Utrzymanie zgodności z DORA, RTS i ITS wymaga systematycznego podejścia do zarządzania ryzykiem ICT, incydentami, testowania odporności operacyjnej oraz nadzoru nad dostawcami. Poniżej przedstawiamy praktyczne wskazówki w 7 charakterystycznych dla DORA, kluczowych obszarach, które pomogą przygotować organizację na bieżące wyzwania.
Zarządzanie ryzykiem ICT dla utrzymania zgodności DORA
– Należy utrzymywać i regularnie aktualizować polityki, role, KRI/KPI, apetyt na ryzyko, inwentarze aktywów, mapy funkcji krytycznych/istotnych oraz rejestr podatności. Przegląd warto przeprowadzić minimum raz na kwartał i przekazać raport po przeglądzie do Zarządu.
– Warto zapewnić ciągłe monitorowanie i logowanie, przeprowadzać testowanie kopii zapasowych/odtwarzania (BCP/DR) oraz prowadzić zarządzanie zmianą i patchami. Wszystko zgodnie z przyjętymi politykami i procedurami.
Incydenty ICT – klasyfikacja, rejestr, raportowanie
– Należy stosować jednolite kryteria klasyfikacji, w szczególności dla „poważnych incydentów związanych z ICT”, oraz stosować jednolite progi istotności incydentów.
– Należy prowadzić wewnętrzny rejestr incydentów i zagrożeń.
– Raportowanie do właściwego organu zgodnie z określonym zakresem i terminami:
– Wstępne zgłoszenie: w ciągu 4 h od klasyfikacji incydentu / nie później niż 24 h od wykrycia,
– Raport pośredni: do 72 h,
– Raport końcowy: do 1 miesiąca.
– W Polsce korzystaj z kanałów UKNF (System Sprawozdawczości DORA, system zgłaszania incydentów; CSIRT KNF jako kanał operacyjny). UKNF wymaga identyfikacji LEI w raportach.
Testowanie odporności operacyjnej
– Należy mieć opracowany program testów oraz coroczny plan testów obejmujący m.in. skany, testy scenariuszowe, testy wydajności i testy odtwarzania. Posiadać udokumentowane wyniki i działania korygujące.
– TLPT – jeśli instytucja zostanie wytypowana: co najmniej raz na 3 lata należy przeprowadzić i udokumentować wyniki takich testów.
Dostawcy ICT i podwykonawstwo
– Stosuj odpowiednią politykę do umów na usługi ICT wspierające funkcje krytyczne/istotne (wymogi minimalne co do treści, zapewnienie rozliczalności, prawo do audytu, dostęp do danych/logów, opis transferu danych w procesie zakończenia usługi, bezpieczeństwo w łańcuchu podwykonawców).
– Przegląd portfela umów: kwartalnie (ryzyko koncentracji i zmiany podwykonawców), przegląd klauzul umownych: co najmniej rocznie lub przy odnowieniu umowy.
– Należy prowadzić rejestr umów ICT i monitorować status „krytycznych dostawców ICT”, w tym stosowanie due diligence w doborze i nadzorze dostawców.
Ład i nadzór (governance)
– Należy przeprowadzać kwartalne przeglądy ryzyka, status i postęp remediacji, analizować wyniki testów, statusy incydentów oraz ekspozycję na ryzyko stron trzecich.
– Utrzymywanie i budowanie kompetencji: posiadać udokumentowany roczny plan szkoleń dla zarządu i kluczowych funkcji oraz przeprowadzać szkolenia zgodnie z planem.
– Należy przeprowadzać audyty wewnętrzne: cykl 1–3 lata dla kluczowych obszarów DORA.
Wymiana informacji o zagrożeniach
– Rozważ udział w dobrowolnym dzieleniu się informacjami (np. ISAC/FS-ISAC, CSIRT) z zapewnieniem zgodności z tajemnicą przedsiębiorstwa, obowiązkami zawodowymi, RODO oraz regulacjami wewnętrznymi i prawnymi.
Na co teraz szczególnie uważać
– Nowe terminy i formaty raportowania incydentów – synchronizacja playbooków i narzędzi.
– RTS TLPT – jeśli otrzymasz notyfikację od organu TLPT, uruchom przygotowanie zgodnie z RTS.
– Rejestr informacji o umowach ICT – trzymaj komplet danych wg art. 28 i monitoruj ogłoszenia KE/ESAs oraz UKNF.
– Monitoruj zmiany RTS, ITS i informacje z UKNF.
Podsumowanie
Utrzymanie zgodności z DORA, RTS i ITS wymaga systematycznego podejścia w zakresie zarządzania ryzykiem ICT, incydentów, testowania odporności oraz nadzoru nad dostawcami. Regularne przeglądy, aktualizacja procedur oraz monitorowanie zmian w regulacjach to klucz do utrzymania zgodności i bezpieczeństwa operacyjnego.
Masz pytania dotyczące wdrożenia DORA w Twojej organizacji?