Risiko pihak ketiga - keamanan yang lebih baik atau hanya lebih banyak birokrasi?

Namun, bukankah kita memiliki langkah-langkah serupa di NIS-2? Dan bukankah perusahaan harus memiliki sertifikasi ISO/IEC 27001? Jadi, apakah DORA hanyalah birokrasi yang berlebihan?

Pertanyaan ini bisa dimengerti, karena ketiga standar tersebut berkomitmen untuk memperkuat keamanan TI. Memisahkan berbagai topik akan sangat membantu.

ISO/IEC 27001, NIS-2 dan DORA: persamaan dan perbedaan.

Pertama, ISO/IEC 27001: Standar yang diakui untuk sistem manajemen keamanan informasi (ISMS) menawarkan pendekatan sistematis untuk pengelolaan keamanan TI. Ini termasuk manajemen risiko, kepatuhan, perlindungan aset, proses yang efisien, dan peningkatan berkelanjutan. Standar ISO, yang pada awalnya bersifat sukarela, telah menjadi wajib karena perkembangan pasar. Perusahaan menggunakan sertifikasi ISO/IEC 27001 sebagai tanda kepercayaan dan bukti upaya mereka di bidang keamanan informasi. Sulit membayangkan bisnis tanpa sertifikasi ini; kurangnya sertifikasi sering kali menjadi kriteria gugur."Di Eropa," lanjut Säckel,"hal ini juga dikarenakan arahan keamanan cyber NIS-2 (Network and Information Security Directive 2) secara implisit mensyaratkan sertifikasi sesuai dengan ISO/IEC 27001."

Hal ini dikarenakan NIS-2 mendefinisikan perusahaan yang termasuk dalam infrastruktur kritis dan yang menerapkan standar keamanan siber yang sangat tinggi. Perusahaan yang bersangkutan harus menerapkan langkah-langkah teknis dan organisasi untuk keamanan siber serta mengamankan jaringan dan sistem sesuai dengan standar canggih. Hal ini termasuk memperkenalkan sistem manajemen yang sesuai dan, sebagai poin utama, kewajiban pelaporan. Perusahaan harus memberi tahu pihak berwenang di negara mereka tentang insiden yang signifikan dalam waktu singkat dan terikat oleh tenggat waktu yang singkat. Bergantung pada jenis organisasi dan sifat insiden, pemberitahuan awal harus dilakukan dalam waktu 24 jam atau bahkan segera."Sistem manajemen, kewajiban pelaporan, teknologi mutakhir - semua ini juga terdapat di DORA", komentar Säckel.

Namun, Undang-Undang Keamanan Uni Eropa didedikasikan secara eksklusif untuk sektor keuangan dan memperkenalkan peraturan tambahan yang melampaui NIS-2. Pada intinya, ini adalah tentang memastikan bahwa lembaga keuangan dan penyedia layanan Tingkat 1 mereka dapat bertahan dan dengan cepat pulih dari serangan siber dan gangguan bisnis. Untuk menunjukkan hal ini, perusahaan diharuskan, misalnya, untuk meninjau keamanan mereka secara teratur, misalnya, melalui latihan krisis siber. Selain itu, DORA menyadari adanya intervensi dari otoritas pengawas terkait risiko pihak ketiga: Penyedia layanan TI yang beroperasi di sektor keuangan dapat diperiksa secara langsung oleh otoritas pengawas (termasuk di tempat). Jika hasilnya negatif, otoritas pengawas dapat memaksa perusahaan keuangan untuk berhenti bekerja sama dengan penyedia layanan.

Jika keadaan menjadi serius, Kantor Federal Jerman untuk Teknologi Keamanan Informasi (BSI) akan menghubungi.

