AGENDA DORA FORUM 2023
Dzień zero - 24 października
Dodatkowo płatne warsztaty fakultatywne onsite dla chętnych
Sala Private Dining Room w hotelu Courtyard by Marriott Warsaw Airport
Wszystkich zainteresowanych pogłębieniem wiedzy na tematy organizacyjno-prawne w kontekście rozporządzenia DORA zapraszamy na dodatkowe warsztaty onsite dzień przed konferencją DORA Forum. W trakcie warsztatów uczestnicy dowiedzą się szczegółowo i w praktyczny sposób o obwarowaniach prawnych rozporządzenia, tematach związanych z procedurami zakupowymi usług ICT oraz zarządzaniem incydentami.
Podczas warsztatów omówimy kwestie zakresu stosowania DORA, terminarza obowiązywania, zastanowimy się kto jak będzie musiał się dostosować, sprawdzimy w praktyczny sposób, jak zmienią się wymogi kontraktowe w reżimie DORA i zastanowimy się, jak przeprocesować ich wdrożenie.
DORA nakłada na podmioty sektora finansowego i ubezpieczeniowego szereg wymogów, obejmujących m.in. proces zarządzania incydentami związanymi z ICT w celu ich wykrywania, zarządzania nimi i ich zgłaszania. Wiąże się to z koniecznością ustanowienia odpowiednich procedur i przydzielenia ról w pełnieniu obowiązków związanych z różnymi rodzajami incydentów ICT, jak również określenia sposobu ich wykrywania, klasyfikacji, zgłaszania oraz reagowania na takie incydenty.
Dzień pierwszy - 25 października
Rozporządzenie o cyfrowej odporności operacyjnej (DORA) zajmuje szczególnie ważne miejsce wśród aktów prawnych wprowadzanych w ramach pakietu regulacji unijnych dot. cyberbezpieczeństwa i cyberodporności. Waga tej regulacji wynika z rangi jaką jest rozporządzenie europejskie stosowane wprost w krajach członkowskich a z drugiej strony z faktu dedykowania tego rozwiązania do jednego sektora gospodarki jakim jest rynek finansowy. Na tle innych branż podmioty rynku finansowego są w większości dość dobrze zaznajomione z podejściem regulatorów do zarządzania ryzykiem operacyjnym w zakresie IT, gdyż od lat obowiązują akty soft law, w tym Rekomendacja D. Jednak spełnienie wymagań DORA wymaga wysiłku dostosowania się zarówno po stronie podmiotów nadzorowanych, jak i w przypadku KNF. Wpłynie również na liczbę i zakres obowiązujących obecnie „miękkich regulacji” oraz będzie pociągało za sobą zmianę szeregu ustaw w celu zapobieżeniu kolizji przepisów.
Rozporządzenie DORA to kamień milowy prac UE nad finansami cyfrowymi, ponieważ za jego sprawą organizacje muszą zmienić dotychczasowy sposób funkcjonowania oraz być w stanie reagować na wszelkie incydenty ICT oraz podejmować działania naprawcze. DORA wprowadza nowe obowiązki w zakresie zgodności w całym sektorze finansowym UE, które wymagają od organizacji określenia aktualnego poziomu dostosowania i opracowania najlepszej strategii działań, aby osiągnąć zgodność z DORA. Podczas naszej prezentacji rozważymy najbardziej efektywne podejście do wdrożenia DORA (biorąc również pod uwagę fakt, że pewne obszary będą dopiero podlegać doprecyzowaniu w postaci Regulacyjnych Standardów Technicznych) oraz jak wymagane zmiany regulacyjne mogą korzystnie wpłynąć na przeprowadzenie pełnej transformacji obszaru bezpieczeństwa w przedsiębiorstwach.
W trakcie panelu zaproszeni eksperci oraz przedstawiciele branży finansowej odpowiedzą na pytania dotyczące zapewnienia odporności cyfrowej w instytucjach, które zostaną objęte rozporządzeniem DORA. Zapytamy o to, czego potrzebuje sam rynek finansowy - jaki pozytywny impuls do działania może dać mu DORA, a gdzie może leżeć granica racjonalnych wymagań, poza którą trudno mówić o działaniach optymalnych z punktu widzenia budowania cybrerodporności i efektywności biznesowej organizacji? Czy DORĘ da się wpasować w inne regulacje rynku, a wymagania dopasować do specyfiki danej organizacji? A także o to, jak sam rynek usług ICT współpracujący z podmiotami z szeroko rozumianej branży finansów - będzie musiał zmienić się po wdrożeniu aktu Digital Operational Resilience Act – co będzie dla niego dobre, a co może stanowić wyzwanie – i jak to zmieni relacje na styku między dostawcami i zamawiającymi.
