לא רק אבטחת מידע: איך האיחוד האירופי מחייב ארגונים פיננסיים להוכיח חוסן תפעולי, מוכנות למשברים ויכולת התאוששות מאירועי סייבר
בשנים האחרונות מוביל האיחוד האירופי מהלך רחב להעלאת רמת החוסן והבשלות הדיגיטלית של ארגונים. אחרי GDPR ששינה את עולם הפרטיות ו־NIS2 שהרחיב את דרישות הסייבר, מגיעה DORA – אחת הרגולציות המשמעותיות ביותר למגזר הפיננסי באירופה.
Digital Operational Resilience Act – DORA
הרגולציה נכנסה לתוקף מלא במגזר הפיננסי, בינואר 2025 ומטרתה לוודא שארגונים אינם רק מוגנים מפני איומי סייבר, אלא מסוגלים להמשיך לפעול גם כאשר אירוע משמעותי כבר מתרחש וקיימת תוכנית המשכיות עסקית BCP, יישימה.
מהי רגולציית DORA?
רגולציה אירופית חדשה לחוסן תפעולי דיגיטלי למגזר הפיננסי
DORA (Digital Operational Resilience Act) היא רגולציה של האיחוד האירופי שנועדה לחזק את החוסן התפעולי הדיגיטלי של המערכת הפיננסית.
בניגוד לרגולציות אבטחת מידע מסורתיות, המתמקדות בעיקר בהגנה על מידע, פרטיות או בקרות טכנולוגיות, DORA מתמקדת ביכולת הארגון:
- למנוע אירועים
- לזהות אירועים
- להגיב לאירועים
- להתאושש מהם
- ולהמשיך לספק שירותים גם בזמן משבר
המסר של הרגולטור האירופי פשוט:
לא מספיק להיות מאובטח. צריך להיות עמיד.
DORA כחלק ממגמת הרגולציה האירופית
מ־GDPR ו־NIS2 אל עולם החוסן התפעולי
DORA היא חלק ממגמה רחבה של האיחוד האירופי המבקשת לחזק את היציבות והאמון במערכת הפיננסית.
אם GDPR עסק בהגנת פרטיות ו־NIS2 באבטחת מידע של ארגונים חיוניים, DORA מתמקדת בשאלה:
האם הארגון מסוגל להמשיך לפעול כאשר מתרחש אירוע סייבר או כשל טכנולוגי משמעותי?
הרגולציה מגדירה סטנדרט אחיד לכל מדינות האיחוד האירופי ומחייבת גופים פיננסיים להציג רמת מוכנות וחוסן גבוהה יותר מבעבר.
DORA ו-NIS2 – מה ההבדל?
| DORA | NIS2 |
|---|---|
| מיועדת למגזר הפיננסי | מיועדת למגזרים קריטיים רבים |
| מתמקדת בחוסן תפעולי דיגיטלי | מתמקדת בהגנת סייבר וניהול סיכונים |
| חלה על בנקים, ביטוח ופינטק | חלה על אנרגיה, בריאות, תחבורה, תקשורת ועוד |
| דגש חזק על ספקי ICT | דגש חזק על אבטחת שרשרת אספקה |
אפשר לומר ש-DORA היא למעשה "NIS2 של העולם הפיננסי".
על מי חלה DORA?
לא רק בנקים וחברות ביטוח
הרגולציה חלה על מגוון רחב של גופים פיננסיים:
- בנקים
- חברות ביטוח
- בתי השקעות
- חברות אשראי
- חברות פינטק
- ספקי שירותי תשלום
- קרנות השקעה
- גופי מסחר בניירות ערך
- חברות ניהול נכסים
אחד החידושים המשמעותיים ברגולציה הוא שהיא מתייחסת גם לספקי ICT קריטיים המספקים שירותים לגופים פיננסיים.
כלומר, גם חברות טכנולוגיה, ספקי ענן, ספקי SaaS וספקי שירותים שונים עשויים להיות מושפעים מדרישות DORA.
למה DORA רלוונטית גם לארגונים בישראל?
רגולציה אירופית עם השפעה גלובלית
כפי שקרה עם GDPR, גם DORA צפויה להשפיע על ארגונים רבים מחוץ לאיחוד האירופי.
