Luật áp dụng cho hơn 20 loại hình tổ chức tài chính khác nhau như ngân hàng, công ty bảo hiểm và công ty đầu tư và các bên thứ ba tương tác với họ. Các quy tắc cũng bao gồm tất cả các nhà cung cấp dịch vụ bên thứ ba về công nghệ thông tin và truyền thông (ICT). Cũng giống như GDPR điều phối quy định về quyền riêng tư dữ liệu, DORA được thiết kế để củng cố và nâng cấp khả năng phục hồi mạng, rủi ro ICT và quản lý rủi ro mạng trong các dịch vụ tài chính.

Yêu cầu của DORA

• Đánh giá các khuôn khổ CNTT hiện tại.
• Tăng cường các biện pháp an ninh mạng.
• Thiết lập các cấu trúc quản trị hỗ trợ duy trì liên tục khả năng phục hồi hoạt động số.

Các yêu cầu nghiêm ngặt và cách tiếp cận có cấu trúc của DORA sẽ giúp ngành tài chính tự củng cố trước các rủi ro kỹ thuật số phức tạp và các mối đe dọa an ninh mạng, đảm bảo môi trường tài chính ổn định, phục hồi và an toàn trên khắp EU. Việc tích hợp các yêu cầu này vào khuôn khổ của tổ chức bạn sẽ chuẩn bị cho các thách thức kỹ thuật số hiện tại và xây dựng nền tảng để thích ứng với những tiến bộ công nghệ trong tương lai.

Quản lý rủi ro CNTT là gì?

Quản lý rủi ro CNTT không phải là một khái niệm mới. Tuy nhiên, các nhiệm vụ toàn diện của DORA yêu cầu các tổ chức tài chính phải tiến hành các cuộc điều chỉnh toàn diện và sâu rộng đối với các hoạt động và khuôn khổ hiện tại của họ. Tuy nhiên, đạo luật này không chỉ yêu cầu các cuộc điều chỉnh toàn diện đối với các hoạt động quản lý rủi ro CNTT; mà còn tăng cường trách nhiệm giải trình của các cơ quan quản lý nội bộ của tổ chức tài chính được giao nhiệm vụ chủ chốt là xây dựng và xác nhận chiến lược phục hồi hoạt động kỹ thuật số của công ty. Chiến lược này cũng phải được hỗ trợ bởi các mức dung sai rủi ro gián đoạn CNTT được xác định rõ ràng, các chỉ số hiệu suất chính (KPI) và các số liệu rủi ro phù hợp với các tiêu chuẩn bảo mật CNTT nâng cao của DORA.

Sau sự gián đoạn kinh doanh nghiêm trọng, DORA yêu cầu các tổ chức tài chính phải tiến hành phân tích tác động kinh doanh chặt chẽ để:

• Giúp họ hiểu được những hậu quả tiềm tàng của sự gián đoạn CNTT trong tương lai.
• Hướng dẫn họ ưu tiên các nỗ lực khắc phục để giải quyết các lỗ hổng đã xác định.

Cách tiếp cận chủ động này đảm bảo các tổ chức tài chính sẵn sàng ứng phó với sự gián đoạn và có khả năng tiếp tục hoạt động với tác động hoặc thời gian ngừng hoạt động tối thiểu.

Tăng cường các biện pháp an ninh mạng

DORA yêu cầu các biện pháp bảo vệ an ninh mạng bao gồm các chính sách sau:

• IAM (Quản lý danh tính và truy cập)
• Phát hiện bất thường
• Quét phần mềm độc hại
• Phản ứng đe dọa
• SIEM và SOAR
• Quản lý bản vá
• Báo cáo dữ liệu và thông tin chi tiết

Các biện pháp thực hành tốt nhất về khả năng phục hồi mạng bao gồm các biện pháp bảo vệ an ninh mạng này và nhiều biện pháp khác để cho phép các tổ chức tài chính chuẩn bị trong trường hợp xảy ra sự cố mạng, giảm thiểu thời gian ngừng hoạt động và tác động của cuộc tấn công mạng.

