Když se dnes v organizacích začne mluvit o evropském nařízení DORA (Digital Operational Resilience Act), velmi často se diskuse okamžitě stočí ke kybernetické bezpečnosti. Organizace začnou řešit monitoring, detekci incidentů, penetrační testy nebo řízení kybernetických rizik. To je samozřejmě správně, DORA skutečně obsahuje celou řadu požadavků, které se přímo týkají bezpečnostních kontrol. Jenže z pohledu praxe je důležité si uvědomit jednu věc: DORA není pouze bezpečnostní regulace.
Její ambicí není jen chránit organizace před kybernetickými útoky. Skutečným cílem je zajistit, aby digitální služby finančního sektoru zůstaly funkční i ve chvíli, kdy dojde k narušení, ať už je způsobeno útokem, technickým selháním, chybou v provozu nebo výpadkem dodavatele. Právě proto je DORA postavena na mnohem širším pohledu na fungování ICT prostředí.
Řízení ICT prostředí jako základ digitální odolnosti
Vedle kybernetické bezpečnosti totiž klade velký důraz také na stabilitu a kvalitu řízení ICT prostředí jako celku. To znamená architekturu systémů, řízení změn, správu aktiv, dokumentaci, řízení dodavatelů nebo kvalitu provozních procesů. Jinými slovy: na všechny oblasti, které rozhodují o tom, zda je digitální infrastruktura organizace skutečně stabilní a zvládne krizovou situaci.
V praxi totiž často vidíme organizace, které mají poměrně silné bezpečnostní technologie – firewall, SIEM, EDR, SOC nebo pokročilé detekční nástroje. Přesto jejich digitální odolnost zůstává omezená. Důvod je jednoduchý: bezpečnostní nástroje samy o sobě stabilitu prostředí nezajistí.
Pokud je ICT prostředí složité, špatně zdokumentované, plné neřízených změn nebo závislé na nedostatečně řízených dodavatelích, pak i relativně malý incident může způsobit rozsáhlé provozní problémy.
A právě zde se ukazuje skutečná logika DORA. Nařízení v podstatě propojuje dva světy, které byly v organizacích dlouho vnímány odděleně:
- kybernetickou bezpečnost, která řeší ochranu před úmyslnými útoky
- řízení ICT prostředí, které zajišťuje stabilitu, transparentnost a kontrolu nad technologickou infrastrukturou
„Bezpečnostní nástroje i lidé jsou důležití, ale ve výsledku často rozhoduje, jak dobře má organizace zvládnuté řízení ICT prostředí. I menší incident pak může způsobit velké problémy, pokud chybí přehled o systémech, změnách nebo dodavatelích.“
Digitální provozní odolnost finančních institucí
Organizace, které budou nařízení DORA chápat pouze jako další bezpečnostní regulaci, se pravděpodobně zaměří hlavně na technologie jako monitoring, detekci, testování nebo incident response. To ale představuje jen jednu část celé rovnice.
Skutečná odolnost se totiž často rozhoduje jinde: v kvalitě architektury, ve schopnosti řídit změny, v přehledu o ICT aktivech, v řízení dodavatelských vztahů nebo v tom, zda má organizace pod kontrolou vlastní technologickou komplexitu.
DORA tak nepřímo upozorňuje na něco, co bezpečnostní praxe potvrzuje už dlouho: organizace velmi často neselhávají kvůli samotnému útoku, ale kvůli nestabilitě vlastního ICT prostředí. Útok, chyba nebo technické selhání jsou jen spouštěčem. Skutečný dopad pak určuje kvalita řízení ICT prostředí.
Právě proto bychom měli DORA vnímat jako regulaci, která spojuje kybernetickou bezpečnost s dobrým řízením ICT. Bezpečnost chrání před útoky, kvalitní ICT governance zase zajišťuje stabilitu a předvídatelnost provozu.
A teprve dohromady vytvářejí to, co dnes finanční sektor skutečně potřebuje: digitální provozní odolnost.
DORA jako příležitost ke zlepšení řízení ICT
Nařízení DORA nevytváří jen nové regulatorní požadavky, ale také přirozeně otevírá prostor pro zlepšení řízení ICT prostředí jako celku. Organizace, které k ní přistoupí systematicky, získávají lepší přehled o svém technologickém prostředí, jasnější odpovědnosti a větší kontrolu nad změnami i závislostmi na dodavatelích.
Organizace tím získávají schopnost:
- systematicky řídit ICT rizika
- rychleji reagovat na incidenty
- pravidelně ověřovat odolnost prostředí
mít pod kontrolou rizika spojená s dodavateli
Výsledkem je stabilnější provoz, kratší doba obnovy po incidentech a prostředí, které organizace dokážou lépe řídit i v situacích, kdy věci nejdou podle plánu.
Co je DORA a koho se týká
Co je DORA?
DORA (Digital Operational Resilience Act) je evropské nařízení zaměřené na digitální provozní odolnost finančního sektoru. Jeho cílem je zajistit, aby organizace dokázaly zvládat narušení ICT služeb bez zásadního dopadu na své klienty a provoz.
Koho se DORA týká?
Nařízení se vztahuje na široké spektrum subjektů ve finančním sektoru, včetně bank, pojišťoven, investičních společností nebo fintech firem. Dopad má také na poskytovatele ICT služeb, kteří jsou součástí jejich dodavatelského řetězce.
Na co se DORA zaměřuje?
DORA pokrývá oblasti jako řízení ICT rizik, incident management, testování odolnosti nebo řízení dodavatelů. Důležitou součástí je i důraz na stabilitu a transparentnost ICT prostředí.
