Godinu dana nakon početka pune primjene europske Uredbe o digitalnoj operativnoj otpornosti (DORA), financijski sektor i drugi s njim povezani sektori ulaze u novu fazu. Početni fokus na formalnu usklađenost postupno zamjenjuje nešto zahtjevniji zadatak, a to je izgradnja stvarne operativne otpornosti. Više nije dovoljno imati pravilnike, procedure i mape rizika.
Regulatori, ali i tržište, sada očekuju dokaz da sustavi funkcioniraju u praksi, pod pritiskom stvarnih prijetnji, složenih dobavljačkih lanaca i ubrzane digitalizacije. Upravo se u tom kontekstu otvara niz ključnih pitanja: kako IKT rizik ugraditi u samo upravljanje tvrtkom, kako kontrolirati treće strane, gdje može pomoći umjetna inteligencija i koliko je organizacijska kultura zaista spremna na novu razinu odgovornosti.
Drugim riječima, otpornost više nije teorijska kategorija, nego niz vrlo konkretnih odluka i praksi koje poduzeća moraju ugraditi u svoje svakodnevno poslovanje.
IKT rizik kao dio korporativnog upravljanja
Prvi je ključni iskorak ugradnja IKT rizika u samo upravljanje poduzećem. To podrazumijeva integraciju IKT rizika u postojeće industrijske okvire upravljanja rizicima, osobito za one organizacije koje nemaju vlastite razvijene modele. Jednako je važno jasno postaviti odgovornost na razini uprave i nadzornih odbora, uz definirane pokazatelje uspješnosti i redovita izvještavanja. IKT rizik više ne može biti „tehnička tema“, već dio strateškog odlučivanja.
Treće strane – najosjetljivija točka otpornosti
Upravljanje rizicima trećih strana ostaje jedan od najvećih izazova. Organizacije moraju voditi sveobuhvatan registar svih pružatelja IKT usluga i podizvođača, ali i znati u kakvom su oni stvarnom stanju – od njihove kibernetičke otpornosti, preko fluktuacije ključnih stručnjaka, do realne sposobnosti isporuke ugovorenih usluga.
To zahtijeva alate za kontinuirano praćenje outsourcing lanaca, a ne povremene provjere „na papiru“. Uz to je nužno razviti vjerodostojne izlazne strategije i zamjenska rješenja za kritične usluge.
Umjetna inteligencija i automatizacija kao saveznici
Umjetna inteligencija već se danas može koristiti za analizu ugovora i prepoznavanje klauzula koje nisu usklađene s propisima. Alati za analitiku omogućuju i ranije otkrivanje tehničkih ranjivosti, prije nego što prerastu u incidente.
Automatizacija izvještavanja o incidentima i provjera usklađenosti značajno smanjuju ručni rad, ali pritom ostaje ključno da se o tim izvješćima i dalje raspravlja na razini uprave jer odgovornost se ne može automatizirati.
Otpornost kao dio organizacijske kulture
Tehnička rješenja sama po sebi nisu dovoljna bez snažne kulture otpornosti. Redovite edukacije zaposlenika i rukovodstva o IKT rizicima postaju standard, a ne iznimka. Istodobno, metrike otpornosti sve se češće ugrađuju u nadzorne izvještaje o performansama i u definiranje sklonosti prema riziku. Time otpornost prestaje biti apstraktan pojam i postaje mjerljiva upravljačka kategorija.
Spremnost za suradnju s nadzornim tijelima
DORA ne traži samo usklađene dokumente, već i dokazivu spremnost na djelovanje. To znači da je nužno prvo uskladiti interne procese, osigurati odgovarajuće resurse i potkrijepiti sve kvalitetnom dokumentacijom. Otpornost se mora testirati kroz vježbe, provjere ranjivosti, penetracijska testiranja i analize scenarija u kojima sudjeluju i poslovni timovi i uprava. Posebno je važno imati jasne protokole eskalacije i komunikacije kod IKT incidenata, kako interno, tako i prema van, uz korištenje platformi kao što je PiXi, koju je razvio CARNET, rješenja koje se već sada može mjeriti s najboljima u Europi.
Ključni izazovi koji ostaju
Unatoč jasnom regulatornom okviru, praksa donosi niz otvorenih pitanja.
Ograničeni resursi, posebno u manjim institucijama, i dalje su ozbiljna prepreka. Mnoge nemaju posebne IKT timove za upravljanje rizicima i snažno se oslanjaju na vanjske konzultante. Rješenje se sve češće traži u modelima upravljanih usluga i co-sourcinga, kao i u podizanju interne svijesti. Otvara se i pitanje primjene virtualnih asistenata i AI alata za normativnu provjeru usklađenosti, koji bi zaposlenike mogli voditi kroz regulatorne zahtjeve bez nepreglednih Excel tablica.
Poseban izazov predstavljaju ovisnosti o pružateljima iz trećih zemalja izvan EU-a. Organizacije moraju mapirati sve takve pružatelje, procijeniti praznine u usklađenosti, pregovarati o ugovornim klauzulama usklađenima s DORA-om te razviti planove za nepredviđene situacije. Sve važniju ulogu pritom imaju alati za praćenje operativnih rizika u stvarnom vremenu.
Ugovorna prilagodba dodatna je bolna točka. Naslijeđeni ugovori rijetko sadržavaju klauzule koje zahtijeva DORA, što otvara dugotrajne i složene pregovore. Upravo tu se sve češće spominje primjena strojnog učenja, koje može u kratkom roku analizirati stotine ugovora, identificirati neusklađene dijelove i predložiti standardizirane korekcije. Na razini industrije sve više jača suradnja, poput DORA Foruma osnovanog pri HGK-u, gdje se brojnost pokušava pretvoriti u snagu.
Jedno od najosjetljivijih pitanja ostaje proporcionalnost. Kako primijeniti razmjernost mjera bez narušavanja obveza usklađenosti ostaje otvoreno pitanje, a odgovor uvelike ovisi o konkretnim situacijama. Svaka financijska institucija mora samostalno i jasno dokumentirati vlastiti pristup proporcionalnosti, polazeći od procjene rizika i odgovornosti uprave. Skalne mjere moraju biti opravdane veličinom, složenošću i profilom rizika, uz oslanjanje na zakonske smjernice i dobru praksu.
Na kraju, sve se više otvara pitanje operativne složenosti. Integracija IKT rizika u cjelokupne okvire upravljanja rizicima poduzeća zahtijeva i kulturne i strukturne promjene. Bez obzira na to koristi li se ERM, NIST, ISO 27005 ili neki drugi okvir, ključno je da se provodi dosljedno. Upravljanje mora biti podignuto na razinu uprava, uz automatizirane dashboarde koji u stvarnom vremenu konsolidiraju IKT metrike i omogućuju upravi pravovremenu reakciju.
DORA je postavila okvir, ali otpornost se gradi iz dana u dan, putem odluka uprava, odnosa s dobavljačima i sposobnosti da se na prijetnje reagira prije nego što postanu krize.
* Autor članka je direktor Ureda za informacijsku sigurnost Hrvatske agencije za nadzor financijskih usluga (Hanfa)
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu