Oleh Ben Stickland, Anggota Hive di CovertSwarm
Undang-Undang Ketahanan Operasi Digital, atau disingkat DORA, adalah peraturan baru UE yang bertujuan untuk meningkatkan ketahanan siber lembaga keuangan yang berbasis di UE.
Arahan NIS2 adalah undang-undang Uni Eropa yang menegaskan bahwa entitas 'esensial' dan 'penting', termasuk lembaga keuangan, menerapkan langkah-langkah teknis, operasional, dan organisasi untuk memitigasi risiko ancaman dunia maya. Alih-alih menegakkan peraturan, arahan NIS2 memberikan pedoman untuk memastikan penerapan hukum lokal secara konsisten di seluruh negara anggota UE.
Persyaratan DORA akan mulai berlaku pada 17 Januari 2025, sementara NIS2 diharapkan mulai berlaku pada 17 Oktober 2024. Namun, setiap negara anggota UE harus menerapkan persyaratan ini pada undang-undang setempat sehingga tanggal penerapannya mungkin berbeda.
Kedua undang-undang ini mempengaruhi semua lembaga keuangan yang berbasis di UE dan semua lembaga keuangan yang bekerja sama dengan entitas UE; jika hal ini tidak berdampak pada organisasi Anda saat ini, besar kemungkinan hal tersebut akan terjadi di masa mendatang.
DORA terdiri dari kerangka peraturan berdasarkan ketahanan operasional digital yang mana seluruh lembaga keuangan dan pemasok TI penting mereka harus memastikan bahwa mereka dapat bertahan, memitigasi, dan pulih dari gangguan dan ancaman dunia maya, sementara NIS2 berlaku untuk cakupan yang lebih luas dari gangguan dan ancaman 'esensial' dan 'esensial' dan 'esensial'. entitas penting di berbagai sektor.
Dalam DORA, denda untuk badan keuangan diputuskan oleh otoritas yang berwenang sedangkan pemasok TI didenda berdasarkan persentase tertentu dari pendapatan global mereka. NIS2 mengenakan denda berdasarkan omzet untuk badan 'penting' dan 'esensial'.
Apa persyaratan untuk lembaga keuangan?
Meskipun persyaratan utama DORA masih jelas, rincian lebih lanjut mengenai standar teknis akan dipublikasikan sebagai bagian dari rancangan akhir pada bulan Juli. Meski demikian, lima pilar regulasi DORA meliputi:
-
Manajemen risiko TIK: Entitas keuangan harus membangun tata kelola internal dan kerangka pengendalian untuk mengidentifikasi, menilai, dan mengurangi risiko TIK secara efektif.
-
Pelaporan insiden terkait TIK: Entitas keuangan harus mengklasifikasikan dan melaporkan insiden terkait TIK yang membahayakan keamanan mereka dan berdampak buruk pada integritas data atau ketersediaan layanan.
-
Pengujian ketahanan operasional digital: Semua entitas keuangan, kecuali usaha mikro, harus melakukan pengujian lanjutan secara berkala, yang dikenal sebagai 'Threat Led Penetration Testing' (TLPT), untuk mencegah insiden. Frekuensi pengujian dapat bervariasi tergantung pada ukuran dan profil risiko entitas.
-
Manajemen risiko pihak ketiga TIK: Entitas keuangan harus melindungi diri dari kerentanan eksternal dengan memastikan penyedia pihak ketiga mereka aman dan patuh.
-
Berbagi informasi dan intelijen: Entitas keuangan didorong untuk berbagi konten informatif tentang insiden terkait TIK internal dan eksternal.
NIS2 memperluas persyaratan yang ada dari NIS, seperti akuntabilitas perusahaan dan kelangsungan bisnis. Namun, hal ini juga memperkenalkan kewajiban baru bagi organisasi, termasuk manajemen risiko dan kewajiban pelaporan.
Berikut adalah penjelasan lebih dekat tentang empat area menyeluruh NIS2 dan apa saja yang diperlukan:
-
Akuntabilitas perusahaan: manajemen perusahaan harus mengawasi, mengesahkan, dan menjalani pelatihan mengenai langkah-langkah keamanan siber entitas.
-
Manajemen risiko: organisasi harus menerapkan langkah-langkah untuk mengurangi risiko cyber, seperti manajemen insiden, keamanan rantai pasokan, peningkatan keamanan jaringan, peningkatan kontrol akses, dan penerapan enkripsi.
-
Kewajiban pelaporan: entitas 'penting' dan 'penting' harus menetapkan prosedur untuk segera melaporkan insiden keamanan yang secara signifikan memengaruhi penyediaan layanan atau penerimanya dan mematuhi tenggat waktu pemberitahuan tertentu.
-
Kesinambungan bisnis: organisasi harus menyusun strategi bagaimana mempertahankan operasi bisnis selama insiden dunia maya besar, menggabungkan rencana pemulihan sistem dan membentuk tim tanggap krisis.
Siapa yang terkena dampak?
