Kibernetinės saugos ekspertai

DORA atitiktis be streso: ką turi žinoti finansų sektorius ir jo tiekėjai

Jei pastaruoju metu vis dažniau girdite frazę „DORA“ – nenustebkite. 2025-ųjų pradžioje Europos Sąjungoje pradėtas taikyti Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentas tampa svarbia kibernetinės saugos dalimi. Šiame straipsnyje paaiškiname, kas yra DORA, ką jis numato ir pateikiame naudingų praktinių patarimų, kaip užtikrinti atitiktį.

Kas yra DORA ir kam jis aktualus?

Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentas (angl. Digital Operational Resilience Act, arba DORA) yra dar 2023-ųjų pradžioje patvirtintas ir nuo 2025 metų sausio 17 dienos visoje Europos Sąjungoje taikyti pradėtas teisės aktas, skirtas stiprinti finansų sektoriaus atsparumą ir valdyti galimas rizikas. DORA siekis – kurti kuria vieningą ir nuoseklų priežiūros požiūrį visame ES finansų sektoriuje, harmonizuojant kibernetinio saugumo ir atsparumo praktikas.

Šiuo reglamentu norima padidinti ES finansų sektoriaus skaitmeninės veiklos atsparumą, stiprinant finansų sektoriaus subjektų – 1) bankų, elektroninių valiutų ir mokėjimų įstaigų, draudimo bendrovių, investicinių įmonių ir finansų sektoriaus verslų; 2) informacinių ir ryšių technologijų (IRT), ir 3) trečiųjų šalių – rizikos valdymo bei pranešimų apie incidentus sistemas.

Svarbu pabrėžti, kad DORA atitikį turi užtikrinti ne tik finansines paslaugas teikiančios įmonės, bet ir jiems IT sprendimus teikiantys verslai.

Pagrindinės DORA reikalavimų sritys:

IT rizikos valdymas – įmonės turi turėti aiškią, dokumentuotą ir testuojamą IT rizikos valdymo strategiją.
Incidentų registravimas ir ataskaitų teikimas – verslai apie reikšmingus, su IRT veikla susijusius incidentus, privalo pranešti priežiūros institucijoms.
Skaitmeninio atsparumo testavimas – įmonės įpareigotos reguliariai atlikti saugumo testus, pavyzdžiui, etinių įsilaužimų testus.
Trečiųjų šalių rizikos valdymas – įmonės turi vertinti ir kontroliuoti su išoriniais paslaugų teikėjais susijusias rizikas.
Informacijos dalijimasis – DORA skatina finansų sektoriaus dalyvius dalintis informacija apie kibernetines grėsmes, taip gerinant viso sektoriaus saugumą.

Praktiniai patarimai DORA atitikčiai:

Įsitikinkite, ar DORA jums galioja: išsiaiškinkite, ar jūsų verslas patenka į DORA apimančių įmonių kategoriją. Tam galite kreiptis į Lietuvoje priežiūrą vykdantį Lietuvos banką arba Nacionalinį kibernetinio saugumo centrą (NKSC).
Keiskite požiūrį: įmonių vidiniai procesai dažnai būna suskaldyti, taikomos skirtingos rizikų valdymo ir net IT sistemos. Vadovaukitės ES iniciatyva harmonizuoti kibernetinio saugumo ir atsparumo praktikas savo versle.
Keiskite įpročius: tradiciniai finansinės ar veiklos rizikos vertinimo metodai dažnai neaprėpia visų skaitmeninių grėsmių, todėl senus įpročius reikėtų keisti moderniais reglamentais, kaip DORA – tiek įmonės viduje, tiek dirbant su išore.
Neužmirškite sutarčių: peržvelkite susitarimus su esamais išoriniais paslaugų tiekėjais ir, esant reikalui, juos atnaujinkite, kad viskas atitiktų DORA.
Investuokite į saugumą: kibernetinių grėsmių skaičius auga sulig kiekviena diena, todėl investicijos į darbuotojų mokymus, rizikų stebėjimą palengvinančius įrankius ar šią sritį išmanančius specialistus yra to vertos.
Nežiūrėkite pro pirštus: neatitinkdami DORA reikalavimų ne tik rizikuoate verslo saugumu, bet ir galite sulaukti baudų, siekiančių iki 2% metinės apyvartos ar 1% vidutinės dienos apyvartos už kiekvieną parą, kurią verslas neatitinka reikalavimų, tuo metu atsakingi asmenys gali būti nubausti iki 1 mln. eurų bauda.
Nebijokite prašyti pagalbos: jei DORA ar kitų teisinių reglamentų įgyvendinimas jūsų įmonei yra iššūkis, kreipkitės į tą išmanančius specialistus, kurie pasirūpins, jog DORA atitiktis būtų tvarkinga, o kibernetinė sauga – kuo įmanoma stipresnė.

Nesvarbu, ar esate finansų sektoriaus įmonė, ar su ja bendradarbiaujantis išorinis tiekėjas – kibernetinė sauga privalo būti jūsų prioritetas tiek teisiniu požiūriu, tiek bendrąja prasme. Jei nežinote, nuo ko pradėti – „AuraGroup“ komanda yra pasirengusi jums padėti: nuo pirmojo audito iki visapusiškos DORA atitikties užtikrinimo. Negana to, pirmąją konsultaciją ir verslo procesų auditą siūlome visiškai nemokamai, todėl neturite ko prarasti

Pasikliaukite patyrusiais IT ir kibernetinio saugumo ekspertais.

Pateikite užklausą ir gausite atsakymą per 24 val. Kuo detaliau aprašysite norimą rezultatą – tuo geriau ir greičiau galėsime rasti jums geriausią sprendimą.