Pridružite se poslovnoj zajednici od 20000 najuspešnijih i čitajte nas prvi

    Moj ugao
    autor

    DORA i primenjivost na subjekte van EU

    Piše: Dejan Perić direktor u Sektoru za upravljanje rizicima u kompaniji Deloitte

    U današnjem, digitalnom dobu, povezanost i dostupnost interneta postali su deo svakodnevice. Međutim, ova povezanost donosi i određene rizike – kako za pojedince tako i za organizacije.

    Radi jačanja otpornosti digitalnih operacija, Evropska unija je donela Uredbu o digitalnoj operativnoj otpornosti, poznatiju kao DORA (Digital Operational Resilience Act). Ova regulativa se primarno primenjuje na učesnike na finansijskom tržištu, pružaoce IKT usluga i IKT infrastrukture i ima cilj da zaštiti digitalno okruženje i osigura da se mogućnost nedostupnosti digitalnih servisa i usluga smanji na teritoriji cele EU. DORA se, za razliku od nekih prethodnih regulativa, primenjuje i na osiguravajuća društva, mobilne operatere, klaud provajdere, kriptodobavljače i posrednike, kao i na mnoge druge privredne subjekte koji imaju dodira sa finansijskim tržištem.

    Evropska unija je donela Uredbu o digitalnoj operativnoj otpornosti, kako bi zaštitila digitalno okruženje i ojačala otpornosti digitalnih operacija

    DORA regulativa je stupila na snagu 16. januara 2023. godine, a primenjivaće se od 17. januara 2025. godine. Ovaj regulatorni okvir pokriva ključne oblasti, kao što su upravljanje IKT rizikom, upravljanje incidentima u vezi sa IKT-om i izveštavanje o njima, testiranje digitalne operativne otpornosti i upravljanje IKT rizikom trećih strana. Očekuje se da će primena DORA regulative doneti veću sajber sigurnost, smanjenje rizika i bolju pripremljenost organizacija za buduće izazove u digitalnom okruženju. EU kompanije, a posebno banke i osiguravajuća društva, ozbiljno su pristupile implementaciji.

    Kakva je struktura DORA regulative i koji su inicijalni koraci za njenu implementaciju?

    Jednom rečju, sve se svodi na „otpornost” (resillience).

    DORA inicijalno zahteva da se uradi analiza rizika, u toku koje se identifikuju potencijalne pretnje digitalnoj operativnoj otpornosti, uključujući sajber napade, tehničke probleme, prirodne katastrofe i druge faktore koji mogu ugroziti digitalne operacije. Nakon identifikacije rizika, sledi izrada planova za prevenciju i zaštitu, što podrazumeva uspostavljanje sigurnosnih politika i procedura, kao i implementaciju tehnoloških rešenja za zaštitu sistema. Bez obzira na to koliko se dobro planira, incidenti se događaju. DORA, takođe, uključuje zahteve za pripremu detaljnih planova za reagovanje na incidente kako bi se brzo i efikasno rešili i smanjili štetni efekti. Uredba promoviše razmenu informacija između svih subjekata obuhvaćenih regulativom, s ciljem podizanja svesti o novim sajber pretnjama.

    Ključna komponenta DORA regulative jeste redovno testiranje planova za reagovanje na incidente. Akt dodatno definiše obavezu naprednog testiranja na ranjivost (pen-testiranje) aplikacija i sistema za sve veće entitete. Ovo pomaže organizaciji da umanji rizike izloženosti potencijalnim napadima i omogućava da se planovi i sigurnost IKT sistema i poslovnih aplikacija poboljšavaju kako bi se postigla veća operativna otpornost.

    Uredba obuhvata i zahteve za adekvatno upravljanje rizikom poverenim servisima i uslugama trećih strana. Regulativom su obuhvaćeni minimalni ugovorni elementi odnosa sa trećom stranom pružaocem IKT usluga, za koje se smatra da su ključni, a da bi se omogućio potpuni nadzor finansijskog entiteta. Takođe, navodi se da će na panevropskom nivou ESAs (European Supervisory Authorities) nadgledati kritične pružaoce usluga.

    Usklađenost sa Dora zahtevima doprinosi poverenju kod klijenata ukazujući da se na IKT rizike odgovara na adekvatan način.

    Pored same DORA regulative, očekuje se i usvajanje već objavljenih nacrta tehničkih i implementacionih standarda kao podzakonskih akata kojima će se bliže definisati zahtevi, mere i standardi zaštite.

    Evropska nadzorna tela (ESA), 19. juna 2023. godine, pokrenula su javnu konsultaciju o prvoj seriji regulatornih i implementacionih tehničkih standarda (RTS i ITS) u skladu sa DORA regulativom. DORA je ovlastila ESA da zajedno razviju ukupno 13 instrumenata politike u dve serije.

    Prva serija tehničkih standarda o kojima je ESA pokrenula javnu raspravu:

    • RTS o okviru upravljanja rizikom IKT i RTS o pojednostavljenom okviru za upravljanje rizikom IKT;
    • RTS o kriterijumima za klasifikaciju incidenata u vezi sa IKT-om;
    • ITS o uspostavljanju modela za registar informacija;
    • RTS u vezi s IKT uslugama koje pružaju treće strane.

    Očekuje se da će u narednom periodu biti objavljena i sledeća serija tehničkih standarda.

    Kao što se vidi, EU kompanije imaju dosta na agendi i očekuje ih ulaganje značajnog truda u implementaciji zahteva DORA. Sam put je olakšan saradnjom sa stručnim konsultantima, kao što su eksperti iz kompanije Deloitte, a koji već imaju znanje o regulativi neophodno za razumevanje zahteva i iskustvo u implementaciji.

