Rozporządzenie DORA jest wyzwaniem, z którym zmierzyć musi się każdy z europejskich podmiotów finansowych. Częstą decyzją jest współpraca z zewnętrznym doradcą, której celem jest wsparcie w zapewnieniu zgodności z DORA.
W czym może pomóc doradca z zewnątrz?
Doradcy zewnętrzni wykorzystując swoją specjalistyczną wiedzę, doświadczenie i szerokie spojrzenie na rynek mogą dostarczyć wiele usług, które pomogą podmiotom finansowym w implementacji i utrzymaniu zgodności z nowymi regulacjami. Oferta na rynku w tym zakresie jest szeroka i można ją pogrupować w kilka kategorii.
Metodyka
DORA dostarcza zadania, które podmiot finansowy musi zrealizować, ale nie wskazuje konkretnych działań, które można wykonać w celu realizacji tych zadań. Zewnętrzny doradca może dostarczyć metodykę wdrożenia DORA, w tym realizacji poszczególnych obowiązków. Metodyka oceny ryzyka własnego czy dostawców to jeden z pomysłów, który można pozyskać od doradcy.
Można też korzystać z rozwiązań SaaS takich jak aplikacja RIG DORA, której system oparty jest o metodykę zarządzania ryzykiem. Prowadzi użytkowników krok po kroku przez kolejne etapy wdrożenia. Możesz zapoznać się z harmonogramem wdrożenia, który uwzględnia zautomatyzowane działania w narzędziu. Pobierz go, żeby sprawdzić jak zaplanować sobie pracę niezależnie od tego czy będziesz korzystać z automatyzacji.
Analiza i ocena stanu gotowości
Doradcy mogą przeprowadzić analizę gotowości podmiotu finansowego pod względem wymagań DORA. Obejmuje to identyfikację luk w obecnych systemach, procesach oraz procedurach, a także określenie aktualnego poziomu zgodności z rozporządzeniem. Jest to związane z obowiązkiem wynikającym z artykułu 8 Identyfikacja, w którym napisane jest: “1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe identyfikują, klasyfikują i odpowiednio dokumentują wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne i zasoby ICT wspierające te funkcje oraz ich zadania i zależności w odniesieniu do ryzyka związanego z ICT.”
Projektowanie i wdrażanie rozwiązań DORA
Doradcy zewnętrzni mogą wesprzeć podmiot finansowy w projektowaniu i wdrażaniu rozwiązań, aby sprostać wymaganiom DORA. To może obejmować dostosowywanie istniejących procesów zarządzania ryzykiem, tworzenie procedur testowania odporności operacyjnej oraz opracowywanie ram zarządzania ryzykiem. Obejmuje to strategie, polityki, procedury, protokoły i narzędzia ICT, które według artykuł 6 muszą być solidne, kompleksowe i dobrze udokumentowane.
Edukacja i szkolenia
Doradcy zewnętrzni są bardzo dobrym źródłem wiedzy, ponad tę, którą posiada już organizacja. Z tego powodu wiele firm doradczych oferuje szkolenia, pomagając podmiotom finansowym zrozumieć istotę i konsekwencje rozporządzenia DORA. Wiedza pracowników jest kluczowa dla skutecznego wdrożenia nowych procedur i utrzymania bieżącej zgodności.
Monitorowanie zmian legislacyjnych
Doradcy są “na bieżąco” z aktualnymi zmianami w przepisach i dostarczają podmiotom finansowym informacji na temat ewentualnych nowych wymagań prawnych w tym zmian w zakresie DORA . Dzięki temu te organizacje mogą dostosowywać się do zmieniającego się środowiska regulacyjnego.
Zarządzanie ryzykiem stron trzecich
W kontekście korzystania z usług dostawców zewnętrznych, doradcy mogą pomóc w ocenie i zarządzaniu ryzykiem związanym ze stronami trzecimi. Świadczą usługi tworząc ramy zarządzania ryzykiem, przeglądając umowy i wspierając utrzymanie zgodności z DORA w relacjach kontraktowych.