Poin terakhir menyoroti sifat khusus dari DORA: DORA tidak hanya didasarkan pada pelaporan mandiri atau audit. Namun, DORA terstruktur lebih mirip dengan otoritas pengawas perdagangan Jerman, yang dapat memeriksa perusahaan di tempat. Di Jerman, BaFin dan Bundesbank akan mengambil peran ini untuk DORA. Kesalahan TI yang disebutkan di awal artikel, yang juga memiliki konsekuensi serius di Jerman, dapat menjadi kasus yang membawa BSI ke dalam gambar pada perusahaan yang terkena dampak di sektor keuangan. Namun, menurut Säckel, "masih belum jelas seperti apa bentuk audit tersebut secara konkret - pihak berwenang juga masih harus beradaptasi dengan DORA."

Undang-Undang Keamanan yang baru menunjukkan bahwa banyak peraturan Uni Eropa mengikuti logika internal dan tidak melayani egoisme birokrasi: semakin kritis industri, semakin ketat aturannya. Tetapi ada kabar baik, katanya, karena"perusahaan keuangan yang sudah bersertifikasi ISO berada di posisi awal yang sangat baik."

Mereka memiliki sistem manajemen keamanan informasi (ISMS) sebagai dasar yang kuat. DORA memperluas dasar ini dengan memasukkan persyaratan khusus untuk meningkatkan ketahanan digital.

Seperti ISO/IEC 27001, DORA sangat menekankan manajemen aset TI. Hal ini membutuhkan dokumentasi dan evaluasi yang terperinci dari semua sumber daya TI untuk menentukan kebutuhan mereka akan perlindungan. Hal ini dilengkapi dengan manajemen risiko komprehensif yang mengidentifikasi dan menilai ancaman. DORA juga mengharuskan mitra eksternal untuk memenuhi persyaratan. Oleh karena itu, perusahaan keuangan tidak punya pilihan selain memeriksa penyedia layanan mereka dan meminta pernyataan kesesuaian dari mereka.

Menjadi lebih baik, karena penjahat siber tidak pernah tidur

Dalam praktik bisnis, DORA mengarah pada persyaratan yang jelas. Misalnya, perusahaan keuangan membutuhkan tindakan pencegahan untuk pencadangan dan pemulihan. Dengan demikian, mereka harus menerapkan proses yang memastikan integritas dan ketersediaan cadangan. Hal ini sangat penting untuk menentukan risiko kehilangan data, yaitu potensi kerusakan yang disebabkan oleh kegagalan TI dan waktu yang dibutuhkan perusahaan untuk melanjutkan operasi normal."Kedua metrik ini membantu mengembangkan strategi pemulihan bencana."

Ini adalah komponen terpenting dari manajemen keberlangsungan bisnis (BCM). Dalam perusahaan keuangan, hal ini mencakup lebih dari sekadar pemulihan operasi TI. Oleh karena itu, penting agar semua rencana darurat dalam kerangka BCM bersifat praktis. Rencana-rencana tersebut harus ditinjau dan diuji secara teratur dalam latihan darurat untuk memastikan rencana-rencana tersebut berfungsi dalam keadaan darurat. Hal ini juga mencakup pengujian terhadap pencadangan dan pemulihan data di sisi TI. Keduanya harus berjalan dengan lancar, dan data serta sistem yang dipulihkan harus berfungsi setelah pencadangan. Hal ini pun hanya bisa dilakukan dengan uji coba. Namun, perusahaan harus"menahan diri untuk tidak menerapkan DORA & Co. dalam satu langkah. Persyaratan Uni Eropa mengharuskan adanya proses perbaikan yang berkelanjutan."

Hal ini masuk akal dalam bidang TI yang dinamis dan perkembangan keamanan siber yang terkadang penuh badai. Oleh karena itu, siklus PDCA (Plan-Do-Check-Act) merupakan komponen utama DORA. Mengingat sifat dinamis dari kejahatan siber, siklus ini mendorong pengembangan langkah-langkah keamanan yang berkelanjutan. Kewajiban hukum di bawah NIS-2 dan DORA memastikan bahwa sektor keuangan, sebagai bagian dari infrastruktur penting, melakukan semua yang dapat dilakukan untuk menjadi sangat aman.