Abordare comună Directiva NIS2- Regulamentul DORA, webinar sustinut de Safetech in parteneriat cu Institutul Bancar Român
Începând din 17 ianuarie 2025, va intra în vigoare la nivelul Uniunii Europene Regulamentul DORA (Digital Operational Resilience Act), care introduce noi norme de securitate cibernetică pentru entitățile care activează în sectorul financiar-bancar. Regulamentul va fi însă precedat de transpunerea în legislația națională a Directivei NIS 2, termenul limită stabilit fiind 17 octombrie 2024. În acest context, Safetech Innovations a organizat, pe 26 septembrie 2024, webinarul „Directiva NIS2 și Regulamentul DORA – scop, cerințe și soluții de obținere a conformității”. Evenimentul a avut ca obiectiv clarificarea măsurilor, obligațiilor și tehnologiilor impuse organizațiilor din sectorul financiar – bancar vizate de aceste reglementări. Reprezentanții Safetech Innovations, Iulian Alecu – Strategic Business Developer și Cătălin Gherghiceanu – Presales Manager, au susținut prezentări în care au analizat cerințele NIS 2 și DORA, punând accentul pe implicații practice și concepte, pe acțiunile și soluțiile tehnice necesare pentru obținerea conformității.
Regulamentul DORA, din perspectiva Directivei NIS2
Potrivit lui Iulian Alecu, este esențial ca organizațiile să înțeleagă exact cum se aplică cele două reglementări europene, dat fiind că ambele se adresează sectoarelor financiar și bancar. Din experiența Safetech, anumite organizații consideră că, odată cu aplicarea DORA, Directiva NIS 2 nu mai este relevantă. În realitate, ambele rămân valabile, însă provocarea constă în clarificarea delimitării dintre prevederile fiecăreia, ceea ce poate genera confuzii. Adresând acest aspect, Iulian Alecu a prezentat Regulamentul DORA din perspectiva NIS 2.
Potrivit NIS 2, DORA este un act juridic sectorial al UE, în ceea ce privește zona financiar-bancară, având prioritate în ceea ce privește implementarea anumitor componente amintite și în NIS 2. Mai precis, anumite dispoziții DORA ar trebui să se aplice în locul celor prevăzute în Directiva NIS2. Acestea sunt cele referitoare la gestionarea riscurilor legate de tehnologia informației și comunicațiilor (TIC), gestionarea incidentelor TIC, în special raportarea incidentelor majore legate de TIC, testarea rezilienței operaționale digitale, acordurile privind schimbul de informații și riscurile TIC generate de părți terțe.
În plus, dincolo de securitate cibernetică, regulamentul DORA insistă pe conceptul de „reziliență operațională digitală”, care presupune că entitățile financiare, indiferent de perturbările și de cauza care afectează serviciile oferite, trebuie să furnizeze în continuare aceste servicii, la același nivel calitativ, și să aibă capacitatea de a înlătura problemele apărute, din punct de vedere al tehnologiei informației și comunicațiilor.
Iulian Alecu a prezentat și principalele prevederi ale DORA, inclusiv cerințele aplicabile entităților financiare și domeniul de aplicare. Totodată, specialistul Safetech a precizat că, potrivit DORA, organul de conducere al organizației, adică managementul, definește, aprobă, supraveghează și este responsabil de punerea în aplicare a tuturor dispozițiilor legate de cadrul de gestionare a riscurilor TIC, purtând deci responsabilitatea finală.
Tehnologii, soluții și servicii pentru conformitatea cu Directiva NIS2 și Regulamentul DORA
Cătălin Gherghiceanu a prezentat care este, din punctul de vedere al Safetech Innovations, abordarea și metodologia optime pentru implementarea și conformarea cu DORA, concentrându-se pe tehnologii, soluții și servicii.
Managerul Safetech a împărțit organizațiile care intră sub incidența DORA în entități cu incidență directă (entități financiare și furnizori terți esențiali de servicii TIC) și entități cu incidență indirectă (furnizori terți neesențiali de servicii TIC). În ceea ce privește prima categorie, majoritatea se supun deja normelor și regulamentelor ASF, BNR și Directivei NIS 1, astfel încât conformarea cu DORA nu va necesita eforturi majore. Deși furnizorii terți neesențiali de servicii TIC nu sunt, în prezent, supravegheați de ASF și BNR, ei vor trebui luați în considerare de către entitățile financiare, în etapa de evaluare a riscurilor. Pentru a-și menține conformitatea, entitățile financiare trebuie deci să solicite furnizorilor terți să îndeplinească anumite criterii prevăzute de DORA.
Dacă, din perspectiva Safetech, un reper principal pentru conformitatea cu NIS 2 este ISO 27001/2, în regulamentul DORA se nominalizează faptul că a fost folosită terminologia din standardele ISO amintite, pentru a ușura comunicarea între diversele entități. Totodată, un alt punct de plecare pentru conformitatea cu DORA este cadrul NIST CSF, pentru că regulamentul folosește un set similar de funcții și principii (Identificare, Protecție și prevenire, Detectare, Răspuns și recuperare, etc.) Drept urmare, cei care îndeplinesc aceste standarde vor atinge conformitatea cu DORA relativ ușor. În acest context, reprezentantul Safetech Innovations a analizat în detaliu măsurile prevăzute în DORA și a prezentat un ghid de pregătire a conformității cu DORA și NIS 2.
La finalul prezentării sale, Cătălin Gherghiceanu a enumerat un set de tehnologii, produse și servicii de securitate cibernetică care contribuie la obținerea conformității cu DORA. Dintre acestea amintim: servicii guvernanță, risc, conformitate (GRC), SIEM, XDR, BAS, managementul riscului, arhitecturi DiD/Zero Trust, servicii de Threat Intelligence, platforme și servicii de instruire și conștientizare (phishing, inginerie socială, etc.). Safetech Innovations oferă clienților întreaga gamă de tehnologii și soluții de securitate pentru conformitate cu NIS2 și DORA, inclusiv la nivel de rețea, securitatea datelor, a aplicațiilor și dispozitivelor terminale.