DORA (Zakon o digitalnoj operativnoj otpornosti) i NIS 2 (Direktiva o bezbednosti mreže i informacija)

HomeAll Services...DORA (Zakon o digitalnoj operativnoj...

Potražite nas i na Instagramu📱

DORA (Zakon o digitalnoj operativnoj otpornosti) i NIS 2 (Direktiva o bezbednosti mreže i informacija)

DORA – Digital Operational Resilience Act

DORA – Zakon o digitalnoj operativnoj otpornosti

Opšte napomene

Zakon o digitalnoj operativnoj otpornosti (DORA) se posebno fokusira na finansijske subjekte, sa ciljem da poveća njihovu otpornost na poremećaje vezane za IKT. Direktiva navodi zahteve za širok spektar finansijskih subjekata za uspostavljanje sveobuhvatnih digitalnih okvira operativne otpornosti.

  • Pokriveni finansijski subjekti: Uredba DORA se primenjuje na banke, osiguravajuća društva, investicione firme, pa čak i na pružaoce usluga kripto-aktive i treće strane IKT provajdere.
  • Mere operativne otpornosti: Uključuje upravljanje rizikom IKT, izveštavanje o incidentima, digitalno testiranje operativne otpornosti i upravljanje rizikom treće strane.
  • Jačanje finansijskog sektora: Osigurava da finansijski sektor može da izdrži i brzo se oporavi od digitalnih poremećaja, čuvajući integritet i stabilnost finansijskih tržišta EU.

Zakon o digitalnoj operativnoj otpornosti (DORA) je značajan propis unutar Evropske unije. Za razliku od NIS2, on je posebno napravljen da ojača otpornost finansijskog sektora na IKT (informacione i komunikacione tehnologije) rizike.

Jedan od najvećih narativa DORA-e je da prepoznaje važnost digitalne infrastrukture u finansijskoj industriji. Dakle, stvorio je siguran okvir kako bi se osiguralo da banke, finansijske institucije, pa čak i novi finansijski subjekti kao što su pružaoci usluga kripto-aktive mogu da izdrže, reaguju na i oporave se od širokog spektra digitalnih poremećaja.

U svojoj srži, DORA obavezuje primenu rigoroznih IKT sposobnosti za upravljanje rizikom. To uključuje uspostavljanje otporne digitalne operativne infrastrukture, temeljno testiranje digitalne operativne otpornosti i detaljne mehanizme za izveštavanje o incidentima.

Ovaj pristup ne samo da ima za cilj ublažavanje uticaja potencijalnih incidenata vezanih za IKT, već i povećava ukupnu stabilnost i integritet finansijskih tržišta EU.

Jedan od ključnih aspekata DORA je njen inkluzivni obim koji se odnosi na širok spektar finansijskih subjekata. Ova inkluzivnost osigurava da se regulativa bavi digitalnom operativnom otpornošću finansijskog sistema u celini, a ne u izolovanim segmentima.

Štaviše, DORA je značajna po pitanju važnosti upravljanja rizikom trećih strana. Ona priznaje da se mnogi finansijski subjekti oslanjaju na eksterne pružaoce usluga za kritične IKT usluge. Podstičući organizacije da sprovode temeljnu pažnju i ugovorne aranžmane, DORA-ina svrha je da proširi svoje standarde otpornosti u celom lancu snabdevanja.

Na koga se odnosi DORA?

  • banke i ostale finansijske institucije;
  • institucije za platni promet
  • pružaoci usluga informacija o platnom računu;
  • institucije za digitalni novac;
  • investicione kompanije;
  • pružaoci usluga kripto imovine i izdavaoci tokena koji se odnose na digitalnu imovinu;
  • centralni depozitari vrednosnih papira;
  • centralne druge ugovorne strane;
  • mesta transakcija;
  • transakcioni repozitoriji;
  • upravljači alternativnih investionih fondova;
  • društva za upravljanje;
  • pružaoci usluga izveštavanja i obrade podataka;
  • društva za osiguranje i reosiguranje;
  • posrednici u osiguranju , posrednici u reosiguranju i pomoćni posrednici u osiguranju;
  • ustanove za profesionalno penziono osiguranje;
  • agencije za ocenjivanje kreditnog rejtinga;
  • administratori kritičnih merila;
  • pružaoci usluga grupnog finansiranja;
  • sekuritizacioni repozitoriji;
  • pružaoci usluga trećih strana.

Zahtevi DORA-e

Glavnih 5 stubova (zahteva) DORA regulative:

  • Upravljanje rizikom informacione i komunikacione tehnologije (IKT).

