Doradztwo w zakresie DORA (Rozporządzenie o cyfrowej odporności operacyjnej)

Digital Operational Resilience Act (Rozporządzenie o cyfrowej odporności operacyjnej, w skrócie DORA) jest rozporządzeniem unijnym co oznacza, że jest stosowany w krajach członkowskich UE bezpośrednio.

Według postanowień DORA istnieją dwie generalne podstawy podlegania pod ich regulacje:

• Przedsiębiorstwo może podlegać jako podmiot obowiązany bezpośrednio przez DORA, lub
• Przedsiębiorca może podlegać obowiązkom DORA jako podmiot w łańcuchu dostaw dla swojego kontrahenta, który jest obowiązany do wdrożenia DORA.

Na przedsiębiorcy spoczywa obowiązek weryfikacji, czy jest podmiotem obowiązanym do wdrożenia Rozporządzenia o cyfrowej odporności operacyjnej.

Ustalenie właściwej podstawy obowiązku przedsiębiorcy wdrożenia DORA jest istotne dla przedsiębiorcy, ponieważ okoliczność ta ma wpływ na:

• Ustalenie, czy, na jakich podstawach i w jakim zakresie Spółka podlega obowiązkom DORA (podmiot kluczowy, ważny, dostawca ICT)
• Ustalenie zakresu obowiązków Spółki
• Zgłoszenie Spółki do wykazu prowadzonego przez właściwy organ nadzoru (jeśli będzie dotyczyć)
• Inwentaryzacja usług, procesów i zasobów obecnych w Spółce w oparciu m.in. o już wykonane prace w kontekście posiadanego systemu zgodności z RODO
• Ocena obecnych procesów i zasobów w kontekście DORA z uwzględnieniem RODO
• Przeprowadzenie analizy luk i oceny ryzyk związanych z wymaganiami DORA
• Opracowanie polityk i procedur zapewniających zgodność z przepisami DORA w oparciu m.in. o już opracowane dokumenty w kontekście ochrony danych osobowych
• Opracowanie wytycznych i rekomendacji dotyczących narzędzi lub rozwiązań technicznych/technologicznych w celu zapewnienia zgodności z DORA
• Asysta przy wdrożeniu polityk i procedur poprzez zapewnienie mentoringu, instruktażu i niezbędnych wyjaśnień
• Ocena i określenie potrzeby powołania odpowiednich osób funkcyjnych zgodnie z DORA wraz z przedstawieniem modeli możliwych do przyjęcia przez Spółkę, z uwzględnieniem funkcji wymaganych przez ISO 27001 oraz RODO, eliminując konflikty interesów lub kompetencji
• Przeprowadzenie niezbędnych szkoleń
• Pełnienie funkcji pełnomocnika do spraw świadczenia usług kluczowych przez naszego eksperta posiadającego odpowiedni certyfikat nadany przez DEKRA – opcjonalnie (jeśli Spółka zdecyduje się na taki zakres oferty)

Na bazie naszego ponad 20-letniego doświadczenia, w każdym przypadku przy opracowywaniu dokumentacji zastosujemy zasady ergonomiki procedur.

Oznacza to, że jeśli podobne obowiązki występują na gruncie różnych wymagań prawnych, mających zastosowanie do Klienta np. NIS2/KSC oraz DORA, RODO czy bezpieczeństwa informacji (ISO 27001), ciągłości działania i zarządzania kryzysowego i ich realizację można skutecznie połączyć, będziemy stosować rozwiązania łączone, adresujące w jednym dokumencie więcej niż jedną pozycję z ww. listy.

Oferujemy następujące rodzaje usług w tym obszarze:

Niniejsza usługa koncentruje się na ustaleniu, czy Spółka podlega obowiązkom określonym w Rozporządzeniu o cyfrowej odporności operacyjnej, a także w jakim zakresie. Obejmuje szczegółową analizę działalności Spółki, sektorów działalności jej klientów oraz porównanie z podmiotami objętymi regulacjami. Wynikiem tego etapu jest raport określający status Spółki względem DORA, w tym ramowy zakres obowiązków oraz podstawy prawne.

Czas realizacji: 2-3 tygodnie.

Usługa ma na celu ustalenie stanu obecnego objętego zakresem obowiązków DORA.

