Määrus puudutab pankasid, kindlustusandjaid ja investeerimisettevõtteid, kes peavad küberohtude vältimiseks astuma mitmeid samme. Ennekõike rakendama tugevaid protsesse ja süsteeme, et tuvastada, maandada ja raporteerida IKT-ga seotud riske ja intsidente.
DORA ignoreerimise hind võib olla väga ränk – finantsasutuse töö peatub või on põhjalikult häiritud, mis ohustab kogu finantsstabiilsust. Küberintsidendid on väga tõenäolised, kuna aasta-aastalt on juhtumite arv kordades kasvanud. KPMG rahvusvaheliste uuringute põhjal on 90 protsenti kõigist ettevõtetest elanud läbi vähemalt ühe küberrünnaku ning 26 protsenti neist juhtumitest pani firma tegevuse ajutiselt seisma.
Isegi kui nii hullusti ei lähe, siis sanktsioonide alla kuuluvad regulatiivsed sanktsioonid või rahatrahvid. Kõige selle kohal varitseb mainekahju, sest finantsasutuse usaldusväärsus satub küsimärgi alla ka väiksemate IKT-valdkonna möödalaskmiste korral.
Viis peamist tegevussuunda on järgmised:
1. IKT riskijuhtimine: finantsettevõtted peavad arendama ja rakendama IKT riskijuhtimise raamistikke, mis hõlmavad riskide hindamist, maandamist ja jälgimist. See hõlmab ka asjakohaseid poliitikaid, protseduure ja kontrollimeetmeid.
2. Küberintsidentidest teavitamine: ettevõtted peavad looma süsteemid ja protseduurid intsidentide kiireks tuvastamiseks. Samuti peab info juhtumitest jõudma kiiresti küberintsidentidega tegeleva ametiasutuseni – Eesti puhul on selleks RIA juures asuv CERT-EE. Samuti tuleb teavitada kõiki asjakohaseid osapooli.
3. Küberkaitse võimekuse testimine: regulaarselt tuleb korraldada teste, et hinnata ettevõtte süsteemide ja protsesside vastupanuvõimet erinevatele küberrünnakutele. Sealhulgas tuleb vähemalt iga kolme aasta tagant läbi viia testrünnakuid, nagu näiteks Red Teaming.
4. Koostööpartnerite riskide juhtimine: tuleb hinnata ja juhtida riske, mis tulenevad kolmandatest osapooltest nagu näiteks IKT-teenusepakkujad ja tarkvaratarnijad. Tuleb tagada, et nende tegevus ei ohusta ettevõtte tegevuskerksust.
5. Info jagamine ja teadlikkuse tõstmine: DORA kutsub finantssektori ettevõtteid omavahel infot jagama, et anda edasi oma teadmisi ja töötavasid küberkaitse vallas. Nii saab paremini vastu seista potentsiaalsetele ohtudele.
Küberkaitse kriitilist tähtsust rõhutab ka Euroopa Keskpanga (EKP) poolt jaanuaris 2024 käivitatud stressitest (Cyber Resilience Stress Test, CRST). Esmakordselt toimuv test hõlmab enam kui sadat EKP järelevalve alla kuuluvat olulisemat panka ning tõsisemalt mõõdetakse ligi 30 panga küberkaitse protseduure. DORA valguses on oodata, et sellised aktsioonid muutuvad eri tasanditel regulaarseks.
DORA nõuete täitmiseks tasub mõelda väliste konsultantide ja ekspertide kaasamisele. Nende oskusteave ja kogemus aitavad vältida nii võimalikke trahve ja regulatiivseid sanktsioone, kui ka tugevdada ettevõtte IKT-ala vastupidavust, mis on kriitilise tähtsusega pidevalt muutuvas tehnoloogiamaailmas. Esiteks aitavad ekspertide erialateadmised ja kogemused tuvastada peidetud IKT-riske, mille peale ettevõtte enda tiim ei pruugi tulla. Teiseks võivad nad pakkuda objektiivset vaadet ettevõtte tegevusele, aidates sellega tuvastada probleemseid kohti. Samuti aitavad eksperdid säästa aega ja ressursse, juhtides keerulisi vastavusprotsesse ja tagades, et kõik regulatiivsed nõuded oleksid täidetud tõhusalt ja õigeaegselt.
Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332
Küberturvalisus ei ole enam valikuline, vaid lausa hädavajalik investeering, mis aitab kaitsta äri..
„Mis on esimene asi, mida sa teed, kui kuhugi investeerid,“ küsib KPMG Baltics küberturvalisuse t..
Auditite tegemisest on saanud hea juhtimiskultuuri osa, kuid harva mõeldakse finantsaudititest ka..
KPMG 2024. aasta ülemaailmne tippjuhtide uuring näitab, et tegevjuhid peavad küberturvalisust viim..
Kõik sai alguse ühest justkui tähtsusetuna tundunud juhtumist. Üks ettevõte oli lõpetamas oma edu..
KPMG küberturvalisuse teenuste juht Mihkel Kukk kirjeldab oma mõne aasta tagust kohtumist ühel k..
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.