DORA megfelelés problémái
A Veeam és a Censuswide közös kutatása – amelyben az Egyesült Királyság, Franciaország, Németország és Hollandia 500 fő fölötti pénzügyi intézményeinek magas rangú IT- és megfelelőségi vezetői vettek részt – azt is feltárta, hogy a DORA (Digital Operational Resilience Act) hatálybalépése óta bevezetett intézkedésekkel együtt is a válaszadók 96%-a úgy érzi, hogy jelenlegi adat‑ és üzletmenet‑folytonossági szintjük még mindig nem felel meg a szabályozás által támasztott elvárásoknak. Bár a DORA januárban hatályba lépett, és 94 %-uk szerint most nagyobb szervezeti prioritást élvez, mint a határidő előtt, csupán 40 % nevezte meg aktuális legfontosabb digitális resiliencia célként.
A felmérés rámutat a teljesítési folyamat során felmerülő kihívásokra is, hiszen a válaszadók 41 %-a számolt be arról, hogy az IT- és biztonsági csapatokra nehezedő terhelés jelentősen megnőtt, 37 % szerint a technológiai beszállítók áremeléssel reagáltak a DORA előírásokra, és 20 %-uk még nem biztosította a szükséges költségvetést a megfeleléshez. Emellett 22 % szerint a digitális szabályozói környezet túlzott komplexitása akadályozhatja az innovációt vagy a versenyképességet.
A jelentés arra is felhívja a figyelmet, hogy a pénzügyi cégek között számos kulcsfontosságú DORA-elvárás még nem teljesült, mert a válaszadók 24 %-a nem indított el visszaállítási és üzletmenet folytonossági teszteket, és nem vezettek be incidensjelentési rendszert vagy nem jelöltek ki felelőst a DORA‑program koordinálására. A digitális működési reziliencia tesztelését 23 %-uk nem végezte el, míg 21 %-uk nem biztosította az adatmentések integritását és titkos visszaállíthatóságát. A legnagyobb nehézséget – mintegy 34 %-uk szerint – a harmadik féllel kapcsolatos kockázatok felügyelete jelentette, amely az egyik legösszetettebb követelményként merült fel.
A Veeam szakértői – Edwin Weijdema (EMEA technológiai igazgató) és Andre Troskie (EMEA biztonsági igazgató) – hangsúlyozták, hogy bár a megfelelés fontos, valós digitális reziliencia az átfogó üzleti védelem részeként működő, folyamatosan tesztelt és fejleszthető adat‑ és helyreállítási struktúrákat igényel.