Khả năng phục hồi hoạt động kỹ thuật số

Nhấn mạnh thêm nhu cầu về tính minh bạch và trách nhiệm giải trình, DORA yêu cầu tạo ra một chiến lược truyền thông mạnh mẽ trong mỗi tổ chức, bao gồm chỉ định một người chịu trách nhiệm quản lý và báo cáo về các sự cố liên quan đến CNTT. Các kênh truyền thông rõ ràng này rất cần thiết để báo cáo và phản hồi kịp thời, giảm thiểu tác động tiềm ẩn của bất kỳ vấn đề CNTT nào đối với hoạt động của tổ chức.

Hơn nữa, hiểu biết sâu sắc về mối liên kết giữa các tài sản, quy trình và hệ thống ICT của một thực thể là rất quan trọng. DORA yêu cầu các tổ chức tài chính và nhà cung cấp thực hiện lập bản đồ toàn diện các thành phần này để xác định các lỗ hổng quan trọng và tăng cường khả năng phục hồi hoạt động chung trong trường hợp xảy ra sự cố hoặc vi phạm. Thực hành tốt nhất là phát triển sổ tay hướng dẫn phục hồi và các bài tập thực hành trên bàn làm rõ quy trình trên khắp các phòng ban và xây dựng trên bản đồ kết nối để tăng khả năng phục hồi của doanh nghiệp.

Họ cũng nên hợp tác với các nhà cung cấp dịch vụ ICT “quan trọng” để đảm bảo rằng họ cũng đang chuẩn bị cho những thay đổi và hiểu được vai trò của mình trong việc hỗ trợ các tổ chức tài chính trong môi trường quản lý mới.

Những tổ chức nào bị ảnh hưởng bởi DORA?

DORA không chỉ áp dụng cho các ngân hàng và tổ chức tài chính. Nó nhắm đến toàn bộ khu vực tài chính EU, bao gồm các nhà cung cấp và nhà bán hàng quan trọng như quản lý công nghệ và nhà cung cấp dịch vụ thanh toán.

Các ngành công nghiệp và thực thể chính bị ảnh hưởng bởi các quy định của DORA bao gồm:

• Ngân hàng. Là các tổ chức tài chính cốt lõi, các ngân hàng phải tuân thủ các thông lệ quản lý rủi ro bảo mật và CNTT nghiêm ngặt theo DORA.
• Các công ty bảo hiểm. Các nhà cung cấp bảo hiểm, bao gồm các công ty tái bảo hiểm, phải đảm bảo quy trình kỹ thuật số và xử lý dữ liệu của họ có khả năng chống lại sự gián đoạn và các mối đe dọa mạng.
• Các công ty đầu tư. Do phụ thuộc nhiều vào công nghệ số cho hoạt động thị trường, các công ty kinh doanh chứng khoán và đầu tư cũng nằm trong phạm vi bảo vệ của DORA.
• Nhà cung cấp dịch vụ thanh toán. Các công ty cung cấp hệ thống và dịch vụ thanh toán phải bảo vệ hoạt động của mình khỏi các mối đe dọa CNTT để duy trì sự tin cậy và chức năng của giao dịch tài chính.
• Nhà cung cấp dịch vụ tài sản tiền điện tử. Khi bối cảnh tài chính phát triển, các thực thể dịch vụ tài sản kỹ thuật số và tiền điện tử cũng được kỳ vọng sẽ tuân thủ các quy định này.
• Các tổ chức tín dụng. Bao gồm nhiều tổ chức cho vay khác nhau bên ngoài các ngân hàng truyền thống, chẳng hạn như các hợp tác xã tín dụng và các công ty cho vay thế chấp.
• Nhà cung cấp bên thứ ba quan trọng. Các dịch vụ điện toán đám mây và các nhà cung cấp dịch vụ ICT quan trọng khác cần thiết cho hoạt động của các tổ chức tài chính sẽ phải tuân thủ DORA để đảm bảo khả năng phục hồi hoạt động của khu vực tài chính không bị ảnh hưởng bởi các yếu tố phụ thuộc bên ngoài.
• Nhà cung cấp dịch vụ gây quỹ cộng đồng.
• Các công ty xếp hạng tín dụng.

