Realybė: DORA reguliavimas yra kur kas platesnis, nes apima organizacines struktūras, rizikų valdymą, incidentų klasifikavimą, trečiųjų šalių kontrolę, atsparumo testavimą ir veiklos tęstinumą.
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
DORA reglamentas yra itin svarbus Lietuvos finansų sektoriui, siekiant stiprinti organizacijų skaitmeninį atsparumą. Reglamentas nustato reikalavimus, pagal kuriuos organizacijos turi užtikrinti, kad galės atlaikyti, reaguoti ir atsistatyti po IRT sutrikimų bei grėsmių. Šie reikalavimai apima IRT rizikos valdymą, incidentų pranešimus, operacinio atsparumo testavimą ir trečiųjų šalių paslaugų stebėseną.
Padėdami įmonėms įgyvendinti DORA reglamentą, neretai susiduriame su įvairiais mitais, todėl „NRD Cyber Security“ kibernetinio saugumo konsultacijų komandos vadovas Modestas Sadauskas juos išsklaido ir pataria ką iš tikrųjų įpareigoja atlikti reglamentas.
1. Mitas: DORA reglamentas yra tik apie kibernetinį saugumą.
2. Mitas: DORA atitiktimi turi rūpintis tik IT ar informacijos saugumo komanda.
Realybė: Efektyvus DORA įgyvendinimas reikalauja visos organizacijos įsitraukimo. IT, rizikos, teisės, personalo, pirkimų, verslo vystymo padaliniai dirba kartu, o valdyba ir aukščiausioji vadovybė yra tiesiogiai atsakingos už IRT rizikos valdymo strategiją ir sprendimus. Tai yra organizacinės brandos, o ne tik techninės kompetencijos klausimas.
3. Mitas: Jeigu organizacija turi ISO 27001 sertifikatą, ji – automatiškai atitinka ir DORA.
Realybė: ISO 27001 yra tvirtas pagrindas, tačiau DORA kelia specifinius, papildomus reikalavimus, kurių ISO neapima. Tarp jų – scenarijais grįstas atsparumo testavimas, išsamus IRT trečiųjų šalių rizikų valdymas, detali IRT paslaugų ir turto apskaita bei incidentų klasifikavimas pagal DORA nustatytas ribas.
4. Mitas: Vieną kartą sutvarkius dokumentaciją, DORA atitiktis yra pasiekta.
Realybė: DORA atitiktis yra nuolatinis procesas. Organizacijos turi palaikyti gyvą IRT rizikos valdymo ciklą: testuoti kontrolės priemones, vertinti grėsmių scenarijus, reguliariai atnaujinti procesus ir integruoti pamokas iš incidentų.
5. Mitas: Incidentų klasifikavimas pagal DORA apsiriboja tik didelių incidentų nustatymu ir pranešimu priežiūros institucijai.
Realybė: Organizacija turi turėti visą incidentų klasifikavimo sistemą, kuri atitinka jos veiklos poreikius bei kartu užtikrina, kad būtų tiksliai identifikuoti ir tie incidentai, kurie pagal DORA tampa reikšmingais.
6. Mitas: Jei IRT paslaugų teikėjas yra patikimas, žinomas arba sertifikuotas, rizikos vertinti nebereikia.
Realybė: DORA aiškiai numato, kad kiekvienas IRT paslaugų teikėjas turi būti vertinamas pagal nustatytus kriterijus: nuo kritiškumo iki sutartinių įsipareigojimų ir nuolatinės priežiūros. Reputacija ar sertifikatai negarantuoja atitikties DORA, todėl rizikų valdymas turi būti sistemingas ir dokumentuotas.
„NRD Cyber Security“ likvidavo Bangladeše įsteigtą įmonę „NRD Bangladesh“
2024 metais sparčiai augome ir plėtėmės į tarptautines rinkas
Informacijos saugumas: kam patikėti įmonės duomenis?
SOCshare 2025 m. vasaris: CTI dalijimosi kultūros ugdymas Lietuvoje
SOCcare 2025 m. vasaris Malpeek: CTRL+V Malware
SOCshare 2025 m. sausio mėn: Kibernetinio saugumo padėtis. Apžvalga
SOCshare 2024 m. gruodis: kibernetinės grėsmės senjorams ir jų (pa)stebėjimas