Dostosowanie dokumentacji do nowych wymagań
Doradcy w kontekście środowiska ICT pomagają przedsiębiorstwom w dostosowaniu się do nowych wymagań DORA poprzez modyfikację strategii, planów reagowania na incydenty oraz innych kluczowych procesów, zapewniając, że są one zgodne z przepisami.
Optymalizacja narzędzi i technologii
Doradcy mogą również wspomagać organizacje w efektywnym wykorzystaniu narzędzi Governance, Risk, and Compliance, a także w implementacji technologii wspierających zgodność z DORA, takich jak systemy monitorowania, testowania odporności czy zarządzania incydentami.
Wdrożenie DORA może być przytłaczającym zadaniem. Z tego powodu warto skorzystać z narzędzi, które poprzez połączenie wielu perspektyw na wdrożenie DORA może ułatwić to zadanie. Właśnie takim narzędziem jest RIG DORA, które pozwala na automatyzację analizy ryzyka, tworzenia planów postępowania zgodnie z rozporządzeniem DORA i wielu innych zagadnień. Pozwala to na oszczędność pracy specjalistów w firmie oraz ułatwienie procesu wdrożenia i utrzymania zgodności z DORA.
W czym zewnętrzny doradca nie pomoże?
Zewnętrzny doradca nie przejmie bezpośredniej odpowiedzialności za skuteczność wdrożenia i realizacji obowiązków DORA. Doradca zewnętrzny może być bardzo pomocny w procesie wdrażania rozporządzenia DORA, tak często obszar jego pracy jest tylko punktowy, odnosi się do danego zagadnienia np. jak zgodność z DORA w zakresie kontraktowym z dostawcami trzecimi. Inny doradca może pomóc poprzez analizę planów ciągłości działania. Ostateczna odpowiedzialność za wdrożenie DORA jest nałożona na zarząd i wskazane przez niego osoby. Z tego powodu podmiot finansowy musi posiadać w swoim zakresie kompetencje i narzędzia, dzięki którym może przy swojej ekspertyzie i pomocy zewnętrznej zapewnić zgodność z rozporządzeniem.
Żeby podejść do zarządzania wdrożeniem DORA holistycznie, warto przyjrzeć się ryzyku w całej organizacji. Zobowiązanie do zarządzania nim przejawia się w każdym aspekcie wymagań DORA. Czy w obszarach dokumentacji zawartej w ramach zarządzania ryzykiem, tworzenia strategii cyber odporności, czy w zakresie monitorowania cyberzagrożeń, wszelkie działania sprowadzają się do cyklicznej analizy ryzyka. Materiał wdrożeniowy w postaci harmonogramu zarządzania ryzykiem może wesprzeć Cię w holistycznym podejściu do wdrożenia DORA.
Cykliczne zadania związane z DORA
Konkretną grupą zadań, które powinny pozostać w kwestii podmiotu finansowego, są wszelkie działania bieżące oraz okresowe. Należy raz w roku lub częściej przeglądać ramy zarządzania ryzykiem ICT. Ramy te muszą być stale ulepszane na podstawie wniosków płynących z wdrożenia i ich monitorowania. W przypadku poważnych incydentów związanych z ICT lub na żądanie właściwego organu, podmiot finansowy musi przedstawić sprawozdanie z przeglądu tych ram. Takie samo zadanie minimum corocznym audytów dotyczy identyfikacji, klasyfikacji i dokumentacji funkcji biznesowych, zasobów informacyjnych i zasobów ICT. Wszelkie istotne zmiany w systemach ICT muszą być odnotowywane w aktualizowanych wykazach, a podmiot finansowy powinien przeprowadzać szczegółową ocenę ryzyka związanego z ICT przynajmniej raz w roku.