Điều 2(3) của DORA miễn trừ một số thực thể do quy mô hoặc tầm quan trọng hạn chế của chúng, bao gồm:

• Người quản lý quỹ đầu tư thay thế.
• Các doanh nghiệp bảo hiểm và tái bảo hiểm cụ thể.
• Các tổ chức quy mô nhỏ vận hành chương trình lương hưu cho 15 thành viên trở xuống.
• Các công ty trung gian bảo hiểm nhỏ có ít hơn 10 nhân viên và có bảng cân đối kế toán hoặc doanh thu hàng năm không vượt quá 2 triệu euro.
• Các tổ chức bưu chính chuyển phát nhanh (POGI).

Các quốc gia thành viên có thể tùy ý miễn trừ cho các tổ chức tín dụng hoặc đầu tư quốc gia cụ thể.

Yêu cầu tuân thủ DORA là gì?

DORA là sáng kiến ​​quản lý toàn diện và có ý nghĩa cao, đưa ra khuôn khổ chính xác để giải quyết tình trạng phức tạp và kết nối ngày càng tăng của các hệ thống kỹ thuật số trong ngành tài chính của EU. Bằng cách thiết lập một tiêu chuẩn thống nhất trên khắp các quốc gia thành viên, sáng kiến ​​này đảm bảo tất cả các thực thể trong lĩnh vực tài chính, bao gồm ngân hàng, công ty bảo hiểm, công ty đầu tư và nhà cung cấp dịch vụ thanh toán, đều được trang bị đầy đủ để quản lý và giảm thiểu rủi ro liên quan đến hệ thống và dịch vụ CNTT của họ.

Một lĩnh vực trọng tâm chính trong DORA là tăng cường các biện pháp an ninh mạng. Các tổ chức tài chính phải triển khai các chính sách và biện pháp kiểm soát an ninh mạng mạnh mẽ để ngăn ngừa, phát hiện và ứng phó với nhiều mối đe dọa mạng, bao gồm giám sát và thử nghiệm liên tục các biện pháp phòng thủ mạng cũng như các cơ chế phục hồi và ứng phó nhanh chóng để giảm thiểu tác động tiềm ẩn của sự cố mạng.

Bảo vệ dữ liệu cũng được giám sát chặt chẽ theo DORA, với các quy định yêu cầu các tổ chức tài chính thiết lập khuôn khổ quản trị dữ liệu toàn diện đảm bảo tính toàn vẹn, tính bảo mật và tính khả dụng của dữ liệu. Điều này bao gồm việc triển khai các biện pháp bảo mật không tin cậy để bảo vệ dữ liệu tài chính và khách hàng nhạy cảm khỏi truy cập trái phép, vi phạm dữ liệu và mất mát, do đó củng cố niềm tin vào hoạt động kỹ thuật số của ngành tài chính.

Cũng giống như bản thiết kế cung cấp thông số kỹ thuật xây dựng chính xác hoặc bản nhạc không có nhiều chỗ cho sự ứng biến, DORA đặc biệt mang tính quy định, bao gồm các hướng dẫn, tiêu chí và mẫu cụ thể để tuân thủ. Cách tiếp cận chú trọng đến chi tiết này cho thấy các cơ quan quản lý có ý định tham gia vào vai trò thực tế trong việc giám sát và thực thi.

DORA không chỉ dừng lại ở việc chuẩn hóa các hoạt động phục hồi trong toàn bộ lĩnh vực tài chính. Nó còn đảm bảo các tổ chức tài chính luôn sẵn sàng ứng phó với những thách thức mà bối cảnh kỹ thuật số đặt ra, cuối cùng là bảo vệ sự ổn định của lĩnh vực và môi trường kinh tế rộng lớn hơn. Bản chất của nó có thể được cô đọng thành năm trụ cột cốt lõi giải quyết các lĩnh vực hoặc khía cạnh khác nhau của CNTT và an ninh mạng.

