Kaip pasiruošti DORA? Eksperto įžvalgos

Šiandien kalbiname ne mažą patirtį (tiek CGI Lithuania, tiek CGI Deutschland) sukaupusį kibernetinio saugumo ekspertą Michael Von Glasow, kuris pristatys svarbiausius akcentus susijusius su Europos Sąjungos (ES) DORA reglamentu (skaitmeninės veiklos atsparumo reglamentas (angl. Digital Operational Resilience Act). Interviu rasite atsakymus apie tai, kas yra DORA, kam jis taikomas ir kodėl įmonėms itin svarbu atkreipti dėmesį jau dabar ar neturi reglamento įgyvendinimo spragų.

Kas yra DORA ir kam jis taikomas?

DORA yra Europos Sąjungos reglamentas, kuris įsigaliojo 2025 m. DORA yra taikomas gana plačiam spektrui įmonių t.y. įmonėms dirbančioms finansiniame sektoriuje. Tai apima, tiek bankus, tiek draudimo įmones ir ne tik. Svarbu pabrėžti, kad DORA taikomas ne tik finansinio sektoriaus įmonėms, bet ir jų IT paslaugų tiekėjams.

Kuo skiriasi DORA reglamentas nuo kitų saugumo reglamentų, pavyzdžiui NIS2?

DORA reglamentas į skaitmeninį operacinį atsparumą žvelgia daug plačiau. Jis apima ne tik kibernetinį saugumą, bet ir įvairius operacinius sutrikimus, tokius kaip gaisrai, žemės drebėjimai ar kitokios nelaimės. Be prieinamumo ir informacijos konfidencialumo, DORA akcentuoja ir duomenų vientisumo bei paslaugų tęstinumo užtikrinimą.

Su kokiomis rizikomis gali susidurti įmonės, kurios dar nepasiruošusios DORA reikalavimams?

Įmonės, kurios neįgyvendino DORA reikalavimų, pirmiausia susiduria su padidėjusia operacinių ir kibernetinių incidentų rizika. Jei įvyksta sutrikimas ar ataka, o organizacija tam nėra pasiruošusi, pasekmės gali būti reikšmingos - finansiniai nuostoliai, reputacijos žala ar paslaugų sutrikimai. Be to, DORA įpareigoja įgyvendinti konkrečias rizikų valdymo priemones, o jų nevykdymas gali lemti reguliacinę atsakomybę ir sankcijas.

Nuo ko turėtų pradėti įmonė, siekdama įgyvendinti DORA reikalavimus? Kokie būtų pirmieji žingsniai?

Pirmasis žingsnis turėtų būti išsami analizė - įmonė turi įvertinti, ką jau yra įgyvendinusi, o ko trūksta. Dažnai dalis priemonių jau būna įdiegtos, tačiau būtina identifikuoti spragas ir suplanuoti, kaip jas užpildyti. Reikalavimai taikomi proporcingai - jie priklauso nuo įmonės dydžio, veiklos pobūdžio, rizikos profilio ir teikiamų paslaugų masto. Kai kurioms įmonėms taikoma supaprastinta rizikų valdymo tvarka ir mažesni administraciniai įsipareigojimai, tačiau atsakomybė už pasirengimą lieka visais atvejais.

Kiek laiko gali užtrukti pasirengimas DORA reikalavimams?

Tikslų laiką nurodyti sunku, nes pasirengimo trukmė labai priklauso nuo įmonės dydžio, sudėtingumo, jau turimų procesų ir resursų. Pavyzdžiui, viename iš mūsų atliktų projektų, parengiamoji analizė (GAP analizė) ir pagrindinių priemonių planavimas užtruko apie 200 valandų. Tačiau yra ir projektų, kurie vykdomi greičiau, todėl tik įvertinus esamą situaciją galima objektyviai pasakyti, kiek truks pasirengimas - tai labai priklauso nuo apimties ir požiūrio į kokybę.

Kas įmonėje turėtų būti atsakingas už DORA reikalavimų įgyvendinimą - IT skyrius ar vadovybė? Ar reglamente aiškiai apibrėžta atsakomybė?

