it management.

AUDIT | CONSULTANȚĂ | SECURITATE | TEHNOLOGIE | INSTRUIRE

Adresarea riscurilor la adresa rezilienței operaționale

DORA (Digital Operational Resilience Act) este regulamentul Uniunii Europene care stabilește un cadru unitar și obligatoriu pentru instituțiile financiare și furnizorii lor critici de servicii IT, prin care se urmărește asigurarea rezilienței operaționale digitale, adică abilitatea organizațiilor de a rezista, răspunde și recupera rapid în fața incidentelor cibernetice și tehnologice, prin impunerea unor cerințe clare privind guvernanța și managementul riscurilor IT, raportarea incidentelor majore de securitate, testarea periodică a rezilienței digitale, gestionarea riscurilor generate de furnizori terți (inclusiv cloud), implementarea unor politici robuste de continuitate a afacerii și planuri de recuperare în caz de dezastru, armonizarea procedurilor de monitorizare și supraveghere la nivel european, crearea unui cadru de transparență și responsabilitate în fața autorităților de reglementare, reducerea fragmentării standardelor de securitate în sectorul financiar, consolidarea încrederii clienților în serviciile digitale financiare, și în final, protejarea stabilității pieței financiare a Uniunii Europene în contextul creșterii atacurilor cibernetice.

Prin implementarea DORA, o organizație reușește să controleze și să reducă următoarele categorii de riscuri:

1. Riscuri de securitate cibernetică

  • Atacuri cibernetice (phishing, malware, ransomware, DDoS).
  • Exploatarea vulnerabilităților din aplicații și sisteme.
  • Acces neautorizat la date financiare sau infrastructură critică.

2. Riscuri de infrastructură și operaționale

  • Indisponibilitatea serviciilor IT esențiale (căderi de rețea, servere).
    • Lipsa planurilor de continuitate și de recuperare în caz de dezastru.
  • Probleme cauzate de actualizări sau configurări eronate.
  • Lipsa de transparență în managementul riscurilor IT.

3. Riscuri legate de furnizorii terți (third-party risk)

  • Dependența excesivă de furnizori critici de servicii IT/cloud.
  • Lipsa monitorizării și evaluării contractelor de outsourcing.
  • Transferul de risc necontrolat către parteneri tehnologici.

4. Riscuri de testare și monitorizare insuficientă

  • Absența testelor de penetrare și a evaluărilor periodice de reziliență.
  • Monitorizare ineficientă a incidentelor și lipsa alertării în timp util.

În esență, DORA ajută organizațiile financiare să gestioneze riscurile cibernetice, operaționale și de terță parte, asigurând continuitatea serviciilor critice și respectarea unui cadru unitar de reziliență digitală la nivel european.

Implementarea DORA (Digital Operational Resilience Act) într-o organizație financiară nu înseamnă doar respectarea cerințelor legale, ci și construirea unui cadru solid de reziliență digitală, prin parcurgerea următoarelor etapele:

1. Analiza cadrului actual și definirea responsabilităților

  • Inventarierea proceselor, sistemelor și furnizorilor IT existenți.
  • Stabilirea echipei responsabile cu guvernanța și implementarea DORA.

2. Managementul riscurilor IT și cibernetice

  • Crearea și documentarea politicilor de securitate.
  • Identificarea, evaluarea și monitorizarea riscurilor cibernetice și operaționale.
  • Integrarea DORA în procesele de risk management existente (ISO 27001, NIST).

3. Raportarea și gestionarea incidentelor majore

  • Implementarea de procese pentru detectarea, clasificarea și raportarea incidentelor.
  • Crearea canalelor de comunicare internă și externă (către autorități, clienți).

4. Testarea rezilienței digitale

  • Realizarea de teste de penetrare, evaluări de vulnerabilitate și simulări de atacuri.
  • Organizarea periodică a exercițiilor de tip „red team” și „tabletop”.

5. Gestionarea riscurilor de la furnizori terți (Third Party Risk Management)

  • Evaluarea și clasificarea furnizorilor critici (cloud, servicii IT).
  • Revizuirea și ajustarea contractelor conform DORA (clauze de securitate, audit, reziliență).
  • Monitorizarea continuă a performanței și securității furnizorilor.

6. Planuri de continuitate și recuperare în caz de dezastru (BCP & DRP)

  • Definirea scenariilor critice și a planurilor de acțiune.
  • Testarea periodică a planurilor de continuitate și a procedurilor de backup/recuperare.

7. Formare și cultură organizațională

  • Instruirea personalului privind noile cerințe și bune practici.
  • Crearea unei culturi de reziliență digitală și securitate la nivelul întregii organizații.

8. Monitorizare, audit și îmbunătățire continuă

  • Audit intern și extern asupra conformității cu DORA.
  • Revizuirea și actualizarea periodică a politicilor și controalelor.
  • Raportarea progresului către conducere și autoritățile competente.

Implementarea DORA este un ciclu continuu de analiză, control, testare și îmbunătățire, care aliniază organizația la standardele europene de reziliență digitală.

../images/florin-iliescu.png

Florin Iliescu

Information Systems Auditor and Security Professional, Infologica

© 2010 - 2025 www.itmanagement.ro | redactie@itmanagement.ro

IT Makes Sense.