5 trụ cột của Quy định DORA

Năm “trụ cột chính của khả năng phục hồi hoạt động” của DORA là:

1. Quản lý rủi ro CNTT  là một tập hợp các nguyên tắc và yêu cầu chính đối với khuôn khổ quản lý rủi ro CNTT.
2. Mục đích của việc báo cáo sự cố liên quan đến ICT là nhằm thống nhất và hợp lý hóa hoạt động báo cáo.
3. Kiểm tra khả năng phục hồi hoạt động số  yêu cầu các tổ chức tài chính phải trải qua các thử nghiệm cơ bản và nâng cao.
4. Rủi ro của bên thứ ba trong ICT  sử dụng các quy tắc dựa trên nguyên tắc để giám sát rủi ro của bên thứ ba, các điều khoản hợp đồng và khuôn khổ giám sát.
5. Chia sẻ thông tin  bao gồm trao đổi thông tin tự nguyện và thông tin tình báo về các mối đe dọa mạng.

Chúng ta hãy xem xét kỹ hơn từng trụ cột và chức năng của nó.

Trụ cột 1: Quản lý rủi ro CNTT

Quản lý rủi ro CNTT theo DORA bao gồm các nguyên tắc và yêu cầu rộng rãi, vượt xa các tiêu chuẩn trước đây. Nó thiết lập một khuôn khổ quản lý rủi ro CNTT chính thức, yêu cầu đánh giá rủi ro thường xuyên, xác định kỹ lưỡng, chiến lược giảm thiểu rủi ro được xác định rõ ràng và giám sát liên tục. Không giống như các hoạt động trước DORA, có sự khác biệt về mức độ nghiêm ngặt và phạm vi, DORA đặt ra một tiêu chuẩn thống nhất trên toàn EU, đảm bảo tất cả các tổ chức tài chính có cách tiếp cận nhất quán để quản lý rủi ro CNTT. Ví dụ, các ngân hàng hiện phải kiểm tra định kỳ các biện pháp phòng thủ an ninh mạng của mình và cập nhật các chiến lược giảm thiểu rủi ro dựa trên các mối đe dọa mới nổi. Họ phải triển khai các biện pháp bảo vệ an ninh mạng. Bao gồm các chính sách xung quanh IAM (Quản lý danh tính và quyền truy cập), Phát hiện bất thường, Quét phần mềm độc hại, Phản hồi mối đe dọa, Thông tin chi tiết về dữ liệu, SIEM, SOAR và quản lý bản vá. Hầu hết các tổ chức sẽ cần xem xét các thỏa thuận quản trị, chính sách, đánh giá rủi ro, kiểm soát và hoạt động lập bản đồ của mình để đảm bảo chúng phù hợp với các yêu cầu cụ thể của DORA.

DORA thiết lập rõ ràng rằng cơ quan quản lý của một tổ chức chịu trách nhiệm quản lý CNTT. Điều này bao gồm các thành viên hội đồng quản trị, giám đốc điều hành và quản lý cấp cao. Họ phải thiết lập và triển khai các chiến lược quản lý rủi ro. Không tuân thủ có thể dẫn đến trách nhiệm cá nhân.

Trụ cột 2: Báo cáo sự cố liên quan đến CNTT

DORA buộc các tổ chức phải thiết lập một quy trình thống nhất để phát hiện, quản lý và thông báo kịp thời các sự cố mạng quan trọng. Quy trình này hợp lý hóa việc báo cáo sự cố liên quan đến CNTT bằng cách đưa ra các yêu cầu báo cáo được hài hòa hóa. Tóm lại, quy trình này buộc các tổ chức phải thiết lập một quy trình thống nhất để phát hiện, quản lý và thông báo kịp thời các sự cố mạng quan trọng. Quy trình này đảm bảo tất cả các tổ chức tài chính báo cáo sự cố theo cách thống nhất, từ đó tạo điều kiện thuận lợi cho việc thu thập dữ liệu và giám sát theo quy định tốt hơn. Rộng hơn GDPR, quy trình này bao gồm cả vi phạm dữ liệu và sự cố CNTT.

Trong khi các tiêu chuẩn báo cáo trước đây thường khác nhau giữa các khu vực pháp lý, dẫn đến tình trạng thiếu hiệu quả và thiếu hiểu biết về quy định, theo DORA, tất cả các thực thể phải tuân thủ các quy ước chuẩn hóa. Ví dụ, một nhà cung cấp dịch vụ thanh toán gặp phải vi phạm dữ liệu hiện phải tuân theo các giao thức cụ thể để báo cáo sự cố cho các cơ quan quản lý, đảm bảo phản hồi kịp thời và thống nhất trên toàn ngành.

