DORA
Audyt skupiający się na wymaganiach ustawy Digital Operational Resilience Act (DORA), powinien zapewnić, że podmiot przestrzega przepisów DORA mających na celu zwiększenie cyfrowej odporności operacyjnej sektora finansowego. Skupiając się na obszarach związanych z ryzykiem, w tym zarządzaniu ryzykiem ICT, zgłaszaniu incydentów, cyfrowych testach odporności operacyjnej, zarządzaniu zewnętrznymi systemami ICT, ryzykiem stron trzecich, uzgodnieniami dotyczącymi wymiany informacji oraz rolami właściwych organów.
Proponowany harmonogram audytu:
- Określenie zakresu audytu, koncentrując się na wymaganiach DORA istotnych dla organizacji. Identyfikacja kluczowego personelu i systemów ICT do oceny.
- Przegląd wewnętrznych polityk, procedur i dokumentacji pod kątem wymogów DORA, ze szczególnym uwzględnieniem ram zarządzania ryzykiem ICT, procesów zarządzania incydentami i praktyk zarządzania ryzykiem stron trzecich.
- Ocena zarządzania, organizacji i skuteczności ram zarządzania ryzykiem ICT. Obejmuje to przegląd procesów identyfikacji, ochrony, wykrywania, reagowania, odzyskiwania, uczenia się i komunikacji w zakresie zagrożeń ICT.
- Ocena procedur zarządzania i zgłaszania incydentów związanych z ICT, upewniając się, że są one zgodne z wymogami DORA w zakresie raportowania.
- Przegląd praktyk i metodologii stosowanych do testowania cyfrowej odporności operacyjnej, w tym testowania narzędzi, systemów i procesów ICT.
- Przegląd zarządzania ryzykiem stron trzecich ICT, koncentrując się na ustaleniach umownych, procesach oceny ryzyka i zgodności z ramami nadzoru DORA.
- Ocena mechanizmów wymiany informacji na temat zagrożeń cybernetycznych oraz procedur interakcji z właściwymi organami.
- Zebraniu ustaleń z audytu, przygotowanie raportu i opracowanie zaleceń dotyczących usunięcia wszelkich zidentyfikowanych luk lub obszarów niezgodności.
- Przedstawienie projektu raportu kluczowym interesariuszom w celu przeglądu i uzyskania informacji zwrotnej.
- Sfinalizowanie raport z audytu, uwzględniając wszelkie dodatkowe spostrzeżenia i poprawki.
W oparciu o ustalenia z audytu należy zaplanować i wdrożyć działania zaradcze. W razie potrzeby zaplanować audyty uzupełniające, aby zapewnić ciągłą zgodność.
Harmonogram jest elastyczny i może być dostosowany do wielkości organizacji, złożoności systemów ICT i specyficznych wymagań DORA dla poszczególnych jednostek.