    Kako EU kompanije čekaju eventualne kazne regulatora za neusaglašenost sa DORA regulativom, postavlja se pitanje šta je sa kompanijama koje su van EU, da li je i u kojoj meri DORA primenjiva na njih. Jednostavan odgovor je da jeste primenjiva, iako ne direktno i ne pritiskom regulatora, već delovanjem svih drugih faktora koji utiču na uspešno poslovanje.

    Anticipiranjem globalnih trendova mnoge zemlje usklađuju svoje IT propise sa međunarodnim propisima. DORA se smatra iskorakom u oblasti digitalne operativne otpornosti i može se očekivati, posmatrajući prethodnu praksu, da će je regulatori zemalja kandidata za EU usvojiti kao lokalnu regulativu.

    Hajde i to da ostavimo po strani. Ako nije obavezno još uvek, zašto bi se uvodili zahtevi DORA?

    Prvi i najznačajniji je pristup tržištu EU. Evropski klijenti i investitori cene usklađenost sa propisima EU i daju primat poslovnim partnerima koji su usklađeni. Tako se stiče konkurentska prednost – demonstriranjem partnerima svoje posvećenosti bezbednosti podataka i privatnosti klijenata, što može privući više poslovanja.

    Kompanije će lakše moći da se angažuju u međunarodnim transakcijama ili partnerstvima sa entitetima u EU kada se njihovi IT sistemi usklade sa standardima EU. EU propisi često postavljaju zaštitu potrošača kao prioritet. Implementacija ovih standarda može izgraditi poverenje kod klijenata koji sve više brinu o privatnosti podataka i bezbednosti.

    Sa druge strane, DORA se smatra kao aktuelna najbolja praksa u ovoj oblasti. Kako kompanije uvek teže da urede svoje sisteme prema zahtevima najboljih praksi, ovo je oblast koju moraju revidirati. Implementacija najboljih praksi znači i operativnu efikasnost. Smanjenje rizika znači povećanje operativne efikasnosti. Smanjenje rizika, kao što su povrede podataka ili kvarovi sistema, smanjuje potencijal za finansijske gubitke i narušavanje ugleda.

    Svaka kompanija koja plaća osiguranje kao jedan vid zaštite kontinuiteta poslovanja zna da usklađivanje sa rigoroznim IT propisima može dovesti do nižih premija ili povoljnijih uslova za osiguranje od sajber rizika, smanjujući finansijske rizike povezane sa sajber pretnjama.

    Generalno mišljenje eksperata u ovoj oblasti jeste da zahtevi DORA dovode do usaglašavanja i samih IKT okruženja u različitim kompanijama dajući im istu jedinicu mere prema kojoj se usklađuju. Kako su kompanije na različitom stepenu implementacije standarda, najboljih praksi i drugih relevantnih zahteva, ono što preporučujemo kao obavezan prvi korak jeste izrada analize usaglašenosti (GAP analiza) sa trenutnim DORA zahtevima. Menadžment kompanija nakon urađene GAP analize ima jasno stanje trenutne usklađenosti i viziju puta koji treba preći kako bi se ispunili svi zahtevi.

    Često me pitaju menadžeri kompanija: „Kako da pokažem partnerima da sam usklađen sa DORA zahtevima kad nema regulatora da me proveri? Ko može da izda izveštaj o usaglašenosti sa DORA regulativom?”

    Isto kao i sa drugim GAP analizama usklađenosti (SWIFT, SOC2, GDPR i sl.), izveštaj vredi koliko kompanija koja ga je izdala. To je, prema kotiranju kompanije Deloitte i njenih stručnjaka, nemerljivo mnogo. Izveštaji o usklađenosti pokazuju klijentima i u EU i van EU sa kakvim partnerom posluju i kako se taj partner odnosi prema najbitnijim IKT pitanjima.

    Za kraj bih rekao samo da je priprema za budućnost ključna u uspešnom radu svake kompanije. Poštovanje EU propisa pomaže kompanijama i van EU da se dobro pozicioniraju za potencijalne buduće promene i u drugim oblastima. 

     

    Izvor: BIZLife Magazin

    Foto: Goran Nikolašević

    dejan perić/deloitte/dora

    What's your reaction?

    AGON by AOC
    0
    Aleksa Stanić
    0
    auto
    0
    automobil
    0
    beograd
    0
    bitno
    0
    branislav tiodorović
    0
    čipovi
    0
    digitalni marketing
    0
    E-commerce Asocijacija Srbije
    0
    elektricni
    0
    enterijer
    0
    fashion and friends
    0
    fijat
    0
    Fleg fudbal
    0
    Fond za razvoj
    0
    Forma Ideale
    0
    gejming
    0
    Google prevodilac
    0
    Google translate
    0
    Grand Kopaonik
    0
    Honor magicbook 14
    0
    HTEC
    0
    institu za majku i dete
    0
    koronavirus
    0
    lutka
    0
    Michelin vodič
    0
    migranti
    0
    minimum
    0
    miran san
    0
    MK Group
    0
    monitori
    0
    na proleće
    0
    nagrada
    0
    Nemačka
    0
    nestašica
    0
    One&Only Portonovi
    0
    parking
    0
    populacija
    0
    preminuo
    0
    primanje četvrte doze
    0
    restorani
    0
    sabic
    0
    SoMo Borac
    0
    spavanje
    0
    srbija
    0
    Stada
    0
    subvencije za preduzetnike
    0
    superdry
    0
    svet
    0
    tehnika
    0
    tinejdžer
    0
    troskovi
    0
    važno
    0
    vozac
    0
    weCAN
    0
    XIAOMI
    0
    zalihe
    0

    Ostavite komentar

    Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *

    developed by Premium Factory. | Copyright © 2020 bizlife.rs | Sva prava zadržana.

    MAGAZINE ONLINE