Najnowsze badanie Veeam ujawnia, że sześć miesięcy po wejściu w życie unijnej regulacji firmy wciąż borykają się z kluczowym wyzwaniem dostosowania się do jej wymogów oraz pilną potrzebą wzmocnienia poziomu całościowej odporności danych. Pół roku po tym, jak zaczęło obowiązywać rozporządzenie Unii Europejskiej o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA), 96% instytucji finansowych w regionie EMEA wciąż uważa swój obecny poziom odporności danych za niewystarczający. Wynika to z badania przeprowadzonego przez Censuswide na zlecenie Veeam® Software, lidera na rynku rozwiązań zapewniających odporność danych. Wykazało ono szereg wyzwań, które pojawiają się dla branży w miarę dostosowywania się do wymogów DORA: regulacji EU mającej na celu wzmocnienie ochrony sektora finansowego przed cyberatakami i zakłóceniami IT.

Choć dostosowanie się do przepisów DORA zostało uznane za strategiczny priorytet w całym sektorze finansowym, wiele podmiotów wciąż jest w trakcie tego procesu. Aż 94% ankietowanych firm stawia obszar związany z DORA wyżej w swoich celach, niż na miesiąc przed wejściem regulacji w życie, a 40% określa rozporządzenie jako obecnie „najważniejszy priorytet w zakresie odporności cyfrowej”. Połowa respondentów wprowadziła już przepisy DORA do swoich programów zapewnienia odporności, podczas gdy dla 39% pozostaje to głównym celem działań.
Nieoczekiwane skutki DORA
Mimo że 94% firm jest świadomych, jakie kroki muszą podjąć, to wiele z nich zmaga się z nieprzewidzianymi wyzwaniami:
• 41% odnotowuje zwiększony stres i presję na zespoły IT i bezpieczeństwa;
• 37% mierzy się z wyższymi kosztami narzucanymi przez dostawców rozwiązań informatycznych (Information and Communications Technology, ICT);
• 22% uważa, że nadmiar regulacji cyfrowych staje się barierą dla innowacji lub konkurencyjności;
• 20% wciąż nie zabezpieczyło budżetu niezbędnego do spełnienia wymogów DORA.
– Cieszy fakt, że większość instytucji przyjęła wymagania DORA i pewnie dąży do ich spełnienia – mówi Edwin Weijdema, Field CTO EMEA w Veeam. – Osiągnięcie zgodności z przepisami to ważny pierwszy krok w zapewnieniu odporności organizacji, ale w obliczu złożoności dzisiejszego krajobrazu zagrożeń, nie można na tym poprzestać. Nowe badanie Veeam wskazuje, że choć DORA zyskuje na strategicznym znaczeniu, wiele podmiotów finansowych nadal dostrzega lukę w ogólnej odporności swojej firmy i zmaga się z zabezpieczeniem niezbędnych środków na ten cel. Droga do operacyjnej odporności wciąż trwa, i nie ma wątpliwości, że priorytetowe traktowanie odporności danych pozostaje kluczowe dla długoterminowego sukcesu organizacji.
Status: realizacja w trakcie
Pomimo traktowania regulacji DORA jako głównego priorytetu, wiele organizacji wciąż pracuje nad spełnieniem jej kluczowych wymagań:
• 24% nie ustanowiło testów odzyskiwania danych i zapewniania ciągłości działania;
• 24% nie wdrożyło procedury raportowania incydentów;
• 24% nie wyznaczyło lidera odpowiedzialnego za wdrożenie DORA;
• 23% nie przeprowadziło testów cyfrowej odporności operacyjnej;
• 21% nie zapewniło integralności kopii zapasowych i procesu bezpiecznego odzyskiwania danych.
Co stanowi największe wyzwanie we wdrażaniu DORA? Ryzyko związane z nadzorem nad partnerami zewnętrznymi (tzw. stronami trzecimi). Jedna na trzy firmy (34%) wskazała ten element za najtrudniejszy do wdrożenia, chociaż tylko 20% jeszcze tego nie zrobiło. Przyczyn tego stanu rzeczy może być wiele: od ograniczonego wglądu w działania prowadzone przez zewnętrznych dostawców po ogromną liczbę podmiotów zewnętrznych, z którymi instytucja finansowa współpracuje.
Ponadto 22% badanych podmiotów uważa, że w projekcie rozporządzenia DORA można było wprowadzić usprawnienia ułatwiające jego wdrożenie. Umożliwiłoby to osiągnięcie zgodności z przepisami, uproszczenie, doprecyzowanie i opracowanie bardziej szczegółowych zasad dotyczących zarządzania ryzykiem związanym z podmiotami zewnętrznymi.
– To bardzo ciekawy wniosek, że nadzór nad dostawcami okazał się tak dużym wyzwaniem dla organizacji. Ponad jedna trzecia firm uznała je za najtrudniejszy element do wdrożenia, a wiele z nich prosiło o dodatkowe wytyczne w tym zakresie – komentuje Andre Troskie, Field CISO EMEA w firmie Veeam. – To często pomijany aspekt odporności danych, dlatego cieszy, że instytucje analizują swoje zabezpieczenia do tego stopnia. W końcu po to DORA została stworzona. Spełnienie wymogów regulacji jest kluczowe, ale jej celem było także skłonienie organizacji do spojrzenia na swoją odporność całościowo. W tym kontekście DORA wydaje się odnosić sukces – dodaje ekspert.

