Brusel drží krok: DORA, zákon o digitální provozní odolnosti. Ten ukládá finančním společnostem povinnost přijmout přísnější opatření pro bezpečnost IT. Jak se však tato norma liší od norem ISO/IEC 27001 a NIS-2? Rozhovor s Andre Säckelem, programovým manažerem pro systémy řízení bezpečnosti informací ve společnosti DQS .
Loading...
Rizika třetích stran. Tento zdánlivě těžkopádný termín ze slovníku EU je opět velmi aktuální. Výrobce bezpečnostního softwaru nedávno způsobil nejvýznamnější výpadek IT v historii. Způsobila ho programová chyba v automatické aktualizaci. Pravděpodobně se mnoho IT týmů spoléhalo na bezchybnou aktualizaci a sami ji netestovali - to není dobrý nápad, protože existuje riziko třetí strany.
Zákon o digitální provozní odolnosti (DORA), který v té době vstoupí v platnost, jim mimo jiné ukládá povinnost zohlednit rizika třetích stran. Mezi další ustanovení zákona DORA patří zavedení řízení rizik v oblasti IT, povinnost podávat zprávy a povinnost provádět pravidelné bezpečnostní testy. To má zvýšit kybernetickou bezpečnost ve finančním sektoru.
Od ledna 2025 by zanedbání základních věcí, jako je testování integrace nových verzí ve finančním sektoru, mohlo vést k problémům s úřady.
Ale nemáme snad podobná opatření v NIS-2? A neměly by být společnosti stejně certifikovány podle normy ISO/IEC 27001? Je tedy DORA jen byrokratickou zbytečností?
Tato otázka je pochopitelná, protože všechny tři normy se zavazují k posílení bezpečnosti ICT. Oddělení jednotlivých témat je užitečné.
ISO/IEC 27001, NIS-2 a DORA: podobnosti a rozdíly.
Za prvé, ISO/IEC 27001: Uznávaná norma pro systémy řízení bezpečnosti informací (ISMS) nabízí systematický přístup k řízení bezpečnosti IT. Zahrnuje řízení rizik, dodržování předpisů, ochranu aktiv, efektivní procesy a neustálé zlepšování. Norma ISO, která byla původně dobrovolná, se v důsledku vývoje trhu stala povinnou. Společnosti používají certifikaci podle normy ISO/IEC 27001 jako známku důvěry a důkaz svého úsilí v oblasti bezpečnosti informací. Podnikání bez ní si lze jen těžko představit; absence certifikace je často vyřazujícím kritériem."V Evropě," pokračuje Säckel,"je tomu tak i proto, že směrnice o kybernetické bezpečnosti NIS-2 (Network and Information Security Directive 2) nepřímo vyžaduje certifikaci podle ISO/IEC 27001."
Směrnice NIS-2 totiž definuje společnosti, které patří do kritické infrastruktury a pro které platí mimořádně vysoké standardy kybernetické bezpečnosti. Tyto společnosti musí zavést technická a organizační opatření pro kybernetickou bezpečnost a zabezpečit sítě a systémy podle nejmodernějších standardů. To zahrnuje zavedení odpovídajícího systému řízení a jako ústřední bod povinnost podávání zpráv. Společnosti musí v krátké lhůtě informovat orgány ve své zemi o významných incidentech a jsou vázány krátkými lhůtami. V závislosti na typu organizace a povaze incidentu musí být první oznámení provedeno do 24 hodin nebo dokonce okamžitě."Systémy řízení, ohlašovací povinnosti, nejmodernější stav techniky - to vše najdete také v DORA," komentuje Säckel.
Bezpečnostní zákon EU se však věnuje výhradně finančnímu sektoru a zavádí další předpisy, které jdou nad rámec NIS-2. Jeho podstatou je zajistit, aby finanční instituce a jejich poskytovatelé služeb prvního stupně dokázali odolat kybernetickým útokům a narušením provozu a rychle se z nich zotavit. Aby to společnosti prokázaly, musí například pravidelně přezkoumávat svou bezpečnost, například prostřednictvím cvičení na řešení kybernetických krizí. Kromě toho si je DORA vědoma zásahů orgánů dohledu týkajících se rizik třetích stran: Poskytovatelé IT služeb působící ve finančním sektoru mohou být kontrolováni přímo orgány dohledu (včetně kontrol na místě). Pokud jsou výsledky negativní, mohou orgány dohledu donutit finanční společnosti, aby s poskytovateli služeb přestaly spolupracovat.