Trụ cột 3: Kiểm tra khả năng phục hồi hoạt động kỹ thuật số

Trong một bước tiến so với các yêu cầu trước đây, thường thiếu tính cụ thể hoặc tiêu chuẩn thống nhất, các tổ chức tài chính hiện phải tham gia vào cả thử nghiệm khả năng phục hồi cơ bản và nâng cao. Thử nghiệm này bao gồm các đánh giá lỗ hổng thường xuyên và các thử nghiệm thâm nhập được thiết kế để xác định và giải quyết các điểm yếu tiềm ẩn trong các hệ thống kỹ thuật số. Một ví dụ là một công ty chứng khoán tiến hành thử nghiệm dựa trên kịch bản nâng cao hàng năm để mô phỏng một cuộc tấn công mạng tinh vi với mục tiêu hiểu rõ hơn và cải thiện các chiến lược ứng phó của mình.

Trụ cột 4: Rủi ro của bên thứ ba về CNTT

Trụ cột này giới thiệu các quy tắc dựa trên nguyên tắc để giám sát và quản lý rủi ro liên quan đến các nhà cung cấp dịch vụ bên ngoài. Điều này toàn diện hơn các tiêu chuẩn trước đây, có thể không bao gồm một cách có hệ thống các rủi ro của bên thứ ba. DORA yêu cầu các tổ chức tài chính triển khai các khuôn khổ giám sát chặt chẽ và bao gồm các điều khoản hợp đồng cụ thể để đảm bảo bên thứ ba tuân thủ các tiêu chuẩn DORA. Ví dụ, một ngân hàng sử dụng nhà cung cấp dịch vụ đám mây bên ngoài hiện phải đảm bảo nhà cung cấp đáp ứng các yêu cầu về khả năng phục hồi hoạt động của DORA và thường xuyên xem xét các sắp xếp này.

DORA yêu cầu các thực thể tiến hành đánh giá kỹ lưỡng nhà cung cấp dịch vụ bên thứ ba, lập bản đồ các mối phụ thuộc của họ, đảm bảo an ninh và tính toàn vẹn bao gồm các sắp xếp cho các chiến lược thoát rõ ràng. Phải có các kế hoạch có ý nghĩa về cách chuyển đổi dữ liệu, ứng dụng và dịch vụ từ môi trường điện toán đám mây trở lại tại chỗ hoặc sang nhà cung cấp đám mây khác. Điều quan trọng cần lưu ý là các thực thể sẽ có thẩm quyền ngăn chặn các nhà cung cấp ký hợp đồng với những người không tuân thủ DORA.

Trụ cột 5: Chia sẻ thông tin

Trụ cột này đánh dấu sự thay đổi đáng kể so với quy trình chuẩn, khuyến khích việc trao đổi thông tin và tình báo tự nguyện về các mối đe dọa mạng giữa các tổ chức tài chính. Không giống như các hoạt động trước đây có xu hướng ít có cấu trúc và biệt lập hơn, cách tiếp cận hợp tác này tạo điều kiện chia sẻ thông qua các kênh được chỉ định, tăng cường khả năng phục hồi kỹ thuật số tập thể. Ví dụ, các tổ chức tài chính hiện có thể tham gia vào một nền tảng chung—mà DORA gọi là “cộng đồng đáng tin cậy của các tổ chức tài chính”—nơi họ báo cáo và thảo luận về các chỉ số đe dọa mạng, giúp toàn bộ ngành chuẩn bị tốt hơn cho các sự cố mạng tiềm ẩn.

Duy trì sự tuân thủ: DORA có ý nghĩa gì đối với tổ chức của bạn?

Tuân thủ các tiêu chuẩn nghiêm ngặt của DORA, các tổ chức sẽ được hưởng lợi:

• Tránh các hình phạt tiềm ẩn.
• Tăng cường khả năng phục hồi hoạt động trước các mối đe dọa CNTT.
• Đạt được sự tin tưởng lớn hơn từ khách hàng và các bên liên quan.
• Danh tiếng và lợi thế cạnh tranh mạnh mẽ hơn trên thị trường tài chính.

