitate cibernetica si de risc pentru toate entitatile din sectorul financiar, nu doar pentru banci, la nivel european. 

Cei patru piloni prezentati in DORA

DORA are in vedere patru piloni pe care companiile din sectorul financiar trebuie sa ii ia in considerare pentru a intelege maniera in care practicile lor privind tehnologia informatiei si comunicatiilor, rezilienta operationala si cibernetica, dar si managementul riscurilor rezultate in urma colaborarii cu terti asigura continuitatea functiilor lor critice. 

Primul pilon presupune crearea unui cadru de management al riscului in jurul unui set de principii si cerinte cheie in vederea gestionarii riscului privind tehnologia informatiei si comunicatiilor. 

Al doilea pilon vizeaza modalitatea de raportare a incidentelor, entitatile financiare fiind nevoite sa notifice astfel de cazuri in 24 de ore de la producere. In decurs de o luna, organizatia compromisa este nevoita sa identifice cauza primara a atacului folosind instrumente de detectie si raspuns implementate cu ajutorul echipelor operationale care trebuie sa dea dovada de o serie de abilitati speciale in domeniu. Tehnologiile care pot sprijini procesele de detectie si raspuns sunt solutii cu care principalii jucatorii din sistemul bancar sunt cel mai probabil la zi, activand intr-un sector deja puternic reglementat. 

Testarea rezilientei operationale reprezinta al treilea pilon pe care DORA il reglementeaza, stabilind standarde la nivelul UE in vederea realizarii acestor exercitii. Companiile care au depasit un anumit prag de maturitate – prag care va fi specificat intr-un standard tehnic de reglementare ce nu a fost inca adoptat - trebuie sa efectueze teste de securitate bazate pe informatii despre amenintari cibernetice actuale (Threat-Led Penetration Testing) la fiecare trei ani, exceptie facand cazurile in care aceste dispozitii sunt modificate de autoritatile nationale. In tara noastra, Banca Nationala a Romaniei a adoptat cadrul TIBER-RO in mai 2022, care se aplica institutiilor financiare pe care le supravegheaza. Acesta presupune testarea rezilientei cibernetice a companiilor din sectorul financiar la fiecare trei ani, iar cele care in prezent se pregatesc pentru implementarea regulamentului nr. 6/2022 privind cadrul de desfasurare a testelor de rezilienta cibernetica TIBER-RO pot avea incredere ca aceasta activitate le va fi utila in vederea respectarii cerintelor avansate de testare specificate de DORA.

In final, al patrulea pilon precizeaza necesitatea adoptarii unei strategii holistice in ceea ce priveste gestionarea relatiei cu tertii, care sa permita o monitorizare completa din partea companiei. 

Implicatii pentru echipele de conducere executiva

Odata cu DORA, un cadru de reglementare mult mai strict decat alte initiative similare din zona de securitate cibernetica si care va beneficia de o vizibilitate mai mare la nivel european, se observa o schimbare de paradigma in ceea ce priveste implementarea cerintelor, membrii echipelor de conducere executiva din sectorul financiar avand un rol mult mai specific in acest sens. Astfel, acestia vor fi nevoiti sa aprobe un set de planuri cheie, cum ar fi strategia de rezilienta operationala digitala a companiei si politica acesteia privind tertii.

De asemenea, echipele de conducere trebuie sa fie instruite si pregatite astfel incat sa inteleaga gradul de maturitate a organizatiei din perspectiva capacitatii de a face fata potentialelor crize cibernetice si intreruperi majore care tin de tehnologia informatiei si comunicatiilor. Directorii executivi mai trebuie sa stie si in ce masura compania poate asigura continuitatea serviciilor critice in fata acestor provocari. In acest sens, companiile pot opta pentru organizarea periodica a exercitiilor de simulare a unor potentiale atacuri cibernetice, care ajuta la exersarea capacitatii de raspuns la criza din perspectiva comunicarii cu angajatii, presa, autoritatile sau din cea juridica.

Un alt aspect de care managementul unei companii trebuie sa tina cont este modalitatea in care DORA va afecta colaborarea cu tertii. Astfel, este probabil ca directorii executivi sa fie nevoiti sa regandeasca deciziile strategice in privinta partenerilor si sa revizuiasca rolul departamentelor de risc si achizitii. 

Pe scurt, DORA va obliga managementul sa devina un actor activ in procesul decizional care asigura rezilienta cibernetica a organizatiei. 

Desi directiile si conceptele pe care DORA le propune nu sunt noi, ele fiind deja introduse in unele directive si ghiduri de specialitate, implementarea cadrului va aduce in prim plan o serie de provocari pentru directorii executivi din sectorul financiar care, pana in acest moment, se aflau preponderent pe lista de prioritati a directorilor de securitate a informatiilor (chief information security officer - CISO) sau a directorilor de tehnologie (chief technology officers - CTO). Companiile trebuie sa aplice prevederile DORA din 17 ianuarie 2025, asadar au la dispozitie o perioada generoasa pentru a se pregati, dar este important sa aiba in vedere ca aceste cerinte nu fac parte dintr-un exercitiu unic de conformare, ci dintr-un proces continuu, care le va ajuta sa ramana in siguranta intr-un peisaj al amenintarilor cibernetice aflat in plina evolutie.