Pokud se situace stane vážnou, přijde na řadu německý Spolkový úřad pro informační technologie (BSI).
Poslední bod zdůrazňuje zvláštní povahu DORA: není založen pouze na vlastním hlášení nebo auditech. Přesto je strukturována spíše jako německý obchodní dozorový úřad, který může provádět kontroly podniků na místě. V Německu tuto roli za DORA převezme BaFin a Bundesbank. Závada IT zmíněná na začátku článku, která měla vážné důsledky i v Německu, by mohla být případem, který přivedl BSI na scénu u postižených společností ve finančním sektoru. Podle Säckela však "zatím není jasné, jak by takový audit konkrétně vypadal - úřady se také ještě musí přizpůsobit DORA".
Nový bezpečnostní zákon ukazuje, že řada předpisů EU se řídí vnitřní logikou a neslouží byrokratickému sebemrskačství: čím kritičtější odvětví, tím přísnější pravidla. Podle něj však existuje i dobrá zpráva, protože"finanční společnosti, které již mají certifikaci ISO, jsou ve výborné výchozí pozici".
Mají systém řízení bezpečnosti informací (ISMS) jako pevný základ. DORA tento základ rozšiřuje o specifické požadavky na zlepšení digitální odolnosti.
Stejně jako ISO/IEC 27001 klade DORA velký důraz na správu IT aktiv. Vyžaduje podrobnou dokumentaci a hodnocení všech prostředků IT s cílem určit potřebu jejich ochrany. To je doplněno komplexním řízením rizik, které identifikuje a vyhodnocuje hrozby. DORA také vyžaduje, aby požadavky splňovali externí partneři. Finančním společnostem proto nezbude nic jiného než prověřovat své poskytovatele služeb a vyžadovat od nich prohlášení o shodě.
Zlepšete se, protože kyberzločinci nikdy nespí
V obchodní praxi vede DORA k jasným požadavkům. Finanční společnosti například potřebují opatření pro zálohování a obnovu. Přitom musí zavést procesy, které zajistí integritu a dostupnost záloh. Zvláště důležité je stanovit riziko ztráty dat, tj. potenciální škody způsobené selháním IT a dobu, kterou společnost potřebuje k obnovení běžného provozu."Tyto dva ukazatele pomáhají vytvořit strategii obnovy po havárii."
Jedná se o nejdůležitější součást řízení kontinuity provozu (BCM). Ve finančních společnostech zahrnuje mnohem více než jen obnovu provozu IT. Je proto důležité, aby všechny havarijní plány v rámci BCM byly praktické. Musí být pravidelně revidovány a testovány v rámci havarijních cvičení, aby bylo zajištěno, že budou v případě nouze fungovat. To zahrnuje také testování zálohování a obnovy dat na straně IT. Obojí musí probíhat bez problémů a obnovená data a systémy musí být po zálohování funkční. I to lze provést pouze praktickými testy. Podniky by však měly"upustit od jednorázové implementace DORA & Co. Požadavky EU vyžadují průběžný proces zlepšování".
To dává smysl v dynamické oblasti IT a někdy bouřlivém vývoji v oblasti kybernetické bezpečnosti. Proto je ústřední součástí systému DORA cyklus PDCA (Plan-Do-Check-Act). Vzhledem k dynamické povaze kybernetické kriminality podporuje neustálý vývoj bezpečnostních opatření. Právní povinnosti vyplývající z NIS-2 a DORA zajišťují, aby finanční sektor jako součást kritické infrastruktury dělal vše pro to, aby byl obzvláště bezpečný.
Loading...
André Säckel je od roku 2017 programovým manažerem pro ISMS (systémy řízení bezpečnosti informací) ve společnosti DQS. Tento zkušený odborník na IT a management vystudoval informatiku se zaměřením na matematiku a podnikovou administrativu na TU Bergakademie Freiberg a poté pracoval pět let jako systémový analytik ve společnosti Accenture a jako technický manažer ve společnosti Ajilon v Austrálii. Má rozsáhlé zkušenosti s certifikací systémů řízení a je auditorem norem ISO/IEC 27001 a TISAX.
Tento článek byl poprvé zveřejněn v němčině na www.it-finanzmagazin.de/dora-vs-iso-iec-27001-und-nis-2-drittanbieterrisiko-215736/.