ארגונים ישראליים עשויים להיות מושפעים מהרגולציה כאשר הם:
- מספקים שירותים לבנקים באירופה
- עובדים עם חברות ביטוח בינלאומיות
- פועלים בתחום הפינטק
- מספקים שירותי ICT וענן
- משתלבים בשרשרת האספקה של גופים פיננסיים אירופיים
בפועל, יותר ויותר לקוחות פיננסיים דורשים מספקיהם להציג בקרות, נהלים ויכולות התואמות את רוח הרגולציה.
ניהול סיכוני ICT
הבסיס לכל דרישות DORA
אחד הנושאים המרכזיים ברגולציה הוא ניהול סיכוני ICT.
הרגולציה מחייבת ארגונים להקים מסגרת ניהול סיכונים מסודרת הכוללת:
- מיפוי נכסים
- זיהוי מערכות קריטיות
- ניהול פגיעויות
- בקרות אבטחה
- ניהול הרשאות
- ניהול שינויים
- ניהול ספקים
- תיעוד נהלים ותהליכים
במובנים רבים מדובר בדרישות המזכירות תהליכי סקר סיכונים ויישום ISO 27001, אך עם דגש רחב יותר על חוסן תפעולי.
מידע משלימים באתר:
- סקר סיכוני באבטחת מידע
- סקר פערי אבטחת מידע
- יישום ISO 27001
- מיפוי נכסים ומידע רגיש
- אבטחת מידע במגזר הפיננסי בישראל- עדכונים
ניהול אירועי סייבר ודיווח לרגולטור
לא רק לזהות את האירוע – אלא לנהל אותו
DORA מחייבת ארגונים להחזיק תהליך מסודר לניהול אירועים.
הארגון חייב:
- לזהות אירועים במהירות
- לתעד אותם
- לסווג חומרה
- לדווח לגורמים הרלוונטיים
- להפיק לקחים
הרגולציה שמה דגש משמעותי על זמני תגובה, תהליכי Incident Response ותיעוד Evidence לאורך זמן.
ניהול ספקים ושרשרת אספקה
אחד התחומים החשובים ביותר ב-DORA
האיחוד האירופי מכיר בכך שגם ארגון מאובטח יכול להיפגע מספק חיצוני.
לכן DORA דורשת:
- מיפוי ספקים קריטיים
- הערכת סיכונים
- ניהול חוזים
- הגדרת SLA
- בקרות אבטחה לספקים
- תוכניות יציאה והמשכיות עסקית
הדרישות הללו מתחברות באופן ישיר לנושא שרשרת האספקה, שהפך בשנים האחרונות לאחד ממוקדי הסיכון המרכזיים.
מאמר משלים באתר:
סיכוני אבטחת מידע בשרשרת האספקה
בדיקות חוסן תקופתיות
הרגולטור רוצה לראות הוכחות ולא הצהרות
DORA מחייבת ארגונים לבחון באופן מעשי את יכולות ההגנה וההתאוששות שלהם.
הבדיקות כוללות:
- מבדקי חדירה
- סימולציות תקיפה
- בדיקות התאוששות
- תרגילי סייבר
- תרגילי הנהלה
- בדיקות BCP ו־DRP
המטרה היא לוודא שהארגון מסוגל להתמודד עם אירוע אמיתי ולא רק לעמוד בדרישות על הנייר.
מאמרים ושירותים משלימים:
- מבדקי חדירה – כללי
- מבדקי חדירה תשתיתיים
- מבדקי חדירה אפליקטיביים
- BCP – תוכנית המשכיות עסקית
- DRP – תוכנית התאוששות מאסון
מהו TLPT
מבחני חדירה מבוססי מודיעין איומים
עבור ארגונים פיננסיים גדולים, DORA מחייבת ביצוע Threat-Led Penetration Testing (TLPT).
מדובר במבדקי חדירה מתקדמים המדמים תקיפות מציאותיות על בסיס מודיעין איומים עדכני.
בניגוד למבדק חדירה קלאסי, TLPT בוחן:
- צוותים
- תהליכים
- טכנולוגיה
- יכולות תגובה
- קבלת החלטות בזמן אמת
המטרה היא לבחון כיצד הארגון יתמודד עם תקיפה אמיתית ומתוחכמת.
מה הקשר בין DORA לבעלי רישיון פיננסי?