Kaip ir kitose saugumo srityse, galutinis atsakomybės centras yra vadovai - jie turi užtikrinti, kad organizacija laikytųsi teisinių reikalavimų. IT skyrius ar kiti padaliniai gali vykdyti konkrečias technines ar organizacines priemones, tačiau vadovybė atsako už visos įmonės atitiktį. Be to, DORA reglamente aiškiai nurodytas valdymo organų (vadovų) vaidmuo - jie turi aktyviai įsitraukti į rizikų valdymą ir būti pasirengę atsiskaityti už atitikties užtikrinimą.

Kaip įmonės turėtų reaguoti į IT incidentus? Kiek, jūsų nuomone, jos šiuo metu yra tam pasiruošusios?

Pastebiu, kad dauguma įmonių jau turi tam tikras incidentų valdymo priemones. Tačiau dažnai kyla klausimas ar jų pakanka ir ar jos atitinka DORA reikalavimus. Vienas iš konkrečių DORA reikalavimų - pranešimas apie didelio poveikio incidentus. Lietuvoje apie tokius incidentus būtina informuoti Lietuvos banką. Todėl svarbu ne tik turėti priemones, bet ir reguliariai tikrinti, ar jos veikia tinkamai, bei įsitikinti, kad incidentų valdymo procesai atitinka teisės aktų reikalavimus.

Jeigu įvyksta incidentas, įmonei reikia pranešti Lietuvos bankui. O kas toliau? Koks turėtų būti veiksmų planas?

Turi būti parengtas tinkamas incidentų valdymo procesas, kuris apima ne tik pačių incidentų suvaldymą, bet ir komunikaciją. Pagal DORA, per 24 valandas nuo incidento nustatymo reikia pateikti pradinį pranešimą Lietuvos bankui. Toliau, ne vėliau kaip per 72 valandas, reikia pateikti atnaujintą informaciją, jei atsirado papildomų duomenų apie incidentą. Visa tai turi būti aiškiai aprašyta įmonės vidinėse procedūrose.

Ar įmonė, norėdama įgyvendinti DORA reikalavimus, turi atnaujinti sutartis su IT paslaugų tiekėjais?

Taip, tai yra vienas iš penkių pagrindinių DORA („stulpų“) sričių – trečiųjų šalių (tiekėjų) rizikų valdymas. Įmonė privalo peržiūrėti ir, jei reikia, atnaujinti sutartis su IT paslaugų tiekėjais taip, kad jos atitiktų DORA keliamus reikalavimus. Sutartyse turi būti aiškiai įtvirtinti tiekėjo įsipareigojimai, pavyzdžiui dėl saugumo, veiklos tęstinumo, incidentų valdymo, priežiūros institucijų teisės atlikti patikrinimus ir panašiai. Įmonė, kaip DORA subjektas, turi užtikrinti, kad tiekėjai laikosi šių sąlygų, ir turi teisę tai tikrinti.

Kalbate apie penkis DORA „stulpus“. Gal galite priminti, kokie jie yra?

Taip, DORA reglamentas remiasi penkiais pagrindiniais „stulpais“, t. y. teminėmis sritimis, kuriose nustatomi konkretūs reikalavimai:

1. IT rizikų valdymas – įmonė turi turėti veiksmingą informacinių ir ryšių technologijų (IRT) rizikos valdymo sistemą.
2. IT incidentų valdymas ir pranešimai – būtina turėti incidentų valdymo procesą ir laikytis griežtų pranešimų terminų (pvz., 24 val. po incidento nustatymo).
3. Skaitmeninio operacinio atsparumo testavimas – įmonė turi reguliariai testuoti savo pasirengimą atlaikyti technologinius sutrikimus.
4. Trečiųjų šalių (tiekėjų) rizikų valdymas – įmonė privalo valdyti rizikas, kylančias dėl paslaugų tiekėjų, ir užtikrinti, kad jų veikla atitinka DORA reikalavimus.
5. Informacijos dalijimasis – tai savanoriška sritis, kuri leidžia keistis informacija apie grėsmes ir incidentus tarp sektoriaus subjektų, siekiant stiprinti bendrą atsparumą.

Šios penkios sritys sudaro DORA pagrindą, o jų įgyvendinimas yra būtinas siekiant visiškos atitikties reglamentui.

Ar DORA reikalavimų įgyvendinimas gali suteikti įmonei konkurencinių pranašumų?

