Отношенията ви с ДОРА започват или приключват с попълването на един въпросник:
https://forms.gle/P5aBjS8fNXjBPTSr8
В света на цифровата сигурност регулациите се развиват с бързи темпове, а адаптацията към тях не е просто формалност, а стратегическа необходимост. Един от най-значимите регулаторни актове в сферата на финансовата сигурност е DORA (Digital Operational Resilience Act) – Европейският регламент за цифровата оперативна устойчивост. Той налага строги изисквания към финансовите институции и доставчиците на ИТ услуги, с цел укрепване на кибер устойчивостта в сектора.
Но как разбирате дали вашата организация е готова за DORA? Всичко започва – или приключва – с попълването на един въпросник.
Какво представлява DORA и защо е важен?
DORA е част от по-широката стратегия на ЕС за повишаване на устойчивостта на финансовите институции срещу киберзаплахи. Той въвежда задължителни изисквания за управление на ИТ рисковете, надзор върху доставчиците на услуги, както и механизми за тестване на устойчивостта срещу кибератаки.
Влиянието на регулацията не се ограничава само до банки и застрахователни компании. Тя засяга и финтех компании, инвестиционни фондове, кредитни посредници, платежни оператори и дори технологичните доставчици на тези организации. Ако вашият бизнес попада в обхвата на DORA, пропускането на изискванията може да доведе до глоби, регулаторни санкции или дори отнемане на лицензи.
Попълването на въпросника – първата стъпка към съответствие
За да улесним процеса на адаптация, създадохме специализиран въпросник (достъпен тук), който ще ви помогне да направите бърза самооценка на готовността си за DORA.
Въпросникът обхваща няколко ключови области:
- Идентификация на ИТ рискове – имате ли ясен процес за идентифициране на заплахите?
- Мониторинг и управление – как следите и отговаряте на инциденти?
- Киберустойчивост – провеждате ли редовни тестове и обучения?
- Взаимодействие с трети страни – какви механизми използвате за оценка на доставчиците си?
- Попълването на въпросника ще ви даде представа дали вашата организация е на правилния път или има критични пропуски, които трябва да бъдат адресирани незабавно.
Попълването е само началото
DORA не е просто „кутия за отбелязване“. Регулацията изисква постоянно усъвършенстване, мониторинг и реакция на нови заплахи. Попълването на въпросника ще ви даде отправна точка, но следващата стъпка е разработването и внедряването на цялостна стратегия за киберустойчивост.
Независимо дали започвате или вече сте в процес на привеждане в съответствие, този инструмент е ключът към навременни и информирани действия. Защото в ерата на цифровите финанси оцеляването и успехът се определят от устойчивостта срещу рискове – а тя започва със знанието.
Разширен обхват на МИС2
МИС2 значително разширява обхвата на секторите и организациите, които попадат под нейните изисквания. Докато МИС1 обхващаше седем сектора, включително енергетика, транспорт и здравеопазване, МИС2 добавя нови сектори, базирани на тяхната критичност за икономиката и обществото. Сред тях са:
- Пощенски и куриерски услуги
- Управление на отпадъци
- Производство и дистрибуция на химикали
- Производство на храни
- Производство на медицински изделия
- Доставчици на цифрови услуги, включително онлайн пазари и социални медии
Това разширение означава, че много организации, които досега не са били обект на подобни регулации, сега ще трябва да се съобразят с новите изисквания.
Критерии за определяне на засегнатите субекти
МИС2 въвежда ясни критерии за определяне на засегнатите субекти. Всички средни и големи предприятия в посочените сектори попадат в обхвата на директивата. Средни предприятия са тези с персонал между 50 и 249 служители и годишен оборот между 10 и 50 милиона евро, докато големите предприятия имат над 250 служители и оборот над 50 милиона евро. Това означава, че дори организации, които не се считат за критична инфраструктура, но отговарят на тези критерии, ще бъдат засегнати.
Основни изисквания на МИС2
Директивата налага редица задължения на засегнатите субекти, включително:
Управление на риска: Организациите трябва да приемат мерки за управление на риска, свързан с киберсигурността, включително оценка на рисковете, внедряване на подходящи технически и организационни мерки и редовен мониторинг.
Докладване на инциденти: Значителни инциденти, които засягат предоставянето на услуги, трябва да бъдат докладвани на компетентните органи в определени срокове.
Сигурност на веригата на доставки: Организациите трябва да управляват рисковете, свързани с техните доставчици и партньори, като гарантират, че и те спазват изискванията за киберсигурност.
Транспониране в българското законодателство
В България процесът на транспониране на МИС2 е в ход. На 4 юли 2024 г. Министерството на електронното управление внесе законопроект за изменение и допълнение на Закона за киберсигурност, с който се транспонира директивата. Обществените консултации по законопроекта приключиха на 3 август 2024 г., а приемането му се очаква до 17 октомври 2024 г. След това ще бъде приета наредба за прилагане на закона, която ще детайлизира конкретните мерки и задължения за организациите.
Какво следва за организациите?
Организациите, попадащи в обхвата на МИС2, трябва да предприемат следните стъпки:
- Оценка на съответствието: Да определят дали попадат в обхвата на директивата въз основа на сектора и размера си.
- Оценка на риска: Да извършат подробен анализ на текущите си практики за киберсигурност и да идентифицират пропуските спрямо изискванията на МИС2.
- Разработване на план за действие: Да създадат и внедрят план за постигане на съответствие, включително обучение на персонала, внедряване на технически мерки и установяване на процедури за докладване на инциденти.
С навлизането на МИС2 киберсигурността става не само технически, но и стратегически приоритет за организациите. Навременното адаптиране към новите изисквания ще гарантира не само съответствие със закона, но и повишена устойчивост срещу киберзаплахи.
Въпросник: https://forms.gle/P5aBjS8fNXjBPTSr8