Mihai ANDRIEȘ, Chief Information Security Officer BRD – Groupe Société Générale, a subliniat cinci factori în ceea ce privește impactul implementării directivei DORA în instituțiile financiare, la Cybersecurity Forum 2026, organizat de Financial Intelligence, pe 16 martie.
El a spus: “Toate acțiunile din DORA se întreprind în jurul obiectivului de reziliență. În primul rând, trebuie să asigurăm cunoașterea riscurilor. Este fundamental să îți cunoști riscurile și, în mod particular, riscurile legate de transformarea digitală. Dacă înainte de DORA, riscul IT era un proces separat, după implementarea DORA, a fost integrat în Managementul unificat al riscului IT, astfel încât riscurile tehnologice sunt incluse în framework-ul operațional de risc. Managementul superior este responsabil de aceste riscuri, prin aprobarea Strategiei de reziliență, prin monitorizarea riscurilor și, mai ales, prin asigurarea resurselor pentru mitigarea riscurilor.
Al doilea impact ar fi referitor la diferența între continuitate și reziliență. Dacă înainte de DORA aveam un obiectiv reglementar de asigurare a continuității, adică erau luate măsuri de disaster recovery, de business continuity, după ce se întâmpla un incident, acum, DORA, prin reziliență, își propune un proces de anticipare, de detectare și de răspuns, astfel că această schimbare de gândire este una proactivă. Acest lucru se traduce în investiții și, bineînțeles, în capacități complete și moderne de a anticipa și a susține această transformare digitală.
Apoi, avem managementul strict al incidentelor. Înainte de DORA, nu aveam o conduită reglementară concretă. În momentul de față, incidentele se clasifică, din punctul de vedere reglementar, foarte clar. Avem raportarea către autorități și analiza post incident.
De asemenea, riscul furnizorilor este un capitol important pe care l-a deschis DORA și l-a evidențiat, deoarece știm foarte bine, activitățile importante, dar nu numai, sunt influențate de acest risc al furnizorilor. Reziliența furnizorilor este direct implicată în reziliența organizației. Și mă refer aici la soluțiile de cloud, la furnizorii de software as a service, adică la aplicații și la externalizările IT. Acest lucru se traduce prin evaluarea riscului furnizorilor, prin monitorizarea lor continuă și prin clauze de contract de reziliență în raport cu furnizorii.
Un alt punct la fel de important este testarea. Nu aveam, până acum, decât testarea continuității. În momentul de față, vorbim de procese de vulnerability și de patch management continue. Erau și până acum teste de penetrare, dar exercițiile de simulare de incidente și, în mod particular, TLPT -Threat-Led Penetration Testing – sunt elemente importante, prin care poți să măsori, la un moment dat, ce nivel de reziliență ai. Astfel, poți să justifici proiectele următoare pe care, cum spuneam mai devreme, boardul și comitetul de conducere al băncii au responsabilitatea să le susțină.”
Potrivit domnului Andrieș, cea mai dificilă este schimbarea de mindset, deși paradoxal schimbarea de mindset nu este o investiție semnificativă: “Este cel mai lung proces, deoarece trebuie să lucrăm cu noi înșine și cu modul în care abordăm problematica. Riscurile au trecut de la o acoperire cantitativă, adică de la cerința de capital, care există și în prezent, la o acoperire calitativă, prin sisteme de protecție, detecție, izolare, recuperare și remediere, adică elemente care să susțină o abordare pro-activă a activității cyber digital.”
BRD face, anual, în cadrul programului continuu de awarness, un exercițiu de tabletop (de simulare a incidentelor cibernetice majore), a mai spus Mihai ANDRIEȘ: „L-am început, în 2016, se fac 10 ani de când avem această simulare a unui incident major de criză cyber, care necesită activarea celulei de criză la nivelul băncii și executarea proceselor și a acțiunilor care trebuie întreprinse. În momentele acelea emoționale, particulare, este destul de dificil să poți să gândești eficient, limpede și să iei deciziile corecte, dacă nu ai un antrenament prealabil. De asemenea, aceste exerciții sunt foarte importante pentru că, favorizează colaborare și încredere între IT, business și celelalte departamente suport precum comunicare, compliance, și de asemenea, ridică nivelul de awarness. În momentul în care ai participat la un astfel de exercițiu, îți dai seama de importanța securității cyber și de ce consecințe sunt în caz de incident și devii mult mai atent în activitatea de zi cu zi, să nu cazi în plasa atacurilor și a manipulării.”
| Știri BVB