-
DORA – dziwny przypadek całkowitej zgodności
Zacznę od wyjaśnienia, co mam na myśli pisząc o DORA jako dziwnym przypadku całkowitej zgodności. Odnoszę ostatnio wrażenie, że wszyscy już ją gwarantują albo przynajmniej oczekują. Dostawcy ICT zgłaszają gotowość na DORĘ – w sensie technologicznym oraz regulacyjnym. Podmioty nadzorowane mówią o gotowości, bo mają rekomendację D, mają komunikat chmurowy, polityki outsourcingowe, BCP, czy odpowiednie gwarancje umowne. Nadzór komunikuje zaś, że będzie gotowy do kontroli od 17 stycznia 2025 r. (to dzień, od którego rozporządzenie DORA będzie stosowanie) i będzie tej zgodności oczekiwał. A teraz zapraszam na wejście nieco głębiej… i przyjrzenie się kilku wyimaginowanym ujęciom zgodności. Podejście – zróbmy zgodność dokumentami Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego…
-
Cyberbezpieczeństwo to gra zespołowa
W tym tekście będziemy zajmować się rozważaniami nad wdrożeniem rozwiązań w zakresie bezpieczeństwa informacji – w tym także cyberbezpieczeństwa. I ważne jest, by te dwa obszary się widziały, bo przecież zabezpieczenie pomieszczeń na niewiele się zda, jeśli nie będziemy chronić sieci – i odwrotnie. Jeśli przejdziemy z abstrakcyjnego rozważania zagadnień z obszaru cyber do budowy rozwiązań kontekście konkretnej organizacji, to może okazać się, że mamy przed sobą potężny projekt. Projekt, którego nie da się zamknąć bez interdyscyplinarnej współpracy. Zarząd musi działać z IT, IT z bezpiecznikiem, bezpiecznik z IODą. A na koniec przydałby się prawnik – tak do oceny kontekstu, jak i zabezpieczenia outsourcingu, zgłoszeń do organów nadzoru, czy do…
-
DORA nie tylko dla instytucji finansowych
DORA – Digital Operational Resilience Act. By przetrwać, reagować i odzyskać sprawność. A być może również, by ujednolicić podejście. W tym tekście o tym, że DORA to nie tylko regulacja dla instytucji finansowych. Zastanówmy się również wspólnie kto i jak może się przygotować. DORA będzie to rozporządzenie, a zatem podobnie jak RODO będzie obowiązywać bezpośrednio. Nie znaczy to jednak, że DORA nie zostanie nadpisana stanowiskami organami nadzoru lub rozporządzeniami technicznymi. Czy to punkt przełomowy w unijnych regulacjach dla sektora finansowego? Nie mam zielonego pojęcia, nie odważę się na taką tezę. Bezpieczniej za to można stwierdzić, że jest to rzeczywiście regulacja, kóra odpowiada na widoczne na rynku problemy bezpieczeństwa produktów, jak…
-
DORA, sektor finansowy oraz dostawcy IT.
Digital Operational Resilience Act (#DORA) By: przetrwać, reagować i odzyskać sprawność: Albo, jeśli ktoś woli, na kwestie cyfrowej odporności możemy spojrzeć także słowami przewodniczącej KE: Jeśli wszystko jest połączone, to wszystko może być podatne – na ataki. Na stronie Rady UE i Rady Europejskiej (consilium) 11 maja 2022 opublikowano informację, że Rada UE i Parlament Europejski osiągnęły porozumienie w sprawie DORA. 11 lipca 2022 w pierwszym czytaniu w Komisji zatwierdzono tekst aktu. Na 9 listopada 2022 zaś zaplanowano kolejne posiedzenie plenarne Parlamentu Europejskiego w tej sprawie. Po co w ogóle nam ten akt? DORA ma stanowić podstawy dla stworzenia przejrzystych podstaw dla unijnych organów nadzoru. Cel to utrzymanie stabilnej działalności…