Značajna manjina organizacija za finansijske usluge u Ujedinjenom Kraljevstvu neće biti u potpunosti u skladu sa propisima EU o sajber i upravljanju rizicima DORA kada ona stupi na snagu 17. januara
By
Alex Scroxton,Security Editor
Objavljeno: 16 Jan 2025 14:17
Iako su imali dvije godine da se pripreme za nadolazeće zakonodavstvo, studija je danas otkrila da će značajna manjina britanskih organizacija za finansijske usluge propustiti rok od 17. januara 2025. da se pridržavaju Zakona o digitalnoj operativnoj otpornosti Evropske unije (EU) ( DORA).
Prema istraživanju Censuswide koje je naručila Orange Cyberdefense, 43% britanskih organizacija za finansijske usluge kaže da još uvijek istražuju DORA-u i da neće biti usklađene još najmanje tri mjeseca, što ih dovodi u značajan rizik od regulatornih kazni.
200 glavnih službenika za informatičku sigurnost u Velikoj Britaniji i donosilaca odluka u sajberu koji su anketirani u ime Orange-a velikom većinom vjeruju da bi DORA bila korisna i da bi značajno poboljšala ukupnu otpornost širom EU i njenog šireg ekosistema.
Ipak, prepreke za poštivanje i dalje postoje, a ispitanici u anketi opisuju mnoštvo pitanja – većina njih se odnosi na njihovu vlastitu organizaciju, a ne na zakone o DORA-i. Orange je utvrdio da ovi problemi uključuju nedostatak prioriteta u široj organizaciji (28%), kratak vremenski okvir za postizanje usklađenosti (25%), nedostatak specifičnih vještina i znanja (24%) i nedostatak vidljivosti u lancima nabavke i partneri treće strane (23%). Da bi ih prevazišli, 97% je reklo da razmišlja o angažovanju eksterne podrške.
Nekih 84% je reklo da im je dat dovoljan ili više nego dovoljan budžet da postanu usklađeni, a paralelna studija Rubrik Zero Labsa danas je objavila da je oko 47% organizacija za finansijske usluge u Ujedinjenom Kraljevstvu potrošilo preko 1 milion eura (842.000 funti) na mjere usklađenosti.
DORA ne nalaže ništa revolucionarnim zahtjevima. Većina se može riješiti ulaganjem u sveobuhvatne procjene sajber rizika, integrirano izvještavanje o incidentima, testiranje sajber otpornosti i upravljanje među okvirima Richard Lindsay, Orange Cyberdefense
“Regulatorni pejzaž u EU je jako zakrčen, s nekoliko preklapajućih standarda i zakona koji su sada na snazi. Ima dosta toga za navigaciju, a sve više vidimo da kompanije uzimaju reaktivniji pristup zahtjevima usklađenosti kada prijetnja odmazdom postane opipljiva,” rekao je Richard Lindsay, glavni savjetnik u Orange Cyberdefense.
„Međutim, nepoštovanje propisa moglo bi imati ozbiljne posljedice, sa kaznama do 2% globalnog godišnjeg prometa i potencijalnim kaznama od preko 1 milion eura za pojedinačno više rukovodstvo.
„Pejzaž prijetnji nikada nije bio nestabilniji. Industrija finansijskih usluga je privlačna meta za loše aktere, a vjerovatnoća kršenja nikada nije bila veća. Implementacijom potrebnih promjena, preduzeća mogu izbjeći neželjene kazne i negativan publicitet i, što je najvažnije, izgraditi otpornost na digitalne prijetnje”, dodala je Lindsay.
“DORA ništa ne nalaže revolucionarnim zahtjevima. Većina se može riješiti ulaganjem u sveobuhvatne procjene sajber rizika, integrisano izvještavanje o incidentima, testiranje sajber otpornosti i upravljanje u različitim okvirima. Ali, kao što je uvijek slučaj u sajber sigurnosti, sat otkucava.”
Orange je dodatno napomenuo da, s obzirom na formalno uvođenje DORA-e, dolazi samo tri mjeseca nakon što je EU usvojila Direktivu o mrežnim i informacionim sistemima 2 (NIS2) u oktobru 2024. godine, potreba za rješavanjem širih zahtjeva za cyber usklađenost i preklapajućih zahtjeva u oba seta propisa može objasnite zašto se većina ispitanika osjeća pozitivno prema DORA-i, uprkos predviđanju kašnjenja u postizanju usklađenosti.
Šta je DORA?
U svojoj srži, DORA ima za cilj jačanje sajber sigurnosti u organizacijama za finansijske usluge i poboljšanje otpornosti sektora širom Evrope. Usklađuje pravila operativne otpornosti koja se primjenjuju na 20 različitih vrsta finansijskih subjekata, kao što su banke, osiguravajuća društva i nezavisni dobavljači tehnologije.
Prema Briselu, regulacija kao što je DORA postala je neophodna jer zavisnost industrije finansijskih usluga od IT-a i tehnološkog ekosistema čini je akutno ranjivom na sajber poremećaje, a ako se njima pravilno ne upravlja, može se preliti na širu ekonomiju.
DORA upravlja brojnim oblastima, kao što su okviri za upravljanje IT rizicima, praćenje rizika trećih strana i nadzor dobavljača, testiranje operativne otpornosti, izvještavanje o sajber incidentima i razmjena informacija i obavještajnih podataka.
Sonatypeov potpredsjednik za arhitekturu rješenja, Mitun Zavery, rekao je: „Ako nas je GDPR nečemu naučio, to je da napori za usklađivanje u posljednjem trenutku dovode do glavobolje i polumjera. Poput mnogih zakona EU, britanske kompanije mogu biti uključene u djelokrug pošto se zakon proteže izvan evropskih finansijskih institucija i duboko u njihove lance nabavke softvera.
“Ovo je veliki problem za kompanije iz Ujedinjenog Kraljevstva čiji evropski kupci potpadaju pod djelokrug propisa. Stroge finansijske kazne za nepoštivanje su dovoljna motivacija za finansijske institucije EU da kažu partnerima: ‘Ako se ne pridržavate, treba nam neko ko jeste’.
Dodao je: „Umjesto kao teret, organizacije u Ujedinjenom Kraljevstvu trebale bi vidjeti DORA kao priliku za pojednostavljenje sistema i procesa korištenjem automatizacije, jačanjem svojih lanaca nabavke softvera i usvajanjem proaktivnog pristupa ublažavanju rizika i upravljanju ranjivostima. Ako DORA postane poput GDPR-a, tada će stavljanje prioriteta usklađenosti sada otvoriti vrata jer se oblici ovog standarda usvajaju u UK.”
Pročitajte više o usklađenosti sa propisima i zahtjevima standarda
EU i SAD u sukobu sa sigurnosnim propisima AI
Autor: Beth Pariseau
Cyber inovacije za rješavanje rastućeg regulatornog opterećenja, prijetnji