Udział wezmą m. in.:
Rozwój technologii napędza rynek, a regulacje utrzymują go w ryzach. Do grona dostawców najnowocześniejszych rozwiązań IT, odpowiadających na dzisiejsze i przyszłe wyzwania w cyberbezpieczeństwie, niewątpliwie zaliczyć należy Vectra AI oraz Cybereason. Jednakże, aby efektywnie odpowiedzieć na wyzwania związane ze zderzeniem świata usług finansowych, budowanych na bazie zaawansowanych rozwiązań, z regulacjami i obowiązkami z nich wynikającymi, dostawy najnowocześniejszej technologii muszą iść w parze z kompleksowymi usługami, realizowanymi przez interdyscyplinarne zespoły. Vectra AI chroni organizację przed cyberzagrożeniami na poziomie platformy i sieci, a Cybereason na stacjach końcowych. Na przykładzie Vectra AI oraz Cybereason, a także podejścia Euvic Solutions do budowy usług w obszarach związanych z implementacją rozwiązań cyberbezpieczeństwa, popartego autorską metodyką CyberExpress, pokażę jak kompleksowo wspieramy klientów w budowaniu zgodności z wytycznymi DORA.
Rozporządzenie DORA wprowadza znaczące zmiany i dodatkowe obowiązki na instytucje finansowe w ramach badania cyberzagrożeń i odpowiadania na nie. Dotyczy to również procedur i konieczności tworzenia kopii zapasowych i mechanizmów odzyskiwania danych, które mają stać się częścią zarządzania ryzykiem technologicznym organizacji.
Wszystkich uczestników zapraszamy do sesji pytań i odpowiedzi. Na wszystkie wątpliwości odpowiedzą nasi eksperci występujący w danym bloku konferencji. Będzie to doskonała okazja do pogłębienia swojej wiedzy na temat poszczególnych filarów DORA.
Zasada "risk based approach" stanowi znany od lat fundament ram zarządzania. Odwołują się do niej zarówno powszechnie wykorzystywane normatywy, jak i regulacje sektorowe – różne w poszczególnych krajach członkowskich Unii. Jak dotąd, niejednolite są jednak metody zarządzania ryzykiem technologicznym, co w świetle złożonego krajobrazu zagrożeń przyczynia się do większego skomplikowania prac nad systemowym zapewnieniem odporności cyfrowej. Jednym z celów Rozporządzenia DORA pozostaje harmonizacja i ujednolicenie najważniejszych wymogów w zakresie zarządzania ryzykiem technologicznym. Czy i w jakim zakresie są to nowe wymogi? Jak zapewnić ich skuteczną implementację z uwzględnieniem wymogów korporacyjnych i możliwości podmiotów finansowych działających w różnej skali i na odmiennych rynkach? Podczas wystąpienia przedstawione zostaną kluczowe wyzwania oraz praktyczne wskazówki wspierające budowanie dojrzałych ram zarządzania ryzykiem związanym z ICT.
Zarządzanie ryzykiem technologicznym w wysoko rozwiniętych organizacjach stanowi kluczowy element do utrzymania ciągłości działania procesów oraz zapobiegania nadmiernym stratom wynikającym z błędów lub nieprzewidywalnych zdarzeń. Podczas dyskusji eksperci na przykładzie własnych organizacji z rynku finansowego omówią dlaczego i w jaki sposób należy rozważać temat risk managementu w kontekście zgodności procesów z wymogami compliance.
Ryzyko technologiczne zaczyna się tam gdzie tworzymy aplikacje – przy wyborze architektury, języka programowania czy komponentów firm trzecich. Podejmujemy zarówno ryzyko związane z podatnościami w tworzonym oprogramowaniu, jak również licencjami wykorzystanych bibliotek open source, oprogramowaniem dostarczanym przez podwykonawców czy konfiguracją infrastruktury. SNYK pozwala minimalizować wszystkie te ryzyka skanując kod wytwarzany przez programistów, dołączane do niego biblioteki oraz budowane obrazy, a także wspiera zabezpieczenie podejścia Infrastructure as a Code. To wszystko w jednej platformie, w sposób zautomatyzowany z całym procesem dostarczania oprogramowania. Podczas sesji wyjaśnimy, w jaki sposób wykorzystanie rozwiązań takich jak Snyk może przyczynić się do zwiększenia operacyjnej odporności cyfrowej organizacji, pozwalając im tym samym sprostać wymaganiom regulacyjnym takim jak DORA.