DORA zahteva od višeg rukovodstva da preuzme odgovornost za upravljanje rizikom IKT, identifikuje kritične funkcije i uspostavi okvir upravljanja rizikom zasnovan na međunarodnim standardima. Ovaj okvir upravljanja mora se revidirati svake godine.

  • Prijavljivanje incidenata informacione i komunikacione tehnologije

Uredba DORA zahteva od finansijskih subjekata da rediguju i prenose izveštaje o incidentima informacione i komunikacione tehnologije. Direktiva ima za cilj da uskladi otkrivanje incidenata i izveštavanje širom Evrope.

  • Digitalni testovi operativne otpornosti

Finansijske institucije treba da sprovode testove otpornosti i ranjivosti digitalne infrastrukture najmanje jednom godišnje, koje sprovode nezavisne strane. Ovi testovi su dizajnirani da procene sposobnost ciljanih kompanija da upravljaju incidentima i identifikuju slabosti sistema, koristeći pristup zasnovan na riziku.  Pre implementacije novih usluga ili nadogradnje postojećih usluga koje podržavaju njihove kritične funkcije, potrebne su procene ranjivosti kako bi se obezbedila operativna otpornost IT sistema.

  • Upravljanje rizikom treće strane

DORA proširuje obaveze u vezi sa eksternalizacijom IKT usluga na dobavljače treće strane, zahtevajući od finansijskih subjekata da upravljaju rizicima povezanim sa ovim dobavljačima. Oni moraju proceniti ugovorne rizike, raskinuti ugovore sa dobavljačima koji predstavljaju rizike za sajber bezbednost i izraditi godišnji izveštaj o IKT sporazumima. Uredba DORA definiše ključne principe za upravljanje rizicima povezanim sa IKT dobavljačima.

  • Deljenje informacija i obaveštajnih podataka

DORA podstiče finansijske institucije da dele informacije o sajber pretnjama kako bi smanjile rizike vezane za IKT. Uredba ovlašćuje finansijske subjekte da uspostavljaju sporazume o razmeni informacija uz garantovanje zaštite ličnih podataka.

DORA se počinje primenjivati od 17.01.2025. godine

Dobre osnove:

ISO/IEC 27001:2022; ISO/IEC 27002:2022; ISO/IEC 27701:2019; ISO/IEC 27005:2022; ISO/IEC 27032:2023; ISO/IEC 27035:2023; GDPR; CER – Critical Entities Resilience Directive

 

NIS 2 – Network and Information Security Directive

NIS 2 – Direktiva o bezbednosti mrežnih i informacionih sistema

 

Opšte napomene

„NIS 2 direktiva“ ili jednostavno „NIS2“ je direktiva Evropske unije koja precizira zahteve za sajber bezbednost koje treba da implementiraju kompanije iz EU koje se smatraju kritičnom infrastrukturom.

Njen puni naziv je „Direktiva (EU) 2022/2555 o merama za visoki zajednički nivo sajber bezbednosti širom Unije“, a objavljena je 14. decembra 2022.

Pošto je NIS 2 direktiva, to znači da će svaka zemlja EU definisati svoje zakone o sajber bezbednosti na osnovu NIS 2, dok NIS 2 precizira minimalni nivo sajber bezbednosti koji treba postići. U praksi, to znači da će kompanije u nekim zemljama morati da se pridržavaju minimuma koji je naveden u NIS 2, a u drugim će morati da se pridržavaju strožijih uslova sajber bezbednosti koji su navedeni u lokalnim zakonima.

Direktiva NIS 2 bi mogla da postane za sajber bezbednost ono što je EU GDPR postala za privatnost — svetski standard koji druge zemlje koriste kao najbolju praksu za svoje zakonodavstvo.

NIS 2 stupa na snagu 18. oktobra 2024. godine – ovo je ujedno i rok za zemlje EU da definišu sopstvene zakone i propise zasnovane na NIS 2.

Na koga se odnosi NIS 2?

