HR SRB MK CG
Poslovna 2025.
Sigurno i stabilno poslovanje

Zašto je Uredba DORA važna za građane

Primjena Uredbe počinje 17. siječnja 2025., a cilj joj je da poslovanje financijskog sektora i pružanje usluga građanima bude sigurno i stabilno u svakom trenutku.

PD VL native tim
04. prosinac 2024. u 22:00
Foto: PIXABAY

Osim u našoj zemlji, gdje imamo vlastitu glazbenu inačicu, DORA je nadaleko popularna kao poznati crtić sa svim izvedenicama: slikovnicama, lutkama, igrama i ostalim maloprodajnim pojavama u masovnoj kulturi.

U financijskom sektoru DORA je danas itekako poznata kao Uredba o digitalnoj operativnoj otpornosti (engl. Digital Operational Resilience Act), a primijeniti je moraju sve regulirane djelatnosti u tom sektoru: banke, pružatelji usluga platnog prometa, izdavatelji i pružatelji usluga kriptovaluta, društva za osiguranje, veliki posrednici u osiguranju, mirovinski i investicijski fondovi, burze i burzovni posrednici – brokeri, središnje druge ugovorne strane na tržištima. Kao posebni obveznici DORA-u moraju primijeniti i pružatelji informatičko-komunikacijskih usluga, posebice kad se radi o najznačajnijima, o kojima ovisi sustav poslovanja najvećih i koji omogućuju poslovanje brojnim financijskim institucijama u više zemalja članica EU-a.

Uredba DORA (EU) 2022/2554 stupila je na snagu 16. siječnja 2023., a primjenjuje se od 17. siječnja 2025. godine. Danas smo, dakle, vrlo blizu početka njezine primjene. Korisno je podsjetiti se da se uredbe u EU-u izravno primjenjuju te za to nije potreban nacionalni zakonodavni postupak kao što je to kod direktiva.

Naš je Sabor, primjerice, u veljači ove godine donio novi Zakon o kibernetičkoj sigurnosti te je upravo završena javna rasprava o Uredbi Vlade, koja dodatno opisuje posebne obveze iz toga Zakona, te se očekuje da će uskoro stupiti na snagu. Na razini EU-a time je u nacionalno zakonodavstvo prenijeta Direktiva (EU) 2022/2555 (NIS2), koja obvezuje niz gospodarskih sektora na uvođenje i pojačavanje postojećih mjera kibernetičke sigurnosti.

DORA prema tome utječe na sposobnost cijele industrije da se bolje nosi sa svim novim rastućim IKT rizicima uz pomoć AI tehnologija, koje nude nove alate i sposobnosti u poslovanju. Jednako tako, AI donosi nove mogućnosti i napadačima.

DORA djeluje izravno, a nakon dvije godine, uz objavu niza dodatnih dokumenata koji su prošli procese javne rasprave i koje je potom objavila Europska komisija, počinje razdoblje u kojem su sve financijske institucije dužne primjenjivati sve mjere i postupke upravljanja kibernetičkom sigurnošću, kako to slobodno svi kažemo. DORA pak kaže “digitalnom operativnom otpornošću” jer je to zapravo cilj: da poslovanje financijskog sektora i pružanje usluga građanima bude sigurno i stabilno u svakom trenutku.

Tako je zapravo DORA dobra stvar za građane. Cilj je dosadašnjih uredbi i direktiva, povijesno promatrano, bila financijska stabilnost sektora, otpornost na krize i promjene u ekonomiji i okolini koje bi mogle dovesti do gubitka imovine građana, tj. potresa koji mogu utjecati na države i skupine građana, primarno ekonomske dimenzije.

DORA uvodi jedinstven regulatorni okvir koji sada od svih financijskih institucija na isti način traži i digitalnu otpornost, osim ekonomske, za dobrobit svih građana EU-a.

Ključna područja DORA-e

Uredba je podijeljena i regulira sljedeća područja:

1. upravljanje IKT rizicima

2. upravljanje rizicima pružatelja IKT usluga

3. testiranje digitalne operativne otpornosti

4. incidenti u području IKT-a

5. razmjena informacija o prijetnjama i IKT incidentima

6. nadzor kritičnih pružatelja IKT usluga.

Upravljanje IKT rizicima

Iako ne predstavlja novu obvezu financijskim institucijama, u Uredbi DORA sada je detaljno razrađena cijela struktura postupaka i područja u kojima je obvezno provjeravati i uspostavljati mjere kojima se IKT rizici ublažuju u skladu s poslovnim profilom te proporcionalno opsegu i vrsti poslovanja, tehnologija i procesa svake tvrtke:

1. IKT sustavi moraju biti podešeni i opremljeni alatima za prevenciju i kontrolu rizika.

2. Kritične poslovne funkcije i sustavi koji ih obrađuju moraju se posebno nadzirati, prepoznati, klasificirati i dokumentirati te trajno pratiti.

3. IKT rizici traže sustav koji od prepoznavanja i analize rizika ciklički uspostavlja proces praćenja i reakcije na promjene u izvorima rizika, kako bi mjere prevencije i zaštite bile u svakom trenutku usklađene s potrebama tvrtke i sposobnosti prihvaćanja određene razine rizika.

4. Tvrtka mora imati razvijene sposobnosti detekcije anomalija u ponašanju u IKT sustavima kako bi prepoznala moguće veće poremećaje, posebno kibernetičke napade.

5. Obvezna je priprema i testiranje cjelovitih planova neprekidnosti poslovanja i njihovo testiranje, barem jednom godišnje.

6. Procesi analize i učenja iz incidenata moraju biti uspostavljeni unaprijed, kako bi tvrtka iz svake situacije incidenta, prijetnje ili napada mogla izvući sve korisne pouke i ugraditi ih u svoje procese rada.

