Brisel drži korak: DORA, Zakon o digitalnoj operativnoj otpornosti. To obavezuje finansijske kompanije da preduzmu jače mjere za IT sigurnost. Ali po čemu se ovaj standard razlikuje od ISO/IEC 27001 i NIS-2? Intervju sa Andreom Säckelom, programskim menadžerom za sisteme upravljanja sigurnošću informacija u DQS.
Loading...
Rizik treće strane. Ovaj naizgled nezgrapni termin iz EU vokabulara ponovo je veoma aktuelan. Proizvođač sigurnosnog softvera je nedavno izazvao najznačajniji IT prekid u historiji. To je uzrokovano programskom greškom u automatskom ažuriranju. Pretpostavlja se da su se mnogi IT timovi oslanjali na ažuriranje bez grešaka i nisu ga sami testirali - nije dobra ideja, jer postoji rizik od treće strane.
Zakon o digitalnoj operativnoj otpornosti (DORA), koji će tada stupiti na snagu, obavezuje ih, između ostalog, da uzmu u obzir rizike trećih strana. Ostale odredbe DORA-e uključuju uvođenje IT upravljanja rizikom, obavezu izvještavanja i obavezu provođenja redovnih sigurnosnih testova. Ovo ima za cilj povećanje sajber sigurnosti u finansijskom sektoru.
Od januara 2025. zanemarivanje osnova kao što je testiranje integracije novih izdanja u finansijskom sektoru moglo bi dovesti do problema s vlastima.
Ali zar slične mjere nemamo u NIS-2? I zar kompanije ionako ne bi trebale biti certificirane prema ISO/IEC 27001? Dakle, da li je DORA samo birokratsko pretjerivanje?
Pitanje je razumljivo, jer su tri standarda posvećena jačanju IKT sigurnosti. Razdvajanje različitih tema je od pomoći.
ISO/IEC 27001, NIS-2 i DORA: sličnosti i razlike
Prvo, ISO/IEC 27001: Priznati standard za sisteme upravljanja sigurnošću informacija (ISMS) nudi sistematski pristup upravljanju IT sigurnošću. Ovo uključuje upravljanje rizikom, usklađenost, zaštitu imovine, efikasne procese i kontinuirano poboljšanje. ISO standard, koji je u početku bio dobrovoljan, postao je obavezan zbog razvoja tržišta. Kompanije koriste certifikaciju prema ISO/IEC 27001 kao znak povjerenja i dokaz svojih napora u oblasti informacione sigurnosti. Teško je zamisliti posao bez njega; nedostatak certifikata je često kriterij za izbacivanje. „U Evropi“, nastavlja Säckel, „to je također zato što direktiva o sajber sigurnosti NIS-2 (Direktiva o sigurnosti mreže i informacija 2) implicitno zahtjeva certifikaciju u skladu sa ISO/IEC 27001.“
To je zato što NIS-2 definiše kompanije koje pripadaju kritičnoj infrastrukturi i za koje važe izuzetno visoki standardi sajber sigurnosti. Kompanije u pitanju moraju implementirati tehničke i organizacione mjere za sajber sigurnost i sigurne mreže i sisteme u skladu sa najsavremenijim standardima. Ovo uključuje uvođenje odgovarajućeg sistema upravljanja i, kao centralne tačke, obavezu izvještavanja. Kompanije moraju da obavijeste vlasti u svojoj zemlji o značajnim incidentima u kratkom roku i obavezuju ih kratki rokovi. U zavisnosti od vrste organizacije i prirode incidenta, prvo obavještenje mora biti učinjeno u roku od 24 sata ili čak odmah. „Sistemi upravljanja, obaveze izvještavanja, najsavremenije — sve se to nalazi iu DORA-i“, komentira Säckel.
Međutim, Zakon o sigurnosti EU posvećen je isključivo finansijskom sektoru i uvodi dodatne propise koji prevazilaze NIS-2. U svojoj suštini, radi se o tome da se osigura da finansijske institucije i njihovi pružaoci usluga Nivoa 1 mogu izdržati i brzo se oporaviti od sajber napada i prekida poslovanja. Da bi se to pokazalo, od kompanija se traži, na primjer, da redovno provjeravaju svoju sigurnost, na primjer, kroz vježbe iz sajber krize. Pored toga, DORA je svjesna intervencije nadzornih tijela u vezi sa rizikom trećih strana: pružaoce IT usluga koji posluju u finansijskom sektoru mogu direktno kontrolisati nadzorni organi (uključujući i na licu mjesta). Ako su rezultati negativni, nadzorna tijela mogu prisiliti finansijske kompanije da prestanu sarađivati sa pružaocima usluga.
