Actul de reglementare privind reziliența operațională digitală (DORA) a intrat în vigoare pe 16 ianuarie 2023 și impune instituțiilor financiare să dezvolte capacități de protecție, detectare, limitare, recuperare și remediere a activelor IT&C în fața atacurilor cibernetice sau altor incidente legate de infrastructura IT&C, se arată într-un comunicat de presă remis de Devhd, companie specializată în soluții de transformare digitală bazate pe platforma ServiceNow.
Noile reglementări se aplică atât băncilor, cât și companiilor de asigurări, firmelor de investiții, furnizorilor de servicii crypto și altor actori din sectorul financiar și fac parte dintr-un proces continuu, care ajută organizațiile să se protejeze într-un mediu cu amenințări cibernetice în creștere.
În același timp, până la 17 octombrie 2024, companiile trebuie să se conformeze și cerințelor directivei NIS2, cu impact asupra mai multor organizații din sectoarele de importanță critică, din domeniul public și privat. Nouă directiva obligă companiile să își documenteze strategia de securitate.
Conform unui studiu Deloitte referitor la DORA din 2023, doar 29% dintre organizații începuseră să se pregătească încă din 2022, însă multe dintre ele aveau întârzieri în ceea ce privește evaluarea riscului generat de terți. La momentul studiului, 69% dintre organizațiile participante evaluau riscurile asociate terților doar o dată pe an, insuficient pentru a se conforma cerințelor DORA.
Companiile trebuie să prioritizeze acțiunile esențiale pentru a reduce riscul de neconformitate
„În această etapă, companiile trebuie să prioritizeze acțiunile esențiale pentru a reduce riscul de neconformitate. În primul rând, este vital să identifice și să centralizeze toate activele IT critice și să identifice principalii factori de risc intern și extern. Acesta este primul pas pentru a înțelege unde sunt cele mai mari vulnerabilități și pentru a lua măsuri rapide de remediere. În plus, colaborarea cu un partener de încredere, care are experiența și capacitatea de a implementa soluții robuste de reziliență operațională, devine crucială”, spune Adrian Herdan, CEO al Devhd.
Accelerarea conformității poate fi realizată prin utilizarea unor platforme integrate precum ServiceNow, care automatizează procesele de guvernare IT și securitate. În doar câteva luni, o organizație poate centraliza toate datele critice, implementa politici de risc și securitate informatică și începe testarea rezilienței operaționale. Este esențial să se prioritizeze acțiunile cu impact imediat asupra conformității.
Conformarea cu reglementările DORA aduce companiilor și numeroase beneficii, printre care se numără: gestionarea eficientă a riscurilor operaționale, consolidarea reputației companiei, nivel ridicat de reziliență operațională și protecție a datelor și chiar generarea unui avantaj competitiv în atragerea și fidelizarea clienților.
Costurile necesare conformității cu DORA variază în funcție de dimensiunea companiei și de complexitatea infrastructurii IT, incluzând licențele ServiceNow (pentru cei care nu sunt deja clienți), serviciile de consultanță și implementare, instruirea personalului și resursele necesare pentru gestionarea continuă a riscurilor.
„Organizațiile care nu reușesc să se conformeze complet vor fi expuse la sancțiuni semnificative. În plus, față de sancțiunile financiare, acestea se pot confrunta cu întreruperi majore ale afacerii, pierderea încrederii clienților și daune ireparabile de imaginie și reputație. Nu putem subestima riscul – DORA este mult mai mult decât o reglementare, este singura modalitate de supraviețuire în peisajul digital actual”, adaugă Adrian Herdan.
Practic, de la 17 ianuarie 2025, organizațiile care nu respectă noile reglementări privind reziliența operațională digitală riscă sancțiuni severe, inclusiv amenzi substanțiale, de până la 10% din cifra de afaceri sau chiar pierderea autorizațiilor de operare.
În procesul de conformitate, platforma ServiceNow oferă o bază de date integrată (CMDB), care asigură vizibilitatea completă a activelor IT&C, a interdependențelor și vulnerabilităților acestora. Acest nivel de detaliu este esențial pentru construirea unui cadru solid de gestionare a riscurilor, pilonul central al DORA. De asemenea, automatizarea proceselor IT, de risc și de securitate oferită de ServiceNow reduce semnificativ timpul necesar conformității.