BANK 2024/11

Raport Specjalny | IT@BANK 2024 – Snowflake | DORA: wyzwania i możliwości stojące przed usługami finansowymi

Rinesh Patel | Snowflake
Raport Specjalny | IT@BANK 2024 – Snowflake | DORA: wyzwania i możliwości stojące przed usługami finansowymi
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Unijne rozporządzenie o cyfrowej odporności operacyjnej (DORA) ma wejść w życie 17 stycznia 2025 r. Celem nowych przepisów jest wzmocnienie odporności instytucji finansowych na incydenty związane z ICT (incydenty obejmujące technologie informacyjno-komunikacyjne) w pięciu kluczowych obszarach: zarządzanie ryzykiem ICT, zarządzanie incydentami związanymi z ICT, testowanie cyfrowej odporności operacyjnej, zarządzanie ryzykiem stron trzecich w zakresie ICT i procedury dotyczące udostępniania informacji. Chociaż DORA jest rozporządzeniem UE, ustanowi wysoki standard odporności operacyjnej i cyberbezpieczeństwa w globalnym ekosystemie finansowym, obejmując także zewnętrznych dostawców usług. W ten sposób wpłynie na przyszłe regulacje na całym świecie.

Rinesh Patel
Rinesh Patel
Global Head of Financial
Services Industry
Snowflake

Dla organizacji z sektora finansowego DORA przyniesie szereg wyzwań, zwłaszcza jeśli chodzi o zasoby i inwestycje, ale stanowić będzie również obietnicę długoterminowych korzyści, w tym tych dotyczących zwiększonej odporności operacyjnej, lepszego zarządzania ryzykiem, nadzoru nad zewnętrznymi dostawcami usług i ujednoliconych przepisów. Przed wdrożeniem nowych regulacji firmy muszą być na bieżąco informowane o konkretnych wymaganiach wynikających z tego aktu prawnego. Oznacza to potrzebę aktywnego dostosowywania praktyk działania, aby jak najlepiej wykorzystać zwiększoną odporność operacyjną w erze cyfrowej.

Droga do wyższej odporności

Jednym z najczęstszych wyzwań są inwestycje niezbędne do pozyskania i szkolenia talentów odpowiedzialnych za umiejętne wprowadzenie w życie nowych wymogów. Dostosowanie się do nich oznacza inwestycje w technologię i zasoby, zwłaszcza w przypadku mniejszych instytucji. Może to również oznaczać, że firmy będą musiały zatrudnić nowych specjalistów lub podnieść kwalifikacje obecnych pracowników, posiadających wiedzę w takich obszarach, jak odporność cybernetyczna i zgodność z przepisami. Pojawią się również bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT, wymagające dodatkowej należytej staranności i potencjalnie wpływające na istniejące partnerstwa. Dodatkowa należyta staranność to tylko jeden z aspektów złożoności DORA, a poruszanie się po nowych przepisach i zapewnienie ich przestrzegania będzie prawdopodobnie czasochłonnym procesem.

Pozytywny efekt nowego rozporządzenia wynika z samego celu, jakim jest zwiększona odporność. Promowanie solidnego i aktywnego podejścia do zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi w instytucjach finansowych może prowadzić do ograniczenia zakłóceń spowodowanych cyberatakami i innymi incydentami, skrócenia czasu odzyskiwania danych oraz zwiększenia zaufania klientów i inwestorów. Akt prawny standaryzuje również wymagania, co pomoże ustanowić spójny zestaw przepisów w całej Unii Europejskiej, ułatwiając ich przestrzeganie przez organizacje działające w różnych krajach wspólnoty. Firmy będą mogły lepiej identyfikować i szybciej zgłaszać zagrożenia oraz wdrażać środki zapobiegawcze, wzmacniając współpracę i dzielenie się wiedzą w branży.

Co ważne, kiedy z jednej strony firmy będą musiały zainwestować czas, zasoby i personel, aby dostosować się do zmian, zwiększony nacisk na bezpieczeństwo powinien być postrzegany jako korzyść dla innowacji. DORA wspiera wspólne podejście do odporności operacyjnej, poprzez nałożenie wymagań wobec różnych interesariuszy w zakresie współpracy i skutecznej wymiany informacji. Oprócz szybkiego reagowania i dzielenia się pojawiającymi się zagrożeniami, wspólne oceny ryzyka i współpraca w zakresie branżowych standardów i wytycznych pomagają budować bezpieczniejsze podstawy dla innowacji. Dzięki temu powstaną niezawodne i godne zaufania platformy do tworzenia nowych produktów i usług.

