Оперативна устойчивост на цифровите технологии във финансовия сектор
РЕГЛАМЕНТ (ЕС) 2022/2554 (DORA)
Регламент (ЕС) 2022/2554, често наричан Акт за цифровата оперативна устойчивост (Digital Operational Resilience Act, DORA), въвежда цялостна рамка за гарантиране на оперативната устойчивост на цифровите системи във финансовия сектор. Организациите, които са обект на този акт, се очаква да изпълняват различни действия, за да се съобразят с изискванията. Ключовите аспекти включват:
1. Рамка за управление на риска от Информационни и комуникационни технологии (ИКТ):
- Създаване и поддържане на обстойна рамка за управление на риска от ИКТ.
- Идентифициране, категоризиране и оценка на рисковете, свързани с ИКТ.
- Въвеждане на защитни и превантивни мерки за намаляване на идентифицираните рискове.
- Редовен преглед и тестване на ефективността на рамката за управление на риска от ИКТ.
2. Докладване на инциденти:
- Установяване на здрави механизми за откриване и управление на инциденти, свързани с ИКТ.
- Докладване на значими инциденти, свързани с ИКТ, до съответните органи по своевременен и ефективен начин.
3. Тестване на цифровата оперативна устойчивост:
- Провеждане на редовни тестове за оценка на устойчивостта на ИКТ системите и процесите.
- Извършване на оценка на уязвимостите, тестване, базирано на сценарии (например, проникване в системата), и установяване на процес за идентифициране и намаляване на уязвимостите.
4. Управление на риска от трети страни в ИКТ:
- Управление и мониторинг на ИКТ риска от трети страни, особено при разчитане на критични доставчици на ИКТ услуги от трети страни.
- Гарантиране, че договорите с доставчици на услуги от трети страни включват здрави клаузи относно нивата на обслужване, защита на данните и права за одит.
- Установяване на механизми за мониторинг на изпълнението и съответствието на доставчиците на услуги от трети страни.
5. Споделяне на информация:
- Ангажиране в споделянето на информация относно ИКТ рискове и инциденти за подобряване на разбирането и управлението на ИКТ заплахите в целия сектор.
- Участие в платформи за споделяне на информация, като се гарантира защитата на чувствителната и конфиденциалната информация.
6. Надзор и съответствие:
- Спазване на рамката за надзор, установена от компетентните органи.
- Редовна оценка на съответствието с регламента и сътрудничество при ревизии и одити от регулаторни органи.
- Въвеждане на корективни действия, както е изискано от регулаторните органи, за адресиране на недостатъци или въпроси на несъответствие.
7. Участие на управителния орган:
- Гарантиране, че управителният орган на организацията е ефективно ангажиран в надзора на рамката за управление на риска от ИКТ.
- Изискване на редовни доклади до управителния орган относно ИКТ рисковете, инцидентите и мерките за устойчивост.
8. Тестване на устойчивостта и киберсигурността:
- Въвеждане на здрава стратегия за киберсигурност за защита срещу кибер заплахи.
- Провеждане на тестване на устойчивостта, включително напреднало тестване за значими субекти, за оценка на способността на организацията да реагира ефективно и да се възстанови от нарушения в ИКТ.
9. Ресурси и експертност:
- Осигуряване на достатъчно ресурси (финансови, човешки, технически) за управление на риска от ИКТ и мерки за оперативна устойчивост.
- Гарантиране, че персоналът е адекватно обучен и поддържа високо ниво на експертност в управлението на риска от ИКТ и оперативната устойчивост.
Организациите, подлежащи на DORA, са задължени да интегрират тези практики в своите оперативни и стратегии за управление на риска, за да гарантират стабилността и устойчивостта на своите ИКТ системи и по-широката инфраструктура на финансовия пазар. Съответствието с тези изисквания ще бъде мониторирано от съответните органи, и организациите могат да бъдат подложени на одити, оценки и корективни мерки, ако се идентифицират недостатъци.
Регламент (ЕС) 2022/2554 ще се прилага от 17 януари 2025 г.
Regulation (EU) 2022/2554 - EUR-Lex (europa.eu)
Оперативна устойчивост на цифровите технологии във финансовия сектор
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.