Postoje 3 kriterijuma koji definišu koje organizacije (NIS 2 ih naziva „bitnim subjektima” i „važnim subjektima”) moraju da budu u skladu sa NIS 2:

  • Lokacija – ako pružaju usluge ili obavljaju delatnost u bilo kojoj zemlji Evropske unije (bez obzira da li se nalaze u EU ili ne); i
  • Veličina – ako imaju više od 50 zaposlenih i imaju više od 10 miliona evra prihoda; i
  • Industrija – ako posluju u bilo kom od ovih sektora:

Sektori visoke kritičnosti: energija (električna energija, centralizovano grejanje i hlađenje, nafta, plin i vodik); prevoz (vazdušni, željeznički, vodeni i putni); bankarstvo; infrastrukture financijskog tržišta; zdravlje, uključujući proizvodnju farmaceutskih proizvoda, uključujući vakcine; voda za piće; otpadne vode; digitalna infrastruktura (internet čvorišta; Pružaoci DNS usluga; Registri naziva glavnih domena; pružaoci usluga računarstva u oblaku; pružaoci usluga data centara; mreže za isporuku sadržaja; davaoci usluga digitalnih certifikata; pružaoci javnih elektronskih komunikacionih mreža i javno dostupnih elektronskih komunikacionih usluga); Upravljanje uslugama IKT-a (pružaoci usluga kojima se upravlja i pružaoci upravljanih bezbednosnih usluga), javna uprava i kosmos.

Ostali ključni sektori: poštanske i kurirske usluge; upravljanje otpadom; hemikalije; hrana; proizvodnja medicinskih proizvoda, računari i elektronika, mašine i opreme, motorna vozila, prikolice i poluprikolice te ostala prevozna oprema; digitalni pružaoci (internet tržišta, internetski pretraživači i platforme za usluge društvenih mreža) i istraživačke organizacije.

Zahtevi direktive NIS 2

Tehničke mere:

  • Upravljanje rizicima: Organizacije moraju preduzeti mere za minimiziranje syber rizika,

uključujući upravljanje incidentima, jačanje sigurnosti lanca snabdevanja, poboljšanje

mrežne sigurnosti, bolju kontrolu pristupa i enkripciju.

  • Korporativna odgovornost: NIS 2 zahteva od korporativnog menadžmenta da nadgleda,

odobrava i obučava se o merama kibernetičke sigurnosti i da se bavi kibernetičkim rizicima.

  • Obaveze izveštavanja: Suštinski važni entiteti moraju imati procese za brzo izveštavanje o

sigurnosnim incidentima koji značajno utiču na njihovo pružanje usluga ili primaoca usluga.

  • Kontinuitet poslovanja: Organizacije moraju planirati kako će osigurati kontinuitet

poslovanja u slučaju velikih syber incidenata. Ovaj plan treba da uključuje razmatranja o

oporavku sistema, hitnim procedurama i uspostavljanju tima za reagovanje na krize.

Osnovne bezbednosne mere:

Pored ovih opštih oblasti zahteva, NIS2 nalaže da suštinski i važni entiteti implementiraju osnovne

bezbednosne mere za adresiranje specifičnih oblika verovatnih syber pretnji. To uključuje:

  • Procene rizika i bezbednosne politike za informacione sisteme.
  • Politike i procedure za procenu efikasnosti bezbednosnih mera.
  • Politike i procedure za upotrebu kriptografije i, kada je relevantno, enkripcije.
  • Plan za rukovanje bezbednosnim incidentima.
  • Bezbednost nabavke sistema, razvoja i operacija sistema.
  • Obuka iz kibernetičke sigurnosti i praksa za osnovnu računarsku higijenu.
  • Bezbednosne procedure za zaposlene koji imaju pristup osetljivim ili važnim podacima.
  • Plan za upravljanje poslovnim operacijama tokom i nakon bezbednosnog incidenta.
  • Upotreba višefaktorske autentifikacije, kontinuiranih rešenja za autentifikaciju, enkripcije glasa, videa i teksta, i enkriptovane interne komunikacije u hitnim slučajevima, kada je to prihvatljivo.
  • Bezbednost lanaca snabdevanja i odnosa između kompanije i direktnog dobavljača.

Dobre osnove:

ISO/IEC 27001:2022; ISO/IEC 27002:2022; ISO/IEC 27701:2019; ISO/IEC 27005:2022; ISO/IEC 27032:2023; ISO/IEC 27035:2023; GDPR; CER – Critical Entities Resilience Directive, ISO/IEC 27036-2:2023

Neispunjenje zahteva DORA i NIS 2

Neispunjenje zahteva DORA i NIS 2 može dovesti do ozbiljnih posledica. Ovo uključuje zakonske mere i visoke kazne za nepoštovanje.

Ukoliko želite da budete u toku sa našim najnovijim uslugama i dešavanjima, što u vezi implementacije, tako i u vezi obuka za ISO standarde, posetite nas na LinkedInu, kao i na našem Instagramu.

Sve informacije možete dobiti i upitom na mejl: 📩office@mobes-quality.rs, kao i pozivom na broj telefona: 📞+381 65 244 1360

Povratak na portfolio usluga