Wsparcie na drodze do odporności
W odpowiedzi na rosnące zapotrzebowanie w zakresie zapewniania bardziej konkretnych ram strategiom odporności w firmach, firmy Veeam i McKinsey wprowadziły w tym roku pierwszy w branży model dojrzałości odporności danych (DRMM). Stworzony na podstawie spostrzeżeń ponad 500 liderów w zakresie IT, bezpieczeństwa i operacji, model DRMM został zweryfikowany z uwzględnieniem rzeczywistych wdrożeń klientów. Ramy tej struktury umożliwiają organizacjom ocenę odporności danych przy zastosowaniu podejścia interdyscyplinarnego, integrującego IT, bezpieczeństwo i obszar compliance w ujednoliconą strategię. Model dostarcza jasne wskazówki pozwalające na zwiększenie odporności i osiągnięcie zgodności z przepisami, takimi jak DORA.
– W DORA chodzi nie tylko o dostosowanie się do przepisów, ale o ponowne kompleksowe spojrzenie na cyfrową odporność danych. Pod tym względem regulacja ta działa – podsumowuje Troskie.
Więcej informacji na temat Veeam można znaleźć na stronie: Veeam: Data Portability and Resilience.

Wdrożenie DORA w Polsce – komentarz eksperta

Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam

Z moich obserwacji wynika, że instytucje finansowe w Polsce były stosunkowo dobrze przygotowane do wdrożenia DORA, na długo przed tym, jak rozporządzenie zaczęło obowiązywać. Podwaliny pod wzmocnienie cyfrowej odporności sektora finansowego w kraju położył Urząd Komisji Nadzoru Finansowego (UKNF), którego rekomendacje, wydawane ponad dekadę przed wejściem w życie DORA, okazały się w dużym zakresie zbieżne z wymogami unijnego rozporządzenia.

Mowa m.in. o Rekomendacji D (archiwalnej) i Rekomendacji M z 2013 roku, które dotyczyły odpowiednio: bezpieczeństwa środowiska IT oraz zarządzania ryzykiem operacyjnym w bankach. W 2020 roku opublikowany został również tzw. Komunikat Chmurowy UKNF, regulujący zasady korzystania z usług przetwarzania danych w chmurze publicznej lub hybrydowej. Dokumenty te przez lata kształtowały dobre praktyki w branży finansowej, mimo że formalnie były one określane jako tzw. soft law, czyli niewiążące prawnie zalecenia. Ich zgodność z DORA jest jednak tak duża, że KNF wydał komunikat o planach ich uchylenia, aby zapewnić spójne otoczenie regulacyjne i uniknąć wątpliwości w intepretowaniu przepisów prawa.

Instytucje finansowe muszą potraktować wdrożenie DORA jako formalny obowiązek. Należy jednak pamiętać, że jest to czasochłonny proces. I – podobnie jak w procesie budowania odporności cybernetycznej firmy i bezpieczeństwa danych – żaden podmiot nie może popaść w samozadowolenie. Szczególnie, jeśli działa w sektorach związanych z zarządzaniem infrastrukturą krytyczną. Badanie Veeam Ransomware Trends and Proactive Strategies 2025 wykazało, że aż 69% firm, które padły ofiarą ataku ransomware w ostatnich 12 miesiącach, deklarowało przed incydentem pełną gotowość do jego odparcia. Po ataku to przekonanie spadło średnio o 20%, a wśród dyrektorów IT – aż o 30%. To najlepiej pokazuje, że realna cyfrowa odporność to nie stan, lecz droga, a unijne regulacje takie jak DORA czy NIS2 są na niej cennym drogowskazem.

Informacja prasowa.