Wszystkich uczestników zapraszamy do sesji pytań i odpowiedzi. Na wszystkie wątpliwości odpowiedzą nasi eksperci występujący w danym bloku konferencji. Będzie to doskonała okazja do pogłębienia swojej wiedzy na temat poszczególnych filarów DORA.
Jako wprowadzenie do tematu omówię podstawowe zasady i wyzwania związane z zarządzaniem ryzykiem ze strony zewnętrznych dostawców usług ICT, w tym ryzykiem koncentracji. Następnie zaprezentuję wybrane wymagania dla dostawców usług ICT, które zmienią podejście do nadzoru nad dostawcami przez podmioty finansowe. Na zakończenie przedstawię wybrane obowiązki podmiotów finansowych, które w drodze outsourcingu będą mogły być zlecone dostawcom usług ICT, a także szczególne zagadnienia związane z ryzykiem korzystania z usług kluczowych zewnętrznych dostawców usług ICT.
DORA wprowadza zupełnie nowe obowiązki zarówno dla instytucji finansowych jak również dotyczące zawieranych przez nie umów z dostawcami usług ICT – to również dotyczy samych dostawców. Podczas dyskusji uczestnicy dowiedzą się jak skutecznie zarządzać ryzykiem stron trzecich, gdyż odpowiedzialność za nieprawidłowości zgodnie z DORA ciąży na obu stronach kontraktu.
Udział wezmą m. in.:
Wszystkich uczestników zapraszamy do sesji pytań i odpowiedzi. Na wszystkie wątpliwości odpowiedzą nasi eksperci występujący w danym bloku konferencji. Będzie to doskonała okazja do pogłębienia swojej wiedzy na temat poszczególnych filarów DORA.
W całej Unii Europejskiej instytucje finansowe i dostawcy usług są zobowiązani podjąć kroki, aby zapewnić, że ich procesy i kontrole dotyczące incydentów związanych z bezpieczeństwem danych i systemów spełniają wymogi ustawy o cyfrowej odporności operacyjnej (DORA). Zarządzanie incydentami związanymi z technologiami informacyjno-komunikacyjnymi (ICT) to kluczowy aspekt zapewnienia bezpieczeństwa i ciągłości wszystkich ważnych usług biznesowych, świadczonych swoim klientom przez instytucje finansowe i innych regulowanych dostawców usług. Zdolność do wykrywania, zarządzania i powiadamiania o incydentach związanych z ICT może oznaczać różnicę między niewielkimi zakłóceniami a poważną katastrofą. W tym celu, aby spełnić wymagania DORA, opracowywane przez podmioty finansowe procesy zarządzania incydentami związanymi z ICT, powinny obejmować wszystkie aspekty wykrywania, zarządzania i powiadamiania o incydentach. W założeniu, DORA opiera się na pięciu głównych filarach: Zarządzanie ryzykiem cybernetycznym, Zarządzanie incydentami bezpieczeństwa, Testowanie odporności operacji IT, Zarządzanie łańcuchem dostaw, Wymiana informacji
W związku z tym, wprowadzenie DORA to świetna wiadomość dla wszelkich instytucji finansowych, gdyż jak sugeruje piąty filar, projekt ustawy będzie zachęcał do ściślejszej współpracy pomiędzy dostawcami usług finansowych w ramach bloku. Następnie, będzie to miało pozytywny wpływ na inne sektory, zarówno ze względu na interakcje stron trzecich pomiędzy dostawcami usług finansowych i innych branż, a także dlatego, że inne sektory mogą nawet zainspirować się do wdrożenia większych środków zwiększających odporność cybernetyczną w przyszłości. A nawet, jest bardzo prawdopodobne, że inne jurysdykcje wprowadzą podobne przepisy, podobnie jak to miało miejsce w przypadku ogólnego rozporządzenia o ochronie danych (RODO).
Rozporządzanie Digital Operational Resilience Act wprowadza nowe obowiązki dotyczące zarządzania incydentami i ich raportowania, do czego wymagana jest współpraca wszystkich stron. Czy dzięki nowym przepisom te elementy w organizacji będą działały sprawniej i bardziej optymalnie? Na te i wiele innych pytań odpowiedzą nasi eksperci w trakcie debaty.
