W obliczu zbliżających się zmian regulacyjnych, takich jak Rozporządzenie o Cyfrowej Odporności Operacyjnej (DORA), instytucje finansowe stoją przed poważnymi wyzwaniami. Zarządzanie dostawcami ICT, harmonizacja dokumentacji oraz przygotowanie do rygorystycznego raportowania – to tylko niektóre z nich.
O tym, jak sprostać tym wymaganiom, rozmawiano podczas konferencji „Praktycznie o DORA”, która odbyła się 17 grudnia 2024 r. online. Wydarzenie, zorganizowane przy wsparciu renomowanych partnerów, zgromadziło ekspertów i przedstawicieli branży, oferując uczestnikom praktyczne wskazówki i narzędzia. Partnerem medialnym była „Gazeta Ubezpieczeniowa”.
Największe wyzwania związane z DORA – co warto wiedzieć?
Podczas konferencji szczególną uwagę poświęcono kluczowym wyzwaniom, które mogą opóźnić wdrożenie DORA. Wśród nich znalazły się:
- Zarządzanie dostawcami ICT
Nowe regulacje wymagają nie tylko oceny i kwalifikacji dostawców, ale również podpisywania zgodnych z DORA umów. Wiele instytucji napotyka trudności w negocjacjach, a brak gotowych dokumentów może prowadzić do ryzyk operacyjnych. - Tworzenie rejestrów dostawców ICT
Rejestry wymagają zebrania i uporządkowania danych o dostawcach, co jest procesem czasochłonnym i wymagającym wysokiej precyzji. Mimo że raportowanie tych dokumentów zostało przesunięte na kwiecień 2025 r., organizacje powinny być gotowe już od stycznia. - Zarządzanie incydentami ICT
Procedury związane z monitorowaniem i zgłaszaniem incydentów często wymagają dostosowania do szczegółowych standardów RTS. Brak gotowości w tym obszarze może skutkować niespełnieniem wymogów regulacyjnych.
Praktyczne narzędzia i rozwiązania – co zaproponowali eksperci?
Prelegenci zaprezentowali wiele stosowanych praktyk, które zaliczają się do zapewniania zgodności z DORA.
- Testy penetracyjne i skanowanie podatności – regularne testy i ich odpowiednia dokumentacja to klucz do identyfikacji luk w bezpieczeństwie. Eksperci podkreślili, że raporty muszą być dostosowane do potrzeb zarządów oraz wymogów regulatorów.
- Harmonizacja dokumentacji – choć większość instytucji posiada procedury zarządzania ryzykiem ICT, konieczna jest ich integracja i dostosowanie do wymogów DORA.
- Szkolenia pracowników – budowanie świadomości na temat cyberbezpieczeństwa i regulacji wśród zespołów operacyjnych i zarządzających jest nieodzowne dla skutecznego wdrożenia.
Eksperci wskazują drogę – kto wystąpił?
Wydarzenie zgromadziło czołowych ekspertów w swoich dziedzinach:
- Mikołaj Otmianowski – specjalista w zakresie legaltech, omówił wyzwania związane z dokumentacją i zarządzaniem ryzykiem ICT.
- Piotr Sojka – ekspert ds. analizy ryzyka, przedstawił podejście do Business Impact Analysis (BIA).
- Arkadiusz Reiter – specjalista ds. bezpieczeństwa informacji, wyjaśnił zasady oceny i kwalifikacji dostawców ICT.
- Mateusz Stefanowicz – szef sprzedaży RED INTO GREEN, opisał proces tworzenia rejestrów ICT.
- Michał Zajączkowski – ekspert ds. cyberbezpieczeństwa, zaprezentował praktyczne podejście do testów penetracyjnych.
- Agnieszka Duda – radczyni prawna, omówiła zarządzanie incydentami zgodnie z wymogami DORA.
- Paweł Marchelek – ekspert ds. infrastruktury technicznej, podzielił się wskazówkami dotyczącymi przygotowania hardware’u.
Wsparcie partnerów i dodatkowe materiały dla uczestników
Partnerami konferencji byli OpenBIZ, DWF, ISSA Polska, Lenovo, Celius, Osborne Clarke oraz TKP (Traple Konarski Podrecki). Ich wkład merytoryczny i technologiczny przełożył się na użytkową wartość wydarzenia.
Dodatkowo organizatorzy udostępnili uczestnikom nagrania wystąpień wzbogacone o notatki wizualne, które ułatwiły uporządkowanie omawianych zagadnień i praktyczne wykorzystanie zdobytej wiedzy.
Podsumowanie – czas na działanie
Konferencja „Praktycznie o DORA” potwierdziła, że wdrożenie nowych regulacji wymaga intensywnych przygotowań i współpracy na wielu poziomach organizacji. Zarządzanie dostawcami ICT, dokumentacja oraz integracja procesów zarządzania ryzykiem to obszary, które wymagają szczególnej uwagi.
Wydarzenie dostarczyło nie tylko wiedzy, ale również narzędzi, które mogą pomóc instytucjom sprostać tym wyzwaniom. W obliczu zbliżającego się terminu wejścia w życie DORA każda organizacja powinna dokładnie przeanalizować swoje działania i wprowadzić niezbędne korekty, aby zapewnić pełną zgodność z regulacjami.