Zakres usługi obejmuje następujące prace:

• przygotowanie listy dokumentów (polityk, procedur, instrukcji, wzorów dokumentów, rejestrów, metodyk, wyników analiz ryzyka itd.) do przekazania celem analizy, z uwzględnieniem obowiązującej już w Spółce dokumentacji (jeżeli istnieje) dotyczącej bezpieczeństwa informacji, cyberbezpieczeństwa, RODO, ISO 27001, ISO 22301, zarządzania ryzykiem, ewentualnych dokumentów związanych z wymogami sektorowymi, którym podlega Spółka
• analiza przekazanych dokumentów
• odbycie spotkań z kierownikami odpowiedzialnymi za poszczególne procesy objęte wymogami DORA
• dokonanie weryfikacji zgodności obowiązków określonych w DORA oraz w obszarze RODO
• ogólna analiza niezgodności pomiędzy stanem obecnym a wymogami DORA
• opracowanie ogólnego wykazu niezgodności (raportu typu "high level gap analysis")
• opracowanie tzw. „mapy drogowej” obejmującej zakres i harmonogram wdrożenia

Audyt zerowy jest realizowany na wysokim poziomie ogólności, aby uchwycić obecny stan faktyczny w Spółce i umożliwić zobrazowanie zakresu dalszych prac oraz zapewnić efektywne przejście do etapu wdrożenia.

Czas realizacji: 3-4 tygodnie.

ETAP 1:

Wdrożenie formalne

Celem niniejszej usługi jest opracowanie i formalne wdrożenie wymaganych przez DORA polityk i procedur oraz wsparcie w powołaniu odpowiednich osób funkcyjnych w Spółce

W ramach usługi następuje przygotowanie Spółki do zgodności z wymaganiami DORA i obejmuje szereg kluczowych działań. W ramach projektu aktualizowana jest struktura organizacyjna, z przypisaniem ról i odpowiedzialności zgodnie z wymaganiami DORA. Powstają również procedury zarządzania incydentami, cyberzagrożeniami, ryzykiem operacyjnym oraz łańcuchem dostaw, uwzględniając normy ISO 27001, RODO i ISO 22301.

Podczas wdrożenia kładziemy szczególny nacisk na koordynację polityk, procedur i procesów już obowiązujących w Spółce, obszarowo powiązanych z zapewnianiem zgodności z DORA, w szczególności w obszarze zarządzania naruszeniami (np. z procedurami RODO), wdrożonymi już procedurami ISO 27001 lub ISO 22301, procedurami ciągłości działania, procedurami zarządzania kryzysowego.

Współpraca z systemem CSIRT, opracowanie strategii odporności cyfrowej, raportowanie incydentów oraz wdrażanie planów ciągłości działania i zarządzania kryzysowego to równie istotne elementy. Całość działań dopełnia szkolenie pracowników oraz koordynacja dostosowań do specyficznych wymogów DORA, wzmacniając bezpieczeństwo oraz operacyjną odporność Spółki.

Szacunkowy czas realizacji ETAPU 1: 2-4 miesiące

ETAP 2:

Realizacja czynności wdrażających

Wspieramy naszych Klientów w realizacji wymaganych czynności wdrażających poprzez wdrożenie faktyczne opracowanej i przyjętej do stosowania dokumentacji. Wdrożenie faktyczne winno odbywać się przez odpowiednie osoby funkcyjne lub przy ich udziale.

Realizacja czynności obejmuje m.in. przeprowadzenie pierwszego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, przeprowadzenie pierwszej skoordynowanej oceny bezpieczeństwa dostawców ICT, identyfikację dostawców wysokiego ryzyka oraz opracowanie ewidencji zasobów ICT i infrastruktury. Tworzone są plany testowania odporności, ciągłości działania i zarządzania kryzysowego, a także przeprowadzane szkolenia z zakresu cyberhigieny. Dodatkowo projekt obejmuje opracowanie aneksów do obecnie zawartych przez Spółkę umów z jej podwykonawcami w celu dostosowania do wymogów DORA oraz wymogów kontrahentów, dla których Spółka jest ICT.

Wspieramy Spółkę w przeprowadzaniu negocjacji z kontrahentami, a także planowaniu środków finansowych na zapewnienie zgodności z regulacjami.

Te działania mają na celu zapewnienie pełnej zgodności z DORA oraz minimalizację ryzyka i poprawę operacyjnej odporności Spółki.

Szacunkowy czas realizacji ETAPU 2: 2-4 miesiące

Zapytaj o szczegółową ofertę!