המעבר מציות רגולטורי לניהול שוטף
ארגונים רבים בעלי רישיון פיננסי כבר מתמודדים עם דרישות רגולטוריות משמעותיות סביב:
- אבטחת מידע
- ניהול סיכונים
- בקרות
- ביקורות
- תיעוד Evidence
DORA לוקחת את הדרישות הללו צעד נוסף קדימה ומחייבת הוכחה מתמשכת של חוסן תפעולי.
למעשה, רבים מהאתגרים שאנו פוגשים בקרב בעלי רישיון פיננסי בישראל דומים מאוד לדרישות DORA:
- ניהול הרשאות
- בקרה על ספקים
- ניהול אירועים
- תיעוד ראיות
- מוכנות לביקורות
מה הקשר בין DORA לשירותי CISO ו-GRC?
רגולציה מתמשכת מחייבת ניהול מתמשך
DORA אינה פרויקט חד־פעמי.
היא מחייבת:
- ניהול סיכונים שוטף
- בקרה מתמשכת
- מעקב אחר ספקים
- דיווח על אירועים
- ניהול Evidence
- מעורבות הנהלה
זו בדיוק הסיבה שיותר ארגונים הצרכים להחזיק מערך הגנה, עוברים למודלים של מיקור חוץ, לפחות בחלק מהפוזיציות:
- CISO as a Service
- GRC as a Service
- סקרי פערים תקופתיים
- סקרי ציות ובקרה
שירותים אלו מאפשרים לנהל את התחום באופן רציף ולהישאר מוכנים לביקורות ורגולציה לאורך זמן.
איך אינפוגארד מסייעת בהיערכות ל-DORA?
משלב סקר הפערים ועד לניהול השוטף
באינפוגארד אנו מלווים ארגונים בתהליכי:
- סקרי פערים ו־Gap Analysis
- ניהול סיכוני ICT
- שירותי CISO as a Service
- שירותי GRC
- ניהול אבטחת מידע ספקים ושרשרת אספקה
- מבדקי חדירה
- תוכניות BCP ו־DRP
- תקני ISO 27001 ורגולציות פיננסיות כDORA
המטרה שלנו היא להפוך את דרישות הרגולציה לתהליכים יישומיים, מדידים וברורים – ולא לעוד מסמך שמחכה לביקורת הבאה. בהתאם לגישת אינפוגארד, המטרה היא לא רק לעמוד בדרישה רגולטורית אלא לבנות חוסן ארגוני אמיתי לאורך זמן.
DORA אינה עוד רגולציית אבטחת מידע. היא רגולציית Digital Resilience.
DORA היא הרבה יותר מרגולציה
DORA מסמלת שינוי תפיסתי בעולם הפיננסי.
השאלה כבר אינה:
"האם אתם מאובטחים?"
אלא:
"האם הארגון שלכם ימשיך לפעול כאשר יתרחש אירוע סייבר, תקלה טכנולוגית או פגיעה בספק קריטי?"
עבור גופים פיננסיים, חברות פינטק, בעלי רישיון פיננסי וספקי ICT, מדובר באחת הרגולציות החשובות ביותר של השנים הקרובות.
רוצים להבין את רמת המוכנות שלכם ל-DORA?
אם הארגון שלכם פועל במגזר הפיננסי, מחזיק ברישיון פיננסי או מספק שירותים לגופים פיננסיים באירופה – זה הזמן לבצע סקר פערים ולבחון את רמת החוסן התפעולי שלכם.
בואו נדבר על CISO, GRC, סקרי פערים ורגולציה פיננסית.
שאלות נפוצות
האם DORA חלה על ארגונים בישראל?
לא באופן ישיר, אך ארגונים ישראליים המספקים שירותים לגופים פיננסיים באירופה עשויים להידרש לעמוד בדרישות שונות הנובעות ממנה.
האם ISO 27001 מספיק לצורך DORA?
לא בהכרח. ISO 27001 מהווה בסיס חשוב, אך DORA מתמקדת גם בחוסן תפעולי, המשכיות עסקית וניהול ספקים.
מהו TLPT?
Threat-Led Penetration Testing הוא מבדק חדירה מתקדם המבוסס על מודיעין איומים ומדמה תקיפות מציאותיות על מערכות ותהליכים ארגוניים.
האם DORA מתייחסת גם לספקים?
כן. ניהול ספקים ושרשרת אספקה הוא אחד המרכיבים המרכזיים ברגולציה.
