Narzędzie
do wdrożenia
DORA

Automatyzuj analizę ryzyka i twórz plany postępowania zgodnie z rozporządzeniem DORA.

Umów się na demo
Zaufali nam

Jak wdrożyć DORA?
9 prostych kroków ze wsparciem RIG DORA

Działaj zgodnie z planem, przez który przeprowadzi Ci narzędzie do wdrożenia DORA. RIG to centrum zarządzania zgodnością z DORA i bezpieczeństwem Twojej organizacji. Uporządkuje Ci działania w 9 prostych krokach podzielonych na etapy, z których większość zrobisz w samym RIG.

ETAP 1

Ocena ryzyka i planowanie

W RIG DORA analizujesz, szacujesz i planujesz w sposób zautomatyzowany. Wykonasz ocenę ryzyka ICT w instytucji finansowej oraz przygotujesz planu postępowania z ryzykiem – dzięki temu wiesz jak postępować z wdrożeniem DORA i rozpoczynasz cykl Deminga – PDCA.

Ankiety i umowy z dostawcami ICT​

RIG DORA wysyła, już przygotowane ankiety do dostawców. Równolegle do szacowania ryzyka można rozpoczynasz zbieranie ankiet od dostawców i weryfikacja umów z dostawcami ICT.

Rejestr informacji o umowach z dostawcami ICT​

W RIG DORA rejestrujesz każdy dokument. W tym kroku przygotowujesz projekty aneksów do umów oraz negocjujesz je.

ETAP 2

Wdrożenie planów postępowania z ryzykiem

Dzięki przygotowaniu planów w kroku 1, teraz rozpoczynasz ich realizację, w tym wdrożenie odpowiednich zabezpieczeń i realizujesz odpowiednie pentesty, a następnie szkolenia.

Wdrożenie procesu oceny incydentów ICT​

W RIG DORA przygotowujesz rejestr informacji o incydentach do raportowania do KNF w styczniu 2025.

Ramy zarządzania ryzykiem​

W archiwum RIG przygotowujesz dokumentację tzw. ramy: (zarządzanie ryzykiem ICT, zarządzanie incydentami, zarządzanie dostawcami ICT). Dzięki przygotowanym wcześniej planom masz strategię i plany odpowiednio skalibrowane dla organizacji. Dzięki temu efektywnie je wdrażasz.

ETAP 3

Wymiana informacji

W RIG DORA możesz stale rozwijać kompetencje zespołu poprzez szkolenia. Dzięki wiedzy o zarządzaniu ryzykiem, która w trakcie wdrożenia DORA jest przekazywana do różnych działów organizacji, budujesz odporność Twojej organizacji. RIG DORA organizuje współpracę i wymianą informacji. (Zgodnie z rozdziałem 6 rozporządzenia DORA o wymianie informacji).

Raportowanie

Raportujesz do zarządu, rady nadzorczej i do KNF.

Analiza luk

Weryfikujesz zgodność na podstawie przygotowanych procesów w RIG DORA. Dzięki temu, że w narzędziu masz  zapisane powtarzalne procesy, składające się z zadań wynikających z wymogów rozporządzenia DORA. Możesz zobaczyć jak luki wpływają na ocenę ryzyka.

Zobacz wiele wymiarów zgodności i ryzyka w RIG

Poznaj spójne zarządzanie ryzykiem ICT zgodnie z DORA​. Eksploruj informacje o cyberbezpieczeństwie Twojej organizacji w jednym narzędziu, ale pod wieloma kątami – bezpieczeństwo informacji, ciągłość działania, dane osobowe.
Zarządzaj dynamicznie, szacuj, planuj, analizuj!

Jeżeli chcesz poznać produkt, szczegóły związane z abonamentem, ceną, dostępami lub masz inne pytania, zarejestruj się!

Umów się na demo

Filary rozporządzenia DORA

RIG DORA wspiera w wywiązaniu się z każdego z obowiązkowych filarów rozporządzenia. Zrealizujesz w narzędziu w całości 4 obszary odpowiedzialności i usprawnisz pozostałe 2.

Zarządzanie ryzykiem ICT

W RIG wykonujesz wszystkie czynności z pomocą automatyzacji:

  • Mapowanie procesów
  • Inwentaryzacja aktywów
  • Ocena i analiza ryzyka​
  • Plany postępowanie z ryzykiem​​

Zgłaszanie poważnych incydentów ICT

Wykorzystaj przygotowane rejestry i prowadź działania t.j.:

  • Rejestr​ incydentów
  • Kwalifikacja​ i ocena
  • Wzór zgłoszenia do nadzorcy

Dostawcy ICT

Wykorzystaj przygotowane ankiety i rejestry aby realizować zadania:

  • Kwalifikacja dostawców ICT
  • Rejestr dostawców ICT
  • Ocena ryzyka ​dostawców ICT​

Wymiana informacji

Wymieniaj informacje wewnątrz organizacji w prosty sposób dzięki temu, że wszystko jest relizowane przez jedną platformę.

  • Szkolenia z zarządzania ryzykiem w RIG​ raz w miesiącu dla wszystkich użytkowników on-line na żywo oraz stały dostęp do nagrań zrealizowanych szkoleń.
  • Q&A dla użytkowników.

Testowanie operacyjnej odporności cyfrowej

Dzięki integracji RIG z narzędziami do testowania odporności łączysz dane z testów odporności z podatnościami. W ten sposób realizujesz obowiązki wykonywania:

  • Testy penetracyjne
  • Skanowanie podatności
  • EPS
  • VS&M
  • SIEM
  • FW
  • XDR
  • DLP

Zyskujesz szczegółowy pomiar ryzyka.