Taip, tai tikrai gali būti konkurencinis pranašumas. Įmonės, kurios ne tik formaliai įgyvendino DORA reikalavimus, bet ir turi stiprų skaitmeninį atsparumą, išsiskiria rinkoje. Jos gali užtikrinti, kad jų paslaugos veiks nenutrūkstamai net ir sudėtingomis situacijomis, o tai didina klientų pasitikėjimą. Tuo tarpu konkurentai, kurie minimaliai pasiruošę, gali patirti didesnį rizikos lygį.

Kaip, jūsų nuomone, įmonių vadovybė turėtų įsitraukti į DORA reikalavimų įgyvendinimą? Ar reikalingi specialūs mokymai?

Aš rekomenduočiau bendradarbiauti su IT konsultavimo įmone, kuri gali objektyviai įvertinti esamą situaciją - kokios priemonės jau yra įdiegtos, ko trūksta ir kaip konkrečiai pritaikyti DORA reikalavimus toje įmonėje. Toks vertinimas padeda aiškiai suprasti, kokių veiksmų reikia ir kur turėtų būti vadovybės įsitraukimo taškai.

Kuo CGI Lithuania gali padėti šiame procese?

Mes galime padėti visose DORA įgyvendinimo fazėse - nuo pradinės situacijos analizės ir spragų (GAP) vertinimo iki konkrečių priemonių diegimo bei veiklos palaikymo (operacinio įgyvendinimo). Esame pasirengę dirbti nuo nulio iki pilno atitikimo užtikrinimo.

Galbūt galite pasidalinti pavyzdžiais iš praktikos – klientų istorijomis, kuriose turėjote patirties įgyvendinant DORA reikalavimus?

Taip, asmeniškai dalyvavau dviejuose reikšminguose projektuose. Vienas iš jų – su draudimo bendrove. Ten atlikome išsamią situacijos analizę ir padėjome įgyvendinti reikiamas priemones: parengėme visus būtinus dokumentus – politiką, planus, tvarkas.

Kitas atvejis – telekomunikacijų bendrovė (mobiliojo ryšio operatorius). Nors jų pagrindinė veikla nėra finansinė, jie vis tiek pateko į DORA taikymo sritį. Ten dirbome su kompleksiniu požiūriu, derindami tiek DORA, tiek NIS2 reikalavimus, nes įmonė patenka į abu reguliavimo rėžimus.

Kas ES ir Lietuvoje yra atsakingi už DORA reglamento įgyvendinimą ir priežiūrą? Kaip įmonė turi elgtis, jei patenka į kelis reguliavimo rėžimus?

Europos Sąjungoje kiekvienoje valstybėje narėje yra paskirta viena kompetentinga institucija, atsakinga už DORA reglamento įgyvendinimą ir priežiūrą. Lietuvoje šią funkciją atlieka Lietuvos bankas. Panašiai Vokietijoje ar Italijoje tai yra jų centriniai bankai arba kitos kompetentingos institucijos - paprastai tai būna viena pagrindinė įstaiga. Kartais gali kilti sudėtingų situacijų, kai įmonė patenka į kelis reguliavimo rėžimus, pavyzdžiui, jei ji yra reguliuojama pagal DORA ir taip pat pagal kitus ES reglamentus (pvz., NIS2). Tokiu atveju įmonė turi laikytis reikalavimų ir bendrauti su visomis atsakingomis institucijomis, kurios taiko tuos reglamentus.

Ką patartumėte Lietuvos įmonėms, susijusioms su DORA reikalavimų įgyvendinimu? Ar jos turėtų skubėti? Į ką svarbiausia atkreipti dėmesį?

Įmonės, kurios patenka į DORA taikymo sritį, kai kurios jau vėluoja, nes reikalavimus reikia įgyvendinti jau dabar. Todėl mano pagrindinė rekomendacija – nedelsti. Reikia kuo greičiau pradėti nuo neatitikčių analizės (angl. GAP analysis), įvertinti, kur yra didžiausios spragos, ir pagal tai planuoti veiksmus. Taip pat svarbu prisiminti, kad DORA taikomas pagal proporcingumo principą – priemonės turi būti pritaikytos įmonės dydžiui, rizikos lygiui ir veiklos pobūdžiui. Todėl svarbu atidžiai įvertinti savo situaciją ir veikti sistemingai.