Companiile din Kazahstan, Uzbekistan, Georgia și Kârgâzstan colaborează tot mai des cu bănci europene, parteneri fintech și marketplace-uri — ceea ce înseamnă că se confruntă și cu cerințele DORA privind reziliența digitală. Vestea bună este că, pentru a vă alinia la DORA, nu trebuie să reinventați roata. Două standarde practice — ISO 22301 și ISO/IEC 27035 — acoperă o mare parte din așteptările regulatorului prin procese și roluri clare.
Ce așteaptă DORA de la o afacere, pe înțelesul tuturor
DORA (Digital Operational Resilience Act) se concentrează nu pe securitatea „pe hârtie”, ci pe capacitatea companiei de a rezista la defecțiuni IT și incidente cibernetice, de a se recupera rapid și de a gestiona riscurile legate de contractori. În practică, de obicei se verifică dacă:
- există un model gestionat de riscuri ICT și de continuitate;
- știți să detectați, să clasificați și să analizați incidentele;
- efectuați testări și exerciții;
- controlați furnizorii critici (cloud, outsourcing, centre de date).
Dacă ne imaginăm afacerea ca pe o companie aeriană, DORA vrea să vadă nu doar centura de siguranță (politicile), ci și instruirea echipajului, checklist-uri, cutii negre și verificări regulate ale aeronavei.
ISO 22301: scheletul continuității afacerii conform cerințelor DORA
ISO 22301 construiește un sistem de management al continuității afacerii (BCMS): de la analiza riscurilor și BIA până la planuri de recuperare și exerciții regulate. Acest lucru ajută direct la acoperirea cerințelor DORA privind reziliența și restabilirea serviciilor.
Înainte de a implementa procedurile, este important să stabiliți clar ce anume protejați și cât timp de nefuncționare este acceptabil. În ISO 22301, acest lucru este formalizat prin artefacte-cheie:
- BIA (Business Impact Analysis): care procese sunt critice, ce dependențe există (oameni, IT, furnizori), care sunt consecințele întreruperii;
- RTO/RPO: timpul țintă de recuperare și pierderea admisibilă de date;
- strategii de continuitate: redundanță, locații alternative, proceduri manuale;
- planuri de răspuns și recuperare: cine face ce, în ce ordine, cum se comunică cu clienții și partenerii;
- exerciții și teste: pentru ca planul să funcționeze nu doar într-o prezentare.
După aceasta, obțineți o bază gestionabilă pentru instruirea în managementul continuității afacerii — și pentru a demonstra maturitatea în fața partenerilor/auditorilor.
Mai multe detalii despre structura și aplicarea standardului aici.
ISO/IEC 27035: ordine în reacția la incidente cibernetice
Dacă ISO 22301 răspunde la întrebarea „cum să continui să funcționezi când totul se strică”, atunci ISO/IEC 27035 răspunde la „cum să gestionezi corect un incident și ce concluzii să tragi”. Pentru DORA, acest lucru este critic, deoarece autoritatea de reglementare așteaptă disciplină: identificare → evaluare → reacție → recuperare → îmbunătățire.
Standardul ajută la construirea unui sistem de management al incidentelor de securitate a informației, în care nu există haos din chat-uri și apeluri către „cineva din IT”, ci roluri, criterii și metrici clare. Un astfel de sistem include, de obicei:
- reguli pentru detectarea și înregistrarea evenimentelor (SOC/logare/help desk);
- clasificare și prioritizare (ce se consideră incident grav);
- scenarii de reacție (ransomware, scurgere de date, compromiterea conturilor, DDoS);
- comunicare și escaladare (management, juriști, PR, parteneri);
- post-incident review: cauze, lecții învățate, acțiuni corective.
Și da, acesta este exact acel management al incidentelor de securitate a informației care economisește bani și nervi: cu cât localizați problema mai repede, cu atât sunt mai mici timpul de nefuncționare și prejudiciul reputațional.
Practica implementării ISO/IEC 27035: mai detaliat.
Cum asigură împreună ISO 22301 și ISO 27035 respectarea cerințelor-cheie DORA privind reziliența operațională
Separat, standardele sunt puternice, iar împreună oferă combinația „reziliență + reacție”:
- ISO 22301 stabilește serviciile critice, timpii de nefuncționare acceptabili și scenariile de recuperare.
- ISO/IEC 27035 stabilește mecanismul de reacție la incidente cibernetice, care adesea reprezintă și declanșatorul planurilor de continuitate.
- DORA cere verificarea regulată a nivelului de pregătire — ambele standarde se bazează pe exerciții, teste și ciclul de îmbunătățire.
După implementare, compania obține un „limbaj comun” între business, IT și securitate — și apar mai puține situații în care un departament consideră incidentul „nesemnificativ”, în timp ce altul deja pierde clienți.
Plan rapid de implementare pentru companiile din regiune
Pentru a nu vă pierde în documente, începeți pragmatic. Echipa System Management recomandă de obicei următorul parcurs:
- realizarea unui scurt gap analysis raportat la DORA și la practicile curente;
- descrierea serviciilor critice și a dependențelor (BIA, RTO/RPO);
- lansarea procesului de reacție la incidente: roluri, clasificare, playbook-uri;
- corelarea reacției cu planurile de recuperare (cine și când activează BCP/DR);
- desfășurarea unui exercițiu (table-top) și documentarea îmbunătățirilor.
Acest lucru oferă un efect rapid: chiar și un singur exercițiu bine realizat identifică adesea blocajele mai bine decât luni întregi de discuții.
Dacă lucrați cu parteneri financiari din UE sau doriți să vă pregătiți din timp pentru solicitările clienților și ale auditorilor, System Management vă poate ajuta să construiți procesele, să desfășurați instruirea și să pregătiți baza de dovezi pentru verificare.