Udział wezmą m. in.:
Dyrektywa DORA nakłada na podmioty finansowe kilka obowiązków. Jeden z nich to utrzymywanie solidnego planu reagowania na incydenty. Sprawne zarządzanie incydentami to proces, który opiera się na kilku filarach obejmujących: wykrywanie, reagowanie, raportowanie i wyciąganie wniosków z zaistaniałych incydentów. Narzędzia technologiczne oczywiście nie zastąpią w takim procesie ludzi, ale potrafią usprawnić te zadania. W moim komentarzu chciałbym poruszyć kilka aspektów technologicznych takiego właśnie wsparcia.
Wszystkich uczestników zapraszamy do sesji pytań i odpowiedzi. Na wszystkie wątpliwości odpowiedzą nasi eksperci występujący w danym bloku konferencji. Będzie to doskonała okazja do pogłębienia swojej wiedzy na temat poszczególnych filarów DORA.
Uczestnicy zostaną podzieleni na równoliczne zespoły, które mają czas na wymianę opinii i odniesienie się do innych – jak widzą swoją drogę do spełnienia wymogów DORA
Testowanie operacyjnej odporności cyfrowej to jeden z kluczowych obszarów, których dotyczy rozporządzenie DORA. Temat na pierwszy rzut oka wydaj się prosty, ale czy faktycznie tak jest? Czy znasz w pełni wszystkie wymagania które stawia nowe rozporządzenie? Czy zastanawiałeś się jak je spełnisz? Jak się do tego przygotować i co musisz zapewnić? Przed Tobą wiele wyzwań. Wspólnie porozmawiamy o tym jak im sprostać i spróbujemy rozwiać wątpliwości w interpretacji niektórych wymagań.
Pytania, na które będziemy starli się odpowiedzieć to, m.in.:
1. Jak powinny wyglądać testy aby spełnić wymagania DORA?
2. Kto powinien je wykonywać i jak do nich podchodzić?
3. Jak sprostać wymaganiu testowania wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje?
4. Jak ustalić zakres w oparciu o analizę ryzyka?
5. Czym się różnią zaawansowane testy penetracyjne pod kątem wyszukiwania zagrożeń (TLPT) od „zwykłych” pentestów?
6. Wykonałem testy i co dalej?
PSD2, UKSC, RODO - co je łączy? Oczywiście - zarządzanie incydentami. Do aktualnie obowiązujących wymagań w obszarze zarządzania incydentami, włączając w to również obligatoryjne raportowanie dołączają teraz te, które narzuci DORA. Jakie dokładnie są to wymagania? Jak wpisują się one w istniejące i obowiązujące już przepisy? Czy jesteśmy u progu rewolucji czy może ewolucji w obszarze zarządzania incydentami? Panel dyskusyjny, który będę miała przyjemność poprowadzić to doskonała okazja do wymiany poglądów na temat przygotowania się do DORY w obszarze zarządzania incydentami.
Zarządzanie ryzykiem ICT to kluczowy element rozporządzenia DORA, który wymaga od organizacji ciągłego monitorowania i kontrolowania ryzyka związanego z technologiami informacyjnymi. Jednak czy zakres tego rodzaju ryzyka jest wystarczająco jasny i precyzyjny? Jaka jest jego relacja do innych rodzajów ryzyka, np. operacyjnego czy bezpieczeństwa informacji? Jakie narzędzia i metody są najbardziej efektywne w identyfikacji ryzyka? W ramach dyskusji wspólnie odpowiemy na te pytania, jak również zastanowimy się:
- Jakie są kluczowe elementy efektywnego zarządzania ryzykiem ICT zgodnie z DORA?
- Jakie są największe wyzwania w identyfikacji i kontroli ryzyka ICT?
- Jakie narzędzia i technologie są najbardziej przydatne w zarządzaniu ryzykiem ICT?
- Jak zintegrować zarządzanie ryzykiem ICT z innymi procesami zarządzania ryzykiem w organizacji?
- Jak ocenić skuteczność działań zarządzania ryzykiem ICT?
- Jakie są konsekwencje nieefektywnego zarządzania ryzykiem ICT dla bezpieczeństwa organizacji?
W trakcie dyskusji będziemy analizować różne scenariusze i przypadki, aby lepiej zrozumieć, jak zarządzanie ryzykiem ICT wpływa na bezpieczeństwo operacyjne i cyfrowe organizacji, oraz jakie są najlepsze praktyki w tej dziedzinie.