W zakresie technologii podmiot finansowy po wdrożeniu planów ciągłości działania powinien je utrzymywać i regularnie testować, szczególnie dla krytycznych lub istotnych funkcji. Testy te należy przeprowadzać co najmniej raz w roku oraz po istotnych zmianach w systemach ICT. Podobnie jest w kontekście procedury tworzenia kopii zapasowych oraz procedury i metody przywracania danych, które należy regularnie testować przy zachowaniu bezpieczeństwa sieci i systemów informatycznych. Dokładnie tak samo jest w kontekście planów wyjścia z usług, które muszą być regularnie testowane i przeglądane. Podmiot finansowy musi również testować swoją operacyjną odporność cyfrową, którą inicjuje co najmniej raz w roku poprzez odpowiednie testy wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje.
Odpowiedzialność za wdrożenie DORA
Ostateczna odpowiedzialność za wdrożenie rozwiązań pozwalających na zapewnienie zgodności z DORA ponosi zarząd podmiotu finansowego, co wynika bezpośrednio z artykułu 5 tego rozporządzenia. Jego podstawowym obowiązkiem jest zarządzanie ryzykiem ICT. Zarząd określa, zatwierdza i nadzoruje wdrażanie wewnętrznych ram zarządzania ryzykiem ICT. Decyduje nie tylko o strategii operacyjnej odporności cyfrowej, lecz także określa tolerancję ryzyka związanego z ICT. Odpowiedzialność ta obejmuje wyznaczanie adekwatnego poziomu akceptowalnego ryzyka, uwzględniając specyfikę danego podmiotu finansowego.
Zarząd zatwierdza i nadzoruje wdrażanie strategii ciągłości działania w zakresie ICT, obejmującej plany reagowania i przywracania sprawności. Dba również o regularne przeglądy i aktualizacje tych planów, zapewniając elastyczność i efektywność w działaniu w przypadku incydentów związanych z ICT. Zarząd w zakresie audytu ICT zatwierdza plany wewnętrznych i zewnętrznych audytów ICT, dbając o ich skuteczną realizację. Regularne przeglądy są kluczowe dla monitorowania postępów i dostosowywania działań zgodnie z aktualnymi potrzebami i zagrożeniami.
Zarząd przydziela wystarczający budżet na zapewnienie operacyjnej odporności cyfrowej, w tym programy szkoleniowe i środki zwiększania świadomości bezpieczeństwa ICT. Zatwierdza on politykę korzystania z usług ICT świadczonych przez zewnętrznych dostawców, dbając o jej regularne przeglądy w celu utrzymania zgodności z aktualnymi wymaganiami i standardami. Jest on też odpowiedzialny za wprowadzenie kanałów zgłoszeń oraz zapewnienie efektywnego monitorowania ustaleń z dostawcami zewnętrznymi, planowanych zmian, incydentów związanych z ICT i środków reagowania. Członkowie zarządu muszą rozwijać swoją wiedzę i umiejętności poprzez regularne uczestnictwo w specjalistycznych szkoleniach, co zapewni im możliwość zrozumienia i skutecznej oceny ryzyka związanego z ICT.
Jak zapewnić zgodność z rozporządzeniem DORA?
Zgodnie z artykułami 24 i 28 DORA kadra kierownicza ds. ICT przedstawia zarządowi co najmniej raz w roku sprawozdanie z ustaleń dotyczących działań z zakresu ICT oraz przedstawia zalecenia mające na celu ciągłe doskonalenie organizacji w kontekście ICT. Podmiot finansowy jako cały prezentuje właściwym organom informacje dotyczące korzystania z usług ICT, dostawców usług ICT, ustaleń umownych oraz obsługiwanych funkcji co najmniej raz w roku.
Utrzymanie ram zarządzania ryzykiem ICT i wszystkich poszczególnych elementów, jak rejestr informacji w odniesieniu do ustaleń umownych z dostawcami zewnętrznymi w zakresie ICT, nie jest łatwym zadaniem. Stałe aktualizowanie ich, testowanie i ulepszanie jest jeszcze trudniejszym zadaniem. Z tego powodu warto skorzystać z dedykowanych narzędzi, które w jednym miejscu mogą zebrać wszystkie informacje, dokumenty i opisy, dzięki czemu testy i aktualizacje będą znacznie łatwiejsze.
