W obrębie pierwszego filaru DORA art. 9, 10 i 11 rozporządzenia 2022/2554 tworzą logiczny ciąg trzech etapów: chronimy, wykrywamy zdarzenie, reagujemy i przywracamy sprawność. W ten sposób ramy zarządzania ryzykiem ICT przekładają się na konkretne, codzienne procesy operacyjne w organizacji. Po identyfikacji zasobów ICT (art. 8) jest to drugi blok wdrożeniowy, na który warto poświęcić poważną uwagę. Materia pokrywa się również z wymogami cyberbezpieczeństwa pod KSC/NIS2.

Co regulują art. 9–11 DORA?

Art. 9–11 DORA tworzą cykl operacyjny ochrony ICT — od polityki bezpieczeństwa, przez detekcję, po strategię ciągłości działania.

Art. 9 DORA — Ochrona i zapobieganie
Określa, jakie polityki, procedury i narzędzia podmiot finansowy musi wdrożyć, aby zapobiegać incydentom ICT.
Art. 10 DORA — Wykrywanie
Wymaga mechanizmów szybkiego wykrywania nietypowych działań i incydentów, z automatycznymi alertami i progami alarmowymi.
Art. 11 DORA — Reagowanie i przywracanie sprawności
Reguluje strategię ciągłości działania w zakresie ICT i plany reagowania.

Co dokładnie reguluje art. 9 DORA — ochrona?

Art. 9 DORA wymaga stałego monitorowania bezpieczeństwa systemów ICT oraz wdrożenia polityki bezpieczeństwa informacji, kontroli dostępu i zarządzania siecią.

Zgodnie z art. 9 ust. 1 DORA: „Na potrzeby odpowiedniej ochrony systemów ICT oraz w celu organizacji środków reagowania podmioty finansowe stale monitorują i kontrolują bezpieczeństwo i funkcjonowanie systemów i narzędzi ICT oraz minimalizują wpływ ryzyka związanego z ICT na systemy ICT, wdrażając odpowiednie narzędzia, polityki i procedury w zakresie bezpieczeństwa ICT".

Zgodnie z art. 9 ust. 4 DORA, w kontekście ram zarządzania ryzykiem ICT podmioty finansowe m.in.:

  • „opracowują i dokumentują politykę bezpieczeństwa informacji" (lit. a).
  • „zgodnie z podejściem opartym na analizie ryzyka ustalają należyte zarządzanie siecią i infrastrukturą" (lit. b).
  • „wdrażają polityki ograniczające fizyczny lub logiczny dostęp do zasobów informacyjnych i zasobów ICT" (lit. c).

Co reguluje art. 10 DORA — wykrywanie?

Art. 10 DORA wymaga mechanizmów szybkiego wykrywania nietypowych działań ICT z automatycznymi alertami, progami alarmowymi i regularnym testowaniem zgodnie z art. 25 DORA.

Zgodnie z art. 10 ust. 1 DORA: „Podmioty finansowe dysponują mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, zgodnie z art. 17, w tym problemów związanych z wydajnością sieci ICT i incydentów związanych z ICT, oraz na identyfikację potencjalnych istotnych pojedynczych punktów awarii. Wszystkie mechanizmy wykrywania, o których mowa w akapicie pierwszym, są regularnie testowane zgodnie z art. 25".

W praktyce art. 10 DORA odsyła do narzędzi klasy SIEM, EDR/XDR, monitoringu sieciowego, systemów wykrywania anomalii. Z naszego doświadczenia istnienie takich narzędzi nie jest w sektorze finansowym wyzwaniem — wyzwaniem bywa udokumentowanie progów alarmowych, procedur eskalacji i powiązania z procesem zarządzania incydentami z art. 17 DORA.

Co reguluje art. 11 DORA — reagowanie i przywracanie sprawności?

Art. 11 DORA wymaga kompleksowej strategii ciągłości działania ICT oraz powiązanych planów reagowania, które w podmiotach innych niż mikroprzedsiębiorstwa podlegają niezależnym audytom wewnętrznym.

Zgodnie z art. 11 ust. 2 DORA podmioty finansowe realizują tę strategię „poprzez specjalne, odpowiednie i udokumentowane ustalenia, plany, procedury i mechanizmy", których celem jest m.in.:

  • „zapewnienie ciągłości pełnienia przez podmiot finansowy jego krytycznych lub istotnych funkcji" (lit. a).
  • „szybkie, właściwe i skuteczne reagowanie na wszystkie incydenty związane z ICT" (lit. b).
  • „bezzwłoczne uruchamianie specjalnych planów umożliwiających zastosowanie środków, procesów i technologii ograniczających rozprzestrzenianie się" (lit. c).
  • „szacowanie wstępnych skutków, szkód i strat" (lit. d).
  • „określanie działań w zakresie komunikacji i zarządzania kryzysowego" (lit. e).

Jak art. 9–11 DORA łączą się z resztą rozporządzenia?

Trzy artykuły są mostami do innych części DORA: do art. 17 (incydenty), do art. 12 (kopie zapasowe) i do art. 25 (testowanie).

  • Mostek do art. 17 — wykrywanie z art. 10 DORA jest punktem startu procesu zarządzania incydentami z art. 17 DORA.
  • Mostek do art. 12 — strategia ciągłości działania z art. 11 DORA opiera się na politykach kopii zapasowych z art. 12 DORA.
  • Mostek do art. 25 — mechanizmy wykrywania z art. 10 DORA muszą być testowane „zgodnie z art. 25" — co oznacza, że objęte są ramą testowania operacyjnej odporności cyfrowej z trzeciego filaru.

Co teraz zrobić?

Z naszego doświadczenia rekomendujemy:

  • Zinwentaryzować polityki bezpieczeństwa ICT już istniejące w organizacji i zidentyfikować luki względem art. 9 ust. 4 DORA.
  • Udokumentować w polityce mechanizmy wykrywania, progi alarmowe i procedurę eskalacji (art. 10 DORA).
  • Sporządzić strategię ciągłości działania ICT i plan reagowania zgodnie z art. 11 DORA.
  • Zaplanować audyt wewnętrzny planów reagowania i przywracania sprawności ICT (art. 11 ust. 3 DORA).

W kolejnym wpisie cyklu pokazujemy, czego art. 12 DORA wymaga w zakresie kopii zapasowych i procedur odtwarzania.

Co dalej w cyklu?