Posebna se pažnja posvećuje obvezama prijave i obrade IKT incidenata:

– Uspostavljaju se procesi utvrđivanja utjecaja na poslovanje i evidencije te posebice prijave samog incidenta nacionalnim nadzornim tijelima i nadzornim tijelima EU-a, prema vrlo preciznim kriterijima.

– Financijska institucija time će biti obvezna u kratkom roku neposredno nakon otkrivanja prijaviti da se incident dogodio ili je u tijeku, kao i dostaviti prijelazna izvješća tijekom rješavanja samog incidenta, npr. složenog kibernetičkog napada, koji od otkrivanja do trenutka vraćanja redovnih funkcija može trajati danima i tjednima.

– Na kraju se podnosi završno izvješće koje daje punu sliku o utjecaju na poslovanje i broj klijenata, troškovima i gubicima u poslovanju te utvrđenim novim saznanjima i poukama.

Procesi koje DORA uvodi provodit će se korištenjem predviđenih obrazaca te će na razini EU-a, kao i na nacionalnoj razini, biti moguće usporediti niz podataka o karakteristikama incidenata.

U našoj će zemlji usklađivanjem nacionalne strategije već od ranije uspostavljena platforma za prijavu kibernetičkih incidenata u CARNET-ovu sektoru CERT (engl. Computer Emergency Response Team), poznata pod nazivom PIXY, biti usklađena za primanje i praćenje incidenata i za DORA-u, kao i za obveznike našeg novog Zakona o kibernetičkoj sigurnosti.

Testiranje

Sve te mjere koje DORA uvodi ne bi bile potpune bez testiranja. Planiranje kontinuiteta poslovanja (engl. business continuity) i procjena prioriteta u većem dijelu financijske industrije već su od ranije bili dio regulatornog okvira npr. banaka, kao i društava za osiguranje. Ti su se planovi povezivali i prema poslovnim prioritetima stvarali su se planovi oporavka od katastrofa (engl. disaster recovery), koje se testiralo i čija se stvarna kvaliteta provjeravala, kako BCM tako i DR planova.

Kibernetički incidenti donose nove izazove te je razine utjecaja sada potrebno sagledati u odnosu na kibernetičke rizike – scenarije utjecaja koji mogu biti velikog stupnja, a pritom ne i katastrofalni, kako je do sada BCM/DR opseg podrazumijevao.

DORA stoga traži razradu godišnjeg plana testiranja u skladu s procjenom značajnosti i profilom svake tvrtke – koji su sustavi, mjere i alati potrebni da bi otpornost na incidente bila na zadovoljavajućoj razini za poslovni okvir koji je uprava te tvrtke ocijenila dostatnim.

Kroz testiranje se otkrivaju slabosti i ranjivosti sustava te spremnost organizacije da se suoči s incidentom i odgovori adekvatnim mjerama, ublaži moguću štetu i vrati poslovanje u redovni ritam. Jedan od uobičajenih alata za takve testove jesu i vježbe odgovora na incident. Hanfa je nedavno provela takvu vježbu za 11 odabranih financijskih institucija značajnih po svojem položaju i utjecaju na tržište financijskih usluga.

Vježba je pripremljena kreiranjem scenarija zamišljenog incidenta, koji kroz nekoliko faza tvrtku stavlja u situaciju u kojoj se može naći u realnim uvjetima. Za sudjelovanje u vježbi organizirana je pripremna edukacija, tijekom koje su svi sudionici, predstavnici 11 financijskih institucija koje nadzire Hanfa, naučili kako će koristiti platformu za vježbu preko koje se odvijala komunikacija s Hanfom.

Na dan vježbe u isto je vrijeme svima dostavljena informacija o vrsti incidenta, prema kojoj su tvrtke morale same za svoje poslovne procese i organizaciju rada, od ključnih IT stručnjaka do članova i predsjednika uprava, donositi odluke kako bi postupali u slučaju pojedinih konkretnih aktivnosti koje se mogu predvidjeti u tijeku incidenta.

Do kraja dana sve su etape odvijanja incidenta završile. Dostavljanjem prvog izvješća tvrtke su imale priliku sagledati svoje realne sposobnosti organizacije i odgovora, a u idućim su danima obavile temeljitu analizu i uočile područja gdje postoji prostor za napredak te prema tome dalje dorađuju planove rada.

Na nedavnoj konferenciji Hanfe na tu je temu britanski konzultantski tim tvrtke Thomas Murray Cyber održao prezentaciju analize trendova IKT rizika te prikazao zanimljiv pogled na utjecaj AI-ja.

Iz prikaza vidimo da je u vremenu prije ChatGPT-ja grupa APT napadača, kako nazivamo državno sponzorirane napade (engl. Advanced Persistent Threat), kao najteži oblik napada zauzimala manji dio, kao i organizirani kiberkriminal. Većinu su napada činili ipak blaži oblici napada, tzv. “hacktivisti”, pojedinci i amateri koji poznavanjem tehnologije ostvaruju uspješne napade manje težine.

Nakon dolaska ChatGPT-ja značajno su porasli udjeli najgorih vrsta napada u odnosu na blaže. Stoga nam DORA svima koristi jer kao temeljiti okvir za upravljanje rizicima prati razvoj tehnologije svojim procesima odgovora na izazove te od financijskih institucija traži stalnu spremnost na kibernetičke izazove i redovno praćenje i unaprjeđivanje njihovih sposobnosti na odgovore.

* Sadržaj omogućila HANFA

DORA
HANFA
kibernetička sigurnost
Poslovna 2025.
Zakon o kibernetičkoj sigurnosti

New Report

Close