Việc tuân thủ DORA cũng cho thấy cam kết trở thành một phần của phương pháp tiếp cận thống nhất giúp tạo điều kiện cho các hoạt động và tương tác suôn sẻ hơn trong thị trường tài chính EU và với các cơ quan quản lý.

Tác động của DORA chắc chắn sẽ rất sâu sắc, đòi hỏi phải đại tu toàn diện các hệ thống và quản trị CNTT hiện tại của một tổ chức tài chính. Để chuẩn bị cho quá trình chuyển đổi, các tổ chức phải áp dụng các biện pháp nghiêm ngặt để quản lý rủi ro CNTT, bao gồm phát triển các khuôn khổ quản lý rủi ro mạnh mẽ, các quy trình báo cáo sự cố chi tiết và thử nghiệm khả năng phục hồi nghiêm ngặt. Nếu muốn có hiệu quả, sự thay đổi to lớn này sẽ đòi hỏi những thay đổi ban đầu và cam kết bền vững của tổ chức đối với việc cải tiến và thích ứng liên tục.

Khi các doanh nghiệp tăng cường các biện pháp an ninh mạng và khả năng phục hồi hoạt động, họ sẽ tự nhiên phù hợp với các mục tiêu của DORA, thúc đẩy một môi trường tài chính an toàn hơn.

Các Cơ quan Giám sát Châu Âu (ESA), bao gồm Cơ quan Ngân hàng Châu Âu (EBA), Cơ quan Bảo hiểm và Lương hưu Nghề nghiệp Châu Âu (EIOPA) và Cơ quan Chứng khoán và Thị trường Châu Âu (ESMA), sẽ đóng vai trò không thể thiếu trong quá trình chuyển đổi này, đảm bảo các tổ chức tài chính trên khắp EU áp dụng thống nhất các tiêu chuẩn của DORA. Bằng cách giám sát việc thực hiện, cung cấp hướng dẫn và giám sát việc tuân thủ, các ESA sẽ giúp duy trì tính toàn vẹn và khả năng phục hồi của hệ thống tài chính EU, với sự giám sát của họ đảm bảo rằng lĩnh vực này đáp ứng các tiêu chuẩn bắt buộc và áp dụng các nguyên tắc về khả năng phục hồi kỹ thuật số như là nền tảng cho hoạt động.

Để đảm bảo tuân thủ, các tổ chức tài chính nên có kế hoạch tích hợp các yêu cầu mới này vào hoạt động hàng ngày:

• Bắt đầu bằng việc đánh giá kỹ lưỡng cơ sở hạ tầng và hoạt động ICT hiện có theo các yêu cầu của DORA, mở rộng sang việc đánh giá các nhà cung cấp dịch vụ bên thứ ba để đảm bảo mọi rủi ro liên quan đều được quản lý phù hợp.
• Các chương trình đào tạo và nâng cao nhận thức thường xuyên của nhân viên đảm bảo mọi người hiểu được vai trò của mình trong việc duy trì an ninh mạng và khả năng phục hồi. Cũng đáng để cân nhắc thành lập các nhóm chuyên trách hoặc làm việc với các chuyên gia bên ngoài để giám sát quá trình triển khai.
• Việc kiểm tra thường xuyên và thử nghiệm khả năng phục hồi liên tục xác định những khoảng trống và lĩnh vực cần cải thiện.

Việc thúc đẩy văn hóa phục hồi và duy trì giao tiếp cởi mở với ESA và các cơ quan quản lý khác sẽ cho phép các tổ chức tài chính duy trì sự linh hoạt trong các nỗ lực tuân thủ của họ. Bằng cách tích hợp nó như một quá trình liên tục, các tổ chức có thể theo kịp các quy định và thông lệ tốt nhất đang phát triển trong khi vẫn đảm bảo lợi ích của bản chất kết nối của tác động, giám sát và tuân thủ trong khuôn khổ DORA.

Những thách thức lớn nhất là gì?

