ISO 27001 i DORA usklađenost: Koliko su povezani?

Ostavite komentar / Deep Dive, Implementation, Regulation
Businesswoman completing a digital padlock puzzle symbolizing ISO 27001 framework and DORA compliance in cybersecurity.

Ako vaša organizacija već ima ISO 27001 implementiran – ili razmišljate o njegovoj implementaciji – možda se pitate kakva je povezanost ovog međunarodnog standarda sa evropskim Zakonom o digitalnoj operativnoj otpornosti (DORA). Da li ISO 27001 pruža dobru osnovu za DORA usklađenost? Koliko dodatnog rada će biti potrebno?

Kratki pregled: Šta je DORA?

Digital Operational Resilience Act (DORA) je evropska regulativa koja ima za cilj jačanje načina na koji finansijske institucije upravljaju sajber sigurnošću i operativnom otpornošću. Od januara 2025. godine, banke, osiguravajuća društva, pružatelji platnih usluga i investicijske firme koje posluju unutar EU morat će ispuniti stroge zahtjeve koji obuhvataju:
  • Upravljanje IKT rizicima
  • Prijavljivanje incidenta
  • Nadzor nad dobavljačima
  • Napredno testiranje kibernetičke sigurnosti
  • Upravljanje i odgovornosti na nivou Uprave

Čak i organizacije van EU mogu osjetiti indirektni pritisak DORA regulative, posebno ako imaju podružnice u EU ili su dio većih finansijskih grupa sa sjedištem u EU (npr. EU bazirane kćerke firme). Ali, čak i bez obzira na regulatorne obaveze, usklađivanje sa DORA zahtjevima za finansijske institucije ima smisla i sa poslovnog aspekta.

Da li ISO 27001 pomaže u ispunjavanju DORA zahtjeva?

Kratki odgovor: Da, značajno.
Ako vaša organizacija već koristi ili planira implementirati ISO 27001, u dobroj ste prednosti. Sistem upravljanja sigurnošću informacija (ISMS) zasnovan na ISO 27001 standardu pruža čvrst, strukturiran okvir za upravljanje sigurnošću informacija, kibernetičkom sigurnošću i zaštitom privatnosti.

Zamislite ISO 27001 kao okvir koji povezuje sve dijelove vašeg pristupa sigurnosti informacija. Bez takvog strukturiranog pristupa, pojedinačni regulatorni zahtjevi – uključujući DORA-u – djeluju kao zasebne komponente koje nemaju čvrstu osnovu. Vaš ISMS je ta osnova koja jasno definiše politike, uloge, procedure i kontrole, čineći usklađenost jednostavnijom i održivijom.

Organizacije koje već primjenjuju ISO 27001 otprilike su 80% spremne za DORA usklađenost. Za one koje tek razmišljaju o ISO 27001, istovremeno usklađivanje sa DORA-om može znatno pojednostaviti napore i smanjiti dupliranje posla.

Kako ISO 27001 podržava DORA zahtjeve (Detaljno)

Pogledajmo kako kroz ključna područja:

Upravljanje rizicima

ISO 27001 zahtijeva sistematično upravljanje rizicima informacijske sigurnosti. Kroz ISO 27001 redovno procjenjujete rizike, implementirate kontrole i pratite njihovu učinkovitost. DORA dodaje specifične zahtjeve u vezi sa operativnom otpornošću IKT sistema. Npr. potrebno je jasno procijeniti finansijske i operativne posljedice IKT prekida, osiguravajući otpornost ključnih poslovnih usluga.

Prijavljivanje incidenata 

Vaš ISMS već uključuje definisane procese za upravljanje incidentima. Međutim, DORA dodatno zahtijeva strogo regulisano prijavljivanje značajnih IKT incidenata, često u roku od nekoliko sati. Stoga je potrebno je prilagoditi postojeće procedure, uvesti jasne vremenske rokove, standardizovane formate prijave i direktne komunikacione kanale sa regulatornim tijelima.

Upravljanje dobavljačima

ISO 27001 naglašava upravljanje sigurnošću trećih strana (npr. dobavljače) kroz procjene rizika u odnosu na iste, ugovorne obaveze i nadzor dobavljača. DORA ide korak dalje, eksplicitno zahtijevajući posebne ugovorne klauzule sa IKT dobavljačima, tzv. "izlazne strategije" i mogućnost nadzora od strane regulatora. Stoga će, pored standardnih ISO zahtjeva u ovom pogledu, biti potrebno ojačati postojeće prakse upravljanja dobavljačima.

