16. Srp 2024

DORA v praxi - díl II.

Technické možnosti a výzvy

Zákon DORA, Digital Operational Resilience Act, se týká společností ve finančním sektoru. Margit Mannová, expertka CIS a odbornice na Business Continuity Management  klade Thomasi Bachnerovi ze společnosti Calpana otázky týkající se zavádění správy IT a řízení rizik v oblasti ICT, včetně praktických tipů.

Při rozšiřování rizikových rámců je z praxe již patrné, že na straně DORA vznikají některé nové požadavky. Kromě analýzy rizik v oblasti ICT je třeba vzít v úvahu také rizika poskytovatelů ICT služeb a rozšíření stávajících rámců rizik. Do jaké míry by zde mohly technické nástroje poskytnout podporu obecně nebo pro analýzy GAP, plánování zdrojů a opatření?

Thomas Bachner: Technické nástroje mohou pomoci zmapovat známá rizika v modelu a identifikovat nová rizika díky průběžnému používání v průběhu analýz. V našem nástroji lze kromě identifikace a hodnocení rizik provést například také analýzu citlivosti za účelem stanovení priorit při plánování opatření s ohledem na zdroje. To dává společnostem přehled o tom, jak může zavedení toho či onoho opatření (opatření) minimalizovat existující riziko „xy“ na přijatelnou úroveň. Průběžné monitorování a zlepšování pomáhá udržovat soulad s předpisy a také sledovat a kontrolovat úroveň bezpečnosti ICT z obchodního hlediska.

Která rizika lze zmapovat?

Thomas Bachner: Rizika lze mapovat na základě ICT aktiv, IT procesů, dodržování norem, standardů a nebezpečí (DORA, ISMS, ISO 27001, BCMS, NIS 2, ...) a projektového řízení. To umožňuje analyzovat všechna organizační, technická aktiva pomocí předem definovaných kontrolních seznamů/dotazníků („Content libraries“ a „Knowledge packs“), které jsou průběžně aktualizovány podle stavu techniky. Kromě změn technických aktiv se zohledňují také organizační, právní a normativní požadavky. Kromě toho jsou pro různé obory vypracovávány a integrovány odpovídající zprávy a přehledy. To umožňuje komplexní přístup k řízení rizik v souladu s DORA, včetně zaznamenávání a řešení incidentů ICT, sledovatelnosti bezpečnostních testů ICT a monitorování centrálních poskytovatelů služeb ICT.

Jaké jsou podle vás největší výzvy? Praxe také ukazuje, že je náročné udržovat přehled o plnění jednotlivých článků a paragrafů, RTS a ITS DORA a sledovat plnění opatření pomocí dashboardů?

Thomas Bachner: Výzvou pro obě strany je určitě zodpovězení otázek: Mohu jako dotčená společnost ve finančním sektoru usměrňovat všechny své poskytovatele ICT služeb s ohledem na požadavky DORA? A mohu nebo musím jako poskytovatel ICT služeb provést změny, abych mohl i nadále poskytovat služby svým zákazníkům, kterých se DORA týká? Díky naší platformě nabízíme řešení pro obě strany, aby bylo vše jasné a spolupráce byla úspěšná i v budoucnu.

Vypracovali jsme katalog požadavků pro jednotlivé kapitoly DORA a začlenili je do naší metodiky. Otázky týkající se dodržování článků jsme tematicky seskupili do modulů. Kromě toho podporujeme také soulad s návrhy regulačních technických norem (Regulatory Technical Standards) a návrhy prováděcích technických norem (Implementing Technical Standards).

A na závěr stručný výhled na to, co podle vás čeká společnosti po skončení období implementace DORA?

Thomas Bachner: Především to bude úkol udržet úroveň, protože bude docházet k neustálým technickým změnám a je třeba zavést nepřetržitý proces průběžného dodržování předpisů, podobně jako v případě ISO 27001. V důsledku toho může být také potřeba stálého zástupce ve společnosti, který bude prosazovat obecné otázky a otázky rozhraní, podobně jako v případě tématu ochrany údajů a pověřenců pro ochranu údajů. V každém případě je DORA průběžný proces, který bude pokračovat i po 17. lednu 2025.

Thomas Bachner

Partner a senior konzultant ve společnosti Calpana business consulting GmbH od konce roku 2019. Expert v oblasti řízení IT rizik (ISMS, ISO 27001, BCM) s více než 10 lety zkušeností s implementací v podnikovém prostředí a jako konzultant v různých odvětvích (maloobchod, IT, finance atd.).

Margit Mann, MSc.

Jako manažerka divize Business Resilience, BCM velké rakouské pojišťovny zná význam vzájemného působení systémů řízení, témat styčných bodů s ISO 22301 a adaptace nových směrnic.

15. Led 2025

ISO 27001- nároky, přínosy

Faktory úspěchu

25. Lis 2024

6 kroků k úspěšné implementaci ISO 42001

Nová norma pro AI

11. Lis 2024

6 výhod certifikace ISO 42001

Nová norma pro AI

05. Lis 2024

Vyšší bezpečnost s ISO 27001

ISO 27001 zvyšuje bezpečnost informací pro 81 % certifikovaných společností

30. Říj 2024

Společnost CIS udělila první certifikát ISO 42001

Novinky z oblasti AI

18. Říj 2024

CIS Compliance Summit 2024: CISO of the Year

Ocenění pro inovátory, kteří dělají kybernetický život bezpečnější a jednodušší

17. Říj 2024

Jaký byl CIS Compliance Summit 2024

Etika AI zajišťuje infrastrukturu v úzké spolupráci se směrnicemi a certifikačními standardy

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

07. Srp 2024

DORA v praxi – díl I.

Správa IT a systém řízení rizik

+420 733 180 494