Współpraca i dialog

Organizacje działające w sektorze usług finansowych powinny przyjąć aktywne, elastyczne i prowadzące do eliminacji ryzyka podejście do DORA, aby zabezpieczyć zgodność z potrzebami biznesowymi. Pierwszym krokiem powinna być analiza luk w przepisach i ocena obecnej sytuacji firmy. W ten sposób można zidentyfikować obszary, w których występują braki. Organizacje muszą również przeprowadzać regularne oceny ryzyka swoich wewnętrznych i najbardziej krytycznych funkcji biznesowych oraz opracowywać plany awaryjne, aby poradzić sobie z wszelkimi potencjalnymi incydentami związanymi z odpornością.

Większość przedsiębiorstw finansowych będzie współpracować z zewnętrznymi dostawcami, ale przed uzgodnieniem partnerstwa należy podjąć określone kroki. Po zidentyfikowaniu dostawcy usług, obowiązkiem organizacji będzie ocena, czy usługodawca spełnia wymogi wynikające z obowiązujących przepisów i upewnienie się, że podejmuje on niezbędne działania, aby skutecznie rozwiązać problemy we wszystkich pięciu filarach DORA. Najbardziej wiarygodni dostawcy usług umożliwią klientom mobilizację danych niemal w nieograniczonej skali, współbieżności (jednoczesne prowadzenie wielu procesów) i wydajności, przy zapewnieniu bezpieczeństwa danych organizacji. DORA stanowi doskonałą okazję dla podmiotów świadczących usługi finansowe do ponownego przemyślenia swoich strategii dotyczących chmury i przetwarzania danych. Zapewniają one, że w razie potrzeby mogą skutecznie przenosić dane i obciążenia między regionami i chmurami, aby uniknąć przestojów lub awarii.

Liderzy organizacji finansowych muszą ściśle współpracować z dostawcami, aby prowadzić otwarty dialog z organami regulacyjnymi, zarówno w UE, jak i w innych regionach. Dialog ten jest pozytywnym krokiem dla branży, co oznacza, że zewnętrzni dostawcy mogą współpracować w celu spełnienia wymagań w solidny, zgodny z przepisami sposób, pracując nad ochroną danych za wszelką cenę. Podejście oparte na współpracy będzie kluczem do wydobycia wartości biznesowej z DORA, a liderzy organizacji finansowych powinni zadbać o wybór dostawców, którzy działają w modelu współodpowiedzialności, oferując cyfrową odporność operacyjną, prywatność i dochowując zobowiązań w zakresie bezpieczeństwa bez uszczerbku dla usług, z których korzystają klienci.

Organizacje finansowe powinny wdrożyć kluczowe postanowienia umowne między nimi a wybranymi zewnętrznymi dostawcami usług przed podpisaniem umowy. Wreszcie, firmy powinny opracować mapę drogową zgodności, która określa priorytety działań, ustala realistyczne ramy czasowe i przydziela zasoby, aby wyprzedzić regulacje, które wejdą w życie już w przyszłym roku.

Gotowi na wyzwania przyszłości

Nadszedł czas, aby wdrożyć nowe środki bezpieczeństwa. Proaktywne działanie zapewni instytucjom finansowym najlepszą pozycję do działania w warunkach nadchodzących zmian. Gdy DORA wejdzie w życie, wszyscy klienci poddani regulacjom będą musieli spełnić wymagania dotyczące zarządzania ryzykiem i testowania. Oznacza to konieczność ustanowienia ram zarządzania ryzykiem ICT – przeprowadzanie regularnych testów penetracyjnych i ocen podatności oraz utrzymywanie kompleksowych planów ciągłości działania w obliczu potencjalnych zakłóceń. Firmy będą również zobowiązane do zgłaszania poważnych incydentów operacyjnych odpowiednim organom w określonych terminach. DORA ma na celu stworzenie bardziej solidnego i odpornego ekosystemu finansowego, wymagając od instytucji finansowych skuteczniejszego zarządzania ryzykiem stron trzecich.

Organizacje finansowe są przyzwyczajone do działania w wysoce regulowanej branży. Wdrożenie DORA wprowadza jednak nowy poziom zgodności, którego należy przestrzegać. Liderzy biznesowi muszą aktywnie odpowiadać na wyzwania, wykorzystując nowe możliwości oferowane przez przepisy oraz przygotować się do działania w nowych warunkach, dzięki bliższej współpracy i wymianie wiedzy w całej branży.

Źródło: Miesięcznik Finansowy BANK