Ramy zarządzania ryzykiem

Korzystaj z repozytorium dokumentów RIG DORA i zapewnij dostęp do ram zarządzania ryzykiem wszystkim interesariuszom.

Polityki, procedury​ i rejestry są uporządkowane i powiązane z workflow.

Raportowanie

Raportowanie wewnętrzne i zewnętrzne jest bardzo ważne i jest obowiązkiem organizacji.  Ponieważ dążysz do celu w postaci rozliczalności, generuj w RIG DORA:

  • Raporty analityczne
  • Workflow – sprawdzaj postęp prac.
Zobacz jak każdy
z filarów DORA może być zarządzany w module RIG DORA
Umów się na demo

FAQ

Czy incydenty ICT wpływają na ryzyko?

Tak, incydenty ICT mają istotny wpływ na ryzyko w organizacjach. Zwiększenie liczby incydentów podnosi prawdopodobieństwo wystąpienia zdarzeń. Ponadto każdy pojedynczy incydent ICT, niezależnie od jego charakteru, może zwiększać ogólne ryzyko operacyjne i strategiczne.

W jaki sposób incydenty ICT wpływają na ryzyko?

Incydenty mogą prowadzić do przerw w działalności, co może zakłócić codzienne operacje organizacji. Przerwy te mogą generować straty finansowe oraz wpływać na zdolność do realizacji zobowiązań wobec klientów.

  • Utrata lub naruszenie danych osobowych może prowadzić do poważnych konsekwencji prawnych i finansowych, w tym kar nałożonych przez organy regulacyjne za naruszenia przepisów takich jak RODO.
  • Incydenty ICT mogą negatywnie wpłynąć na reputację organizacji. Klienci i partnerzy mogą stracić zaufanie, co może prowadzić do utraty klientów oraz spadku wartości marki.
  • Po incydencie organizacje często muszą ponieść znaczne koszty związane z dochodzeniami, naprawą systemów oraz wdrażaniem nowych zabezpieczeń, co zwiększa obciążenie finansowe.
  • Incydenty ICT mogą ujawnić nowe luki w zabezpieczeniach, co z kolei może prowadzić do wzrostu ryzyka w przyszłości, jeśli organizacja nie podejmie odpowiednich działań w celu ich załatania.

W związku z tym, identyfikacja i zarządzanie ryzykiem związanym z incydentami ICT jest kluczowym elementem strategii bezpieczeństwa w każdej organizacji.

Jak uwzględnić podatności w szacowaniu ryzyka?

W RIG DORA i w RIG NIS możesz uwzględnić podatności w szacowaniu ryzyka poprzez połączenie przez API z narzędziami do testów penetracyjnych.

Jaka metoda szacowania ryzyka jest zgodna z rozporządzeniem DORA?

DORA nie narzuca jednej konkretnej metodyki analizy ryzyka, ale wymaga, aby koncentrowała się ona na wartości i krytyczności posiadanych aktywów oraz wpływie ich utraty na funkcje biznesowe. RIG DORA działa ramach aplikacji RED INTO GREEN, która posiada metodykę oceny ryzyka wg podejścia opartego na aktywach (Asset Based Approach), zgodną z DORA, a także RODO i NIS2.

Czy moduł RIG DORA ma specjalne funkcjonalności związane z wdrożeniem rozporządzenia?

Tak, rozporządzenie DORA wymaga oceny ryzyka w domenach BI i CD, więc analogicznie moduł RIG DORA posiada odpowiednie funkcjonalności do wyboru domen. Dzięki nim można przeprowadzić szacowanie ryzyka w poszczególnych domenach BI i CD.
DORA wymaga prowadzenia rejestru informacji o umowach z dostawcami ICT i ta funkcjonalność modułu RIG DORA będzie dostępna od września 2024 r.

Czy wdrażając rozporządzenie DORA można zapewnić dostęp do wiedzy o ryzyku wszystkim zaangażowanym osobom?

Dostęp do aktualnej wiedzy jest kluczowy do zapewnienia bezpieczeństwa organizacji. Pomocne są narzędzia, które dają widok na organizację pod kątem jej aktywów, procesów, podatności i zabezpieczeń. Moduł RIG DORA daje wgląd we wszystkie wymienione informacje na poziomach ogólnym i szczegółowym oraz pozwala w sposób zautomatyzowany aktualizować wszystkie analizy, plany i raporty.

Czy dostawcy ICT muszą mieć inne podejście do wdrożenia DORA niż podmioty finansowe?

Dostawcy ICT muszą uwzględnić zgodność z RODO i muszą się przygotować na wypełnianie ankiet dostarczanych im przez instytucje finansowe. Dostawcy ICT nie muszą tworzyć rejestru swoich poddostawców, ale krytyczni lub pełniący funkcje istotne dostawcy ICT muszą wykazać informacje o swoich dostawcach i poddostawcach.

Co zrobić gdy w kolejnych latach będzie trzeba przygotować się do re-audytu i zadbać o wymagania aktualizacji danych?

W przypadku aktualizacji danych trzeba będzie za każdym razem sprawdzić wszystkie aktywa, procesy, podatności i zabezpieczenia. Przy pomocy RIG DORA wystarczy stworzyć raport i z nim sprawdzić stan aktualny. Nie trzeba robić mapowania organizacji od początku. Po zweryfikowaniu zmian wystarczy je wprowadzić do systemu i wygenerować nowy raport.

Czy moduł RIG DORA spełnia komunikat chmurowy KNF?

Tak. Informacje szczegółowe dostarczamy na żądanie.