Ako stvari postanu ozbiljne, javit će se njemački savezni ured za informacijsku sigurnosnu tehnologiju (BSI).
Posljednja tačka naglašava posebnu prirodu DORE: ne zasniva se samo na samoizvještavanju ili auditu. Ipak, strukturiran je više kao njemačko tijelo za nadzor trgovine, koje može vršiti inspekciju kompanija na licu mjesta. U Njemačkoj, BaFin i Bundesbank će preuzeti ovu ulogu za DORA. IT kvar spomenut na početku članka, koji je također imao ozbiljne posljedice u Njemačkoj, mogao bi biti slučaj koji je doveo BSI u sliku pogođenih kompanija u finansijskom sektoru. Međutim, prema riječima Säckela, "još uvijek je nejasno kako bi takav audit konkretno izgledao – vlasti se također moraju prilagoditi DORA-i".
Novi Zakon o sigurnosti pokazuje da mnogi propisi EU slijede unutrašnju logiku i ne služe birokratskoj samozadubljenosti: što je industrija kritičnija, to su pravila strožija. Ali ima dobrih vijesti, kaže on, jer su "finansijske kompanije koje su već certificirane prema ISO u odličnoj početnoj poziciji."
Imaju sistem upravljanja sigurnošću informacija (ISMS) kao solidnu osnovu. DORA proširuje ovu osnovu i uključuje specifične zahtjeve za poboljšanje digitalne otpornosti.
Kao i ISO/IEC 27001, DORA snažno naglašava upravljanje IT imovinom. Zahtijeva detaljnu dokumentaciju i procjenu svih IT resursa kako bi se utvrdila njihova potreba za zaštitom. Ovo je dopunjeno sveobuhvatnim upravljanjem rizicima koje identificira i procjenjuje prijetnje. DORA takođet zahtijeva spoljne partnere da ispune zahtjeve. Stoga finansijske kompanije neće imati izbora nego da provjere svoje pružaoce usluga i od njih zahtijevaju izjave o usklađenosti.
Oporavite se, jer sajber kriminalci nikad ne spavaju
U poslovnoj praksi DORA dovodi do jasnih zahtjeva. Na primjer, finansijskim kompanijama su potrebne mjere opreza za sigurnosno kopiranje i vraćanje. Pri tome moraju implementirati procese koji osiguravaju integritet i dostupnost rezervnih kopija. Posebno je važno utvrditi rizik od gubitka podataka, odnosno potencijalnu štetu uzrokovanu IT kvarom i vrijeme koje je kompaniji potrebno za nastavak normalnog rada. "Ova dva pokazatelja pomažu u razvoju strategije oporavka od katastrofe."
Ovo je najvažnija komponenta upravljanja kontinuitetom poslovanja (BCM). U finansijskim kompanijama on obuhvata mnogo više od oporavka IT poslovanja. Stoga je važno da svi planovi za vanredne situacije u okviru BCM-a budu praktični. Moraju se redovno pregledavati i testirati na vježbama za hitne slučajeve kako bi se osiguralo da rade u hitnim slučajevima. Ovo također uključuje test sigurnosne kopije i oporavka podataka na IT strani. Oba moraju raditi neometano, a oporavljeni podaci i sistemi moraju biti funkcionalni nakon izrade sigurnosne kopije. To se također može učiniti samo praktičnim testovima. Kompanije bi, međutim, trebale da se "uzdrže od implementacije DORA & Co. u jednom koraku. Zahtjevi EU zahtijevaju kontinuirani proces poboljšanja."
Ovo ima smisla u dinamičnom polju IT-a i ponekad burnom razvoju sajber sigurnosti. Stoga je PDCA ciklus (Plan-Do-Check-Act) centralna komponenta DORA-e. S obzirom na dinamičnu prirodu sajber kriminala, promoviše kontinuirani razvoj mjera sigurnosti. Zakonske obaveze NIS-2 i DORA obezbjeđuju da finansijski sektor, kao dio kritične infrastrukture, čini sve što može da bude posebno siguran.
Loading...
André Säckel je programski menadžer za ISMS (sisteme upravljanja sigurnošću informacija) u DQS-u od 2017. Iskusni stručnjak za IT i menadžment studirao je računarstvo s fokusom na matematiku i poslovnu administraciju na TU Bergakademie Freiberg, a zatim je radio pet godina kao sistem analitičar u Accentureu i kao tehnički menadžer u Ajilonu u Australiji. Ima veliko iskustvo u certifikaciji sistema upravljanja i auditor je za standarde ISO/IEC 27001 i TISAX.
Ovaj članak je prvi put objavljen na njemačkom jeziku www.it-finanzmagazin.de/dora-vs-iso-iec-27001-und-nis-2-drittanbieterrisiko-215736/