Đối với các tổ chức, thách thức lớn nhất trong việc tuân thủ DORA có thể là phải cải tổ toàn diện khuôn khổ ICT hiện tại để đáp ứng các quy định mới nghiêm ngặt của đạo luật, bao gồm:

• Nâng cấp các biện pháp an ninh mạng.
• Thiết lập hệ thống báo cáo sự cố toàn diện.
• Tích hợp cơ chế giám sát chặt chẽ của bên thứ ba.

Đối với nhiều tổ chức, đặc biệt là các tổ chức nhỏ hơn, những nhu cầu này có thể đòi hỏi nhiều nguồn lực, liên quan đến những điều chỉnh đáng kể về tài chính và hoạt động.

Các doanh nghiệp được cho 24 tháng để giải quyết những thách thức này bằng cách sử dụng phương pháp tiếp cận theo từng giai đoạn để tuân thủ, ưu tiên các yếu tố quan trọng nhất trước và dần dần mở rộng các biện pháp phục hồi của họ. Đầu tư vào đào tạo và phát triển sẽ đảm bảo tất cả nhân viên hiểu các yêu cầu mới. Ngoài ra, có thể có lợi khi tìm kiếm chuyên môn bên ngoài, hợp tác với các chuyên gia về an ninh mạng và tuân thủ chuyên biệt để phát triển các chiến lược và giải pháp phù hợp . Bằng cách áp dụng phương pháp tiếp cận từng bước, chiến lược, các tổ chức có thể đáp ứng hiệu quả các yêu cầu của DORA, đảm bảo hoạt động của họ vừa tuân thủ vừa phục hồi.

Ngày và mốc thời gian quan trọng về việc tuân thủ DORA

DORA có hiệu lực vào ngày 17 tháng 1 năm 2025. Tất cả các tổ chức tài chính đủ điều kiện sẽ cần phải có sẵn dữ liệu đó một sổ đăng ký toàn diện về các thỏa thuận hợp đồng của họ với các nhà cung cấp dịch vụ bên thứ ba ICT. Các sổ đăng ký này sẽ cho phép:

• Các tổ chức tài chính theo dõi rủi ro CNTT của bên thứ ba.
• Chính quyền EU giám sát CNTT và quản lý rủi ro của bên thứ ba tại các tổ chức tài chính.
• ESA sẽ chỉ định các nhà cung cấp dịch vụ ICT bên thứ ba quan trọng chịu sự giám sát của EU.

Để hỗ trợ các tổ chức tài chính trong việc chuẩn bị và nộp sổ đăng ký thông tin DORA về các nhà cung cấp dịch vụ ICT bên thứ ba của họ, ESA và các cơ quan khác sẽ tiến hành các cuộc diễn tập thử nghiệm trên cơ sở nỗ lực tốt nhất vào năm 2024:

• Ngày 24 tháng 4 năm 2024: Hội thảo giới thiệu cho ngành.
• Ngày 24 tháng 6 năm 2024: Hội thảo của ESA với các đơn vị tham gia và cơ quan có thẩm quyền.
• Ngày 24 tháng 8 năm 2024: Đăng ký thông tin được thu thập từ các đơn vị tham gia thông qua các cơ quan có thẩm quyền.
• Ngày 24 tháng 10 năm 2024: Kết thúc quá trình dọn dẹp dữ liệu và kiểm tra chất lượng.
• Ngày 24 tháng 11 năm 2024: Hội thảo “bài học kinh nghiệm” của ESA về chất lượng dữ liệu.
• Ngày 24 tháng 12 năm 2024: Công bố báo cáo chất lượng dữ liệu tổng hợp.

Với nhiều năm kinh nghiệm hỗ trợ các yêu cầu bảo mật dữ liệu cho lĩnh vực tài chính, Arctera được trang bị tốt để đáp ứng các yêu cầu bảo mật nghiêm ngặt mới của DORA. Chúng tôi cung cấp các hệ thống phần mềm và phần cứng an toàn, đáng tin cậy và có thể mở rộng, đảm bảo các hệ thống quan trọng đối với doanh nghiệp hoạt động hiệu quả và giúp các tổ chức tài chính duy trì sự tuân thủ.

Liên hệ với chúng tôi trực tuyến để tìm hiểu thêm về việc tuân thủ DORA và cách chúng tôi có thể giúp tổ chức của bạn.