DORA v praxi - díl I.
Správa IT a systém řízení rizik
Zákon DORA, Digital Operational Resilience Act, se týká společností ve finančním sektoru. V této odborné diskusi klade Margit Mannová, expertka CIS a odbornice na Business Continuity Management Thomasi Bachnerovi ze společnosti Calpana otázky týkající se zavádění správy IT a řízení rizik v oblasti ICT a praktických tipů, jak je lze podpořit technickými nástroji.
V případě DORA zbývá v současné době do zavedení nařízení necelých šest měsíců. Ačkoli lze předpokládat, že společnosti již nějakou dobu na DORA plošně pracují, jaké by bylo vaše doporučení ohledně obecného přístupu?
Thomas Bachner: V první řadě je třeba si zodpovědět zda jsou ve vaší společnosti k dispozici odborné znalosti a potřebné zdroje pro implementaci, aby se tak optimalizovaly výdaje. V každém případě vyhodnocení a využití stávajících informací a osvědčených postupů s cílem doplnit nebo zlepšit stávající řízení a již zavedené modely řízení v souladu s DORA.
Jaký přístup lze podle vašich zkušeností zvolit k posouzení současného stavu v oblasti řízení/rizika informačních a komunikačních technologií, aby bylo možné rozpoznat případné nedostatky nebo nezbytná opatření?
Thomas Bachner: Pokud se společnosti týká DORA, je prvním krokem provedení komplexní analýzy GAP pro jednotlivé články, včetně RTS a IST, s prvotním odhadem zdrojů a formulací opatření k vyřešení GAP. Na základě toho je druhým krokem provedení co nejlepšího plánování zdrojů a plánování realizace opatření s akčními plány, jakož i vymezení odpovědností a harmonogramu realizace.
Jaké jsou podle vás obecné body, které je třeba zvážit?
Thomas Bachner: V oblasti řízení samozřejmě doplnění rámce řízení rizik o požadavky na řízení rizik v oblasti ICT. To zahrnuje například úvahy o vytvoření doplňujícího a komplexního rámce pro řízení rizik ICT, který zahrnuje také strategie, směrnice a politiky a zaznamenané postupy a nástroje. Je také nutné klasifikovat rizika ICT a začlenit jejich přezkum do ročního cyklu. Praxe ukazuje, že k implementaci požadavků DORA ve společnosti je zapotřebí funkční ISMS (systém řízení bezpečnosti informací) podle normy ISO 27001. Existuje také řada styčných témat, jako je kontinuita podnikání podle normy ISO 22301.
Jak mohou společnosti využít stávající synergie?
Thomas Bachner: Měli by se zeptat, zda již existují zavedené osvědčené postupy, které mohou pomoci při implementaci. Aby se zabránilo izolovanému uvažování a vytvořily se potřebné synergie, je nutné silné odhodlání nejvyššího vedení. To je důležité i proto, že v průběhu DORA je třeba formulovat nové role a strategie, problémy jsou někdy napříč odděleními nebo funkcemi a především je velmi důležitá proaktivní spolupráce.
Thomas Bachner
Partner a senior konzultant ve společnosti Calpana business consulting GmbH od konce roku 2019. Expert v oblasti řízení IT rizik (ISMS, ISO 27001, BCM) s více než 10 lety zkušeností s implementací v podnikovém prostředí a jako konzultant v různých odvětvích (maloobchod, IT, finance atd.).
Margit Mann, MSc.
Jako manažerka divize Business Resilience, BCM velké rakouské pojišťovny zná význam vzájemného působení systémů řízení, témat styčných bodů s ISO 22301 a adaptace nových směrnic.
Další materiály k prostudování:
- Zákon o digitální provozní odolnosti
- Consultation on the first batch of Digital Operational Resilience Act (DORA) policy products
- ESAs joint consultation on second batch of policy mandates under the Digital Operational Resilience Act
Jsou pro Vás naše postřehy přínosné? Zaregistrujte se a odebírejte zdarma náš pravidelný newsletter!