Tại sao Đạo luật phục hồi hoạt động kỹ thuật số (DORA) lại quan trọng

Tác giả: Joseph Philipose, Trưởng nhóm dịch vụ được quản lý, iGCB, Intellect Design Arena Ltd.

Đạo luật phục hồi hoạt động kỹ thuật số (DORA) dành cho lĩnh vực tài chính là yêu cầu pháp lý đặt ra các tiêu chuẩn tối thiểu cho các công ty tài chính để đảm bảo tính khả dụng, tính toàn vẹn và khả năng phục hồi của các dịch vụ và hệ thống quan trọng của họ. Đạo luật này sẽ thiết lập một khuôn khổ pháp lý cho các nhà cung cấp dịch vụ kỹ thuật số để đảm bảo hệ thống và dịch vụ của họ an toàn, đáng tin cậy và có thể tiếp tục hoạt động trong thời kỳ khủng hoảng.

Mục đích của DORA là bảo vệ an ninh quốc gia, an toàn công cộng và nền kinh tế bằng cách cải thiện khả năng phục hồi của cơ sở hạ tầng kỹ thuật số quan trọng trước các mối đe dọa mạng. Đạo luật này sẽ tạo ra một cơ quan quản lý mới có quyền thực thi việc tuân thủ và áp dụng các hình phạt đối với hành vi không tuân thủ, đồng thời yêu cầu các nhà cung cấp dịch vụ triển khai các tiêu chuẩn an ninh mạng, có kế hoạch quản lý sự cố mạnh mẽ, đánh giá và quản lý rủi ro chuỗi cung ứng và chia sẻ thông tin về các mối đe dọa và sự cố mạng.

Đây là sáng kiến lập pháp mới được đưa ra về an ninh mạng tại Liên minh châu Âu, đặc biệt nhắm vào lĩnh vực tài chính. Theo hiểu biết của tôi về các yêu cầu, sáng kiến này được thiết kế để bổ sung cho các quy định an ninh mạng ngang hàng hiện hành, chẳng hạn như Chỉ thị an ninh mạng và thông tin (NISD) và Quy định bảo vệ dữ liệu chung (GDPR) được công nhận rộng rãi.

DORA so với GDPR

Quy định bảo vệ dữ liệu chung (GDPR) là một bộ quy tắc quản lý việc bảo vệ và quyền riêng tư của dữ liệu cá nhân đối với cá nhân ở EU và Vương quốc Anh. Các quy định này áp dụng cho việc xử lý dữ liệu cá nhân trên mọi lĩnh vực.

Mặc dù cả DORA và GDPR đều hướng đến mục tiêu đảm bảo bảo vệ và an toàn dữ liệu, nhưng chúng phục vụ các mục đích khác nhau và có phạm vi khác nhau. DORA tập trung vào việc đảm bảo khả năng phục hồi của các dịch vụ tài chính, trong khi GDPR tập trung vào việc bảo vệ dữ liệu cá nhân và quyền riêng tư.

Khách quan:

Liên minh châu Âu đang tích cực ứng phó với nguy cơ tấn công mạng ngày càng tăng bằng cách triển khai các biện pháp tăng cường an ninh CNTT của các tổ chức tài chính, bao gồm ngân hàng, công ty bảo hiểm và công ty đầu tư. Một trong những biện pháp đó là Đạo luật phục hồi hoạt động kỹ thuật số (DORA), nhằm đảm bảo rằng khu vực tài chính ở châu Âu có thể duy trì khả năng phục hồi của mình trước sự gián đoạn hoạt động đáng kể.

DORA bao gồm các nhà cung cấp dịch vụ Công nghệ thông tin và truyền thông (ICT) quan trọng của bên thứ ba, bao gồm nền tảng đám mây, phân tích dữ liệu và dịch vụ kiểm toán, được các tổ chức tài chính sử dụng. Các nhà cung cấp dịch vụ này cũng phải tuân theo các quy định được nêu trong luật mới này. Luật này thiết lập một khuôn khổ pháp lý cho khả năng phục hồi hoạt động kỹ thuật số, yêu cầu tất cả các công ty phải đảm bảo rằng họ có khả năng chống chọi, ứng phó và phục hồi sau mọi hình thức gián đoạn và mối đe dọa liên quan đến ICT.

Các trụ cột cốt lõi:

Đạo luật phục hồi hoạt động số (DORA) cung cấp khuôn khổ phục hồi số toàn diện bao gồm nhiều lĩnh vực.

1. Khung quản lý rủi ro CNTT: Các tiêu chuẩn an ninh mạng mà các nhà cung cấp dịch vụ sẽ được yêu cầu triển khai các biện pháp an ninh mạng phù hợp để bảo vệ hệ thống và dịch vụ của họ khỏi các mối đe dọa mạng. Thiết lập và duy trì các hệ thống và công cụ CNTT mạnh mẽ giúp giảm thiểu tác động của các rủi ro CNTT.

2. Quản lý, phân loại và báo cáo sự cố CNTT: Các nhà cung cấp dịch vụ sẽ phải có kế hoạch quản lý sự cố mạnh mẽ để ứng phó và phục hồi sau các sự cố mạng.

3. Kiểm tra khả năng phục hồi hoạt động số: Bất kỳ thiếu sót hoặc lỗ hổng nào cũng phải được xác định và giải quyết kịp thời, tùy theo mức độ nghiêm trọng của chúng, bằng cách nhanh chóng loại bỏ chúng hoặc thực hiện các biện pháp đối phó phù hợp.

4. Quản lý rủi ro từ nhà cung cấp bên thứ ba: Các nhà cung cấp dịch vụ sẽ phải đánh giá và quản lý rủi ro do nhà cung cấp của họ gây ra, bao gồm cả nhà cung cấp bên thứ ba.

5. Chia sẻ thông tin: Các tổ chức tài chính được khuyến khích chia sẻ thông tin về các mối đe dọa và sự cố mạng để cải thiện tính bảo mật và khả năng phục hồi tổng thể của cơ sở hạ tầng kỹ thuật số.

Các trụ cột này nhằm mục đích đảm bảo cơ sở hạ tầng kỹ thuật số quan trọng được an toàn, kiên cường và có thể tiếp tục hoạt động trong thời kỳ khủng hoảng.

Dòng thời gian:

Vào ngày 27 tháng 12 năm 2022, Công báo của Liên minh Châu Âu đã công bố văn bản chính thức của Đạo luật phục hồi hoạt động kỹ thuật số (DORA) dưới dạng Quy định (EU) 2022/2554.

Nguồn: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554

Dòng thời gian này được trích từ bài viết do Deloitte công bố.