Chcemy porozmawiać w gronie zainteresowanych przedstawicieli sektora o kwestiach poruszonych w DORA a dotyczących Ryzyka w łańcuchu dostaw ICT.
Szczególnie chcę zwrócić uwagę na:
1. Czy ocenę ryzyka z DORY można łączyć z inną oceną np. Dpia czy aic?
2. Jak traktować dostawców którzy są: monopolistami, dostawcami chmurowymi, dostawcami rozproszonej infrastruktury (blockchain).
3. Jak kontrolować? Ankieta? Wizyty? I na jakiej podstawie wykonywać kontrole czy wymagane są klauzule w umowach czy wystarczy podstawa z DORA?
4. Rejestr podwykonawców (jest osobny rts na to) ale co z podwykonawcami 2 i 3 stopnia.
Spośród wszystkich kwestii poruszonych w DORA, obszar ustaleń dotyczących wymiany informacji o cyberzagrożeniach z innymi podmiotami i instytucjami wydaje się najmniej kłopotliwy. DORA traktuje ten obszar raczej jako uprawnienie przysługujące podmiotom finansowym niż zestaw obowiązków do spełnienia, ale dzięki temu może być to temat na ciekawą rozmowę, ponieważ dotyczyła ona będzie tego co faktycznie instytucje finansowe chcą wspólnie realizować w tym obszarze.
Od czasu rozpoczęcia rosyjskiej inwazji w Ukrainie, która przyczyniła się do zauważalnego wzrostu poziomu zagrożeń w cyberprzestrzeni, wymiana informacji z zakresu cyberbezpieczeństwa w zaufanym gronie podmiotów finansowych uległa znacznej intensyfikacji. Mając w szczególności na względzie te ostatnie doświadczenia, zastanowilibyśmy nad funkcjonowaniem inicjatyw wymiany informacji o cyberzagrożeniach, w tym próbując odpowiedzieć na poniższe pytania:
1) Czy instytucje finansowe stały się bardziej otwarte na wymianę informacji wierząc, że w obszarze ochrony przed cyberatakami nie są konkurencją, ale grupą podmiotów posiadających wspólny interes?
2) Czy informacje o cyberzagrożeniach udostępniane dotychczas przez inne podmioty pozwalają instytucjom finansowym na istotne zwiększenie własnej odporności cyfrowej?
3) Czy dla efektywnej współpracy odpowiednia jest bardziej jednorodna struktura grupy (np. tylko banki) czy połączenie różnych sektorów (banki, ubezpieczyciele, podmioty infrastruktury rynku, etc.)?
4) Czy problemem jest to, że część uczestników danej inicjatywy może zachowywać się biernie (niekoniecznie ze względu na niechęć do dzielenia się informacjami, ale np. z uwagi na mniejszą bazę własnych obserwacji)?
5) Czy bardziej ścisłe i szczegółowe określenie zasad współpracy w ramach grup wymiany informacji byłoby sposobem na zwiększenie efektywności ich działania?
Po dniu pełnym wrażeń i ogromnej dawki wiedzy wszystkich uczestników konferencji zapraszamy na wieczorny koktajl integracyjny, który odbędzie się w foyer konferencyjnym. Spotkanie będzie idealną okazją do dalszych rozmów i networkingu przy kieliszku dobrego wina lub piwa.

Dzień drugi - 26 października
Warsztaty online - platforma Zoom
Rozporządzenie DORA (Digital Operational Resilience Act) to unijne prawodawstwo mające na celu zwiększenie odporności sektora finansowego na zagrożenia cyfrowe.
Warsztaty na temat testowania operacyjnej odporności cyfrowej zgodnie z rozporządzeniem DORA mogą dostarczyć uczestnikom szeregu informacji i umiejętności, które pomogą zrozumieć i wdrożyć te nowe przepisy. Warsztaty będą obejmować wyjaśnienie treści i celów rozporządzenia DORA, w tym jego zakresu i wpływu na instytucje finansowe w Unii Europejskiej.
Uczestnicy dowiedzą się o kluczowych pojęciach związanych z testowaniem operacyjnej odporności cyfrowej, takich jak ważność usług cyfrowych, zidentyfikowane zdarzenia, testy i ćwiczenia. Będą omówione szczegółowe przepisy i wymagania dotyczące testowania operacyjnej odporności cyfrowej określone w rozporządzeniu DORA, takie jak harmonogramy testów, raportowanie incydentów i inne obowiązki.