Kontinuitet poslovanja i operativna otpornost

Postojeće prakse kontinuiteta poslovanja prema ISO 27001 predstavljaju dobru osnovu. DORA takođe zahtijeva planiranje digitalne otpornosti i redovna testiranje kroz scenarije IKT prekida. Vaši planovi kontinuiteta trebaju biti nešto više formalizovani i prošireni češćim simulacijama i vježbama.

Upravljanje i liderstvo

ISO 27001 zahtijeva angažman top menadžmenta i redovne preglede sistema. DORA takođe jasno uvodi odgovornost na nivou Uprave za IKT i kibernetičke rizike. Potrebno je dokumentovati odgovornosti Uprave i redovno izvještavati o IKT rizicima.

Testiranje kibernetičke sigurnosti

ISO 27001 uključuje procjene ranjivosti i tehnička testiranja. DORA propisuje obavezno napredno penetracijsko testiranje (TLPT-Threat-led penetration testing) najmanje svakih tri godine. Integracija ovih testiranja postaje dokaz regulatorima o otpornosti.

Obuka i podizanje svijesti

ISO 27001 zahtijeva redovne obuke i podizanje svijesti o informacijskoj sigurnosti. DORA traži dodatnu obuku fokusiranu na IKT otpornost i regulatorne zahtjeve. Trening programi trebaju biti dopunjeni sadržajem o operativnoj otpornosti i usklađenosti.

Kako prevazići razlike: Konkretni koraci

ISO 27001 vam daje značajnu prednost, ali za potpunu usklađenost sa DORA najčešće treba još malo dodatnog fokusa: 

Oblast Već pokriveno kroz ISO 27001 Moguće dodatne aktivnosti kroz zahtjeve DORA
Upravljanje rizicima
Već imate strukturiran proces upravljanja rizicima sigurnosti informacija.
Uključiti fokus na IKT operativnu otpornost i posljedice po finansijski sektor.
Prijavljivanje incidenata
Interne procedure za upravljanje incidentima su već uspostavljene.
Uspostaviti i formalno prijavljivanje regulatorima u propisanim rokovima.
Upravljanje trećim stranama
Procjene sigurnosti dobavljača se provode.
Dodatno formalizirati ugovore, uključiti izlazne strategije i ugraditi pravo na audit od strane regulatora.
Kontinuitet poslovanja
Planovi kontinuiteta poslovanja i oporavka već postoje.
Razviti strategije digitalne otpornosti i testiranja kroz scenarije.
Upravljanje i liderstvo
Najviše rukovodstvo je već uključeno u upravljanje ISMS-om.
Uspostaviti eksplicitnu odgovornost Uprave za IKT i "cyber" rizike.
Testiranje sigurnosti
Upravljanje ranjivostima i redovno testiranje sigurnosti se provodi.
Implementirati TLPT testiranja svakih tri godine.
Obuka i podizanje svijesti
Zaposleni već dobivaju redovne sigurnosne obuke.
Proširiti teme vezane za IKT otpornost i DORA usklađenost.

Strateške prednosti integracije ISO 27001 i DORA usklađenosti

Implementacija ISO 27001 sa fokusom na DORA zahtjeve donosi strateške prednosti koje nadilaze jednostavnu usklađenost:

  • Jasnoća i efikasnost: Kombinovanjem zahtjeva izbjegava se dupliranje rada i postiže konzistentnost u usklađivanju.
  • Poboljšana otpornost: Jasno definirani procesi i testirani planovi otpornosti omogućavaju nastavak poslovanja i tokom ozbiljnih "cyber" incidenata.
  • Konkurentska prednost: Proaktivno usklađivanje jača reputaciju pred regulatorima, partnerima i klijentima.

Zaključak: Kako učiniti usklađenost upravljivom i održivom

Ako vaša organizacija već ima implementiran ISO 27001, već ste na dobrom putu ka punoj DORA usklađenosti. Ako još razmišljate o ISO 27001, usklađivanje sa DORA zahtjevima od samog početka ima praktičnog smisla. Izgradićete čvrstu osnovu za sigurnost, spremnu za buduće regulatorne promjene.

Consalta pomaže organizacijama da se efikasno usklade sa ISO standardima i regulatornim zahtjevima poput DORA-e. Ako želite da jasno procijenite kako trenutno stojite i kako riješiti potencijalne nedostatke u vašoj usklađenosti — slobodno nas kontaktirajte.

Ne znate odakle da počnete ili imate konkretan problem?

Početna konsultacija je potpuno besplatna! Naš cilj je zaista pomoći klijentima da ostvare svoje ciljeve. Razgovaraćete direktno s jednim od naših konsultanata – bez napadnih prodajnih taktika i bez bilo kakvih obaveza.
Iskoristite priliku – uvjerite se sami!

Free consultation

Ostavite komentar

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *

Scroll to Top