Meskipun ada banyak pengecualian terhadap aturan tersebut, pada tingkat dasarnya, DORA terutama memengaruhi lembaga keuangan yang berbasis di Uni Eropa dan pemasok TI 'penting' mereka. Ini termasuk:
-
Lembaga keuangan seperti bank dan lembaga kredit
-
Badan kredit dan penyedia layanan informasi akun
-
Dana pensiun dan perusahaan investasi
-
Penyedia layanan aset kripto
-
Penyedia asuransi
-
Penyedia crowdfunding dan manajer dana investasi alternatif
-
Perantara dan penyedia layanan TIK
NIS2 berlaku untuk entitas yang beroperasi di UE, terlepas dari keberadaan geografis organisasi tersebut. Baik entitas 'penting' maupun 'penting' harus mematuhi arahan NIS2. Industri yang terkena dampak NIS2 meliputi:
Sektor 'penting':
Sektor 'penting':
-
Layanan pos dan kurir
-
Pengelolaan sampah
-
Manufaktur
-
Penyedia digital
-
Riset
-
Produksi, pengolahan, dan distribusi makanan
-
Pembuatan, produksi, dan distribusi bahan kimia
Apa yang terjadi jika lembaga keuangan gagal mematuhinya?
Lembaga keuangan yang tidak mematuhi DORA akan dikenakan sanksi yang ditentukan oleh otoritas yang berwenang. Tergantung pada bagaimana masing-masing Negara Anggota UE memutuskan untuk menerapkan hukuman tersebut, organisasi mungkin menghadapi konsekuensi pidana dan/atau keuangan.
Jika pemasok TI gagal mematuhi DORA, mereka dapat menanggung risiko denda hingga 1% dari rata-rata omzet harian mereka di seluruh dunia pada tahun bisnis sebelumnya. Denda ini berlaku setiap hari hingga 6 bulan.
Perlu dicatat bahwa hukuman dan denda berdasarkan DORA akan mematuhi konsep proporsionalitas. Dengan kata lain, lembaga keuangan yang lebih kecil tidak akan mempunyai standar yang sama dengan perusahaan multinasional yang lebih besar.
Bagi entitas 'penting', denda atas ketidakpatuhan dapat berkisar dari 10 juta EUR hingga 2% dari total omzet tahunan di seluruh dunia. Entitas 'penting' dapat menghadapi denda mulai dari 7 juta EUR hingga 1,4% dari total omzet tahunan di seluruh dunia.
Langkah-langkah apa yang harus diambil lembaga keuangan untuk mengurangi risiko ketidakpatuhan?
Dua komponen DORA membedakannya dari peraturan lain, yaitu mewajibkan pengujian keamanan untuk memastikan kesesuaian dan efektivitas kontrol keamanan Anda.
Bagian penting dari peraturan ini adalah melaksanakan 'Pengujian Penetrasi yang Dipimpin Ancaman' (TLPT) secara rutin, yang jauh melampaui sistem pengujian penetrasi yang biasa dilakukan saat ini; Hal ini dimulai dengan berpikir seperti penyerang di dunia nyata, membuat rencana serangan untuk lingkungan Anda, dan kemudian melaksanakannya secara mendalam di seluruh infrastruktur Anda. Latihan TLPT kemudian harus dimasukkan kembali ke dalam program keamanan Anda untuk mengatasi kerentanan yang ditemukan, baik yang berbasis manusia, proses, atau teknologi.
Pasal 25 DORA mengamanatkan bahwa aplikasi dan infrastruktur diuji setelah setiap penerapan atau perubahan baru, oleh karena itu cara terbaik untuk melakukan pendekatan ini adalah dengan beralih ke model pengujian berkelanjutan; yang mana Anda memiliki kapasitas sesuai permintaan, dan dapat bekerja sesuai dengan SDLC Anda dan jalur manajemen perubahan.
Manajemen aset adalah kunci kepatuhan. Lembaga keuangan perlu mengetahui apa yang ada di lahan mereka, apa yang mereka gunakan dan berinteraksi dengannya serta apa risiko dan ancamannya terhadap mereka, serta bagaimana pemasok pihak ketiga mereka beroperasi. Dari sini, organisasi dapat memanfaatkan kerangka kerja dan menanamkan kebijakan serta kerangka kerja untuk mengevaluasi dan memprioritaskan risiko. Di sinilah penerapan taktik seperti pengujian penetrasi dan keamanan siber yang didorong oleh ancaman, pelaporan instan, dan manajemen instan berperan penting.
Manajemen risiko di bidang keuangan dan perbankan sangatlah kompleks. Terkait kerentanan pihak ketiga, diperlukan lebih banyak keterlibatan dengan manajemen pemasok. Lembaga keuangan memerlukan pemahaman mendalam tentang kontrak mereka dengan penyedia TI serta peran dan tanggung jawabnya. DORA benar-benar menekankan hal ini dan ini adalah area yang akan memberikan hukuman terbesar – berpotensi bagi kedua belah pihak. Institusi perlu memperjelas pihak mana yang mengelola apa dan siapa yang bertanggung jawab.
Contohnya adalah patching dan monitoring: jika ada kompromi pada pihak ketiga, seberapa besar tanggung jawab yang harus ditanggung oleh lembaga keuangan untuk mendeteksi pihak ketiga, jika ada? Ini adalah contoh sederhana, namun hal ini mendasari pentingnya menetapkan peran tanggung jawab yang jelas dalam semua kasus.
Masih ada waktu untuk mengatasi kesenjangan tanggung jawab yang tidak jelas; sekitar 6 bulan hingga 17 Januari 2025. Sekaranglah saatnya untuk menyisir semua kontrak dan menguraikan dengan jelas serta mengatasi semua area yang ambigu untuk menghindari implikasi hukum dan potensi kerusakan reputasi di kemudian hari.
Pentingnya peraturan
Meskipun beberapa orang mungkin menganggap kepatuhan terhadap peraturan DORA dan NIS2 sebagai sebuah hal yang perlu dilakukan, hal ini menjadi penting mengingat meningkatnya kecepatan dan skala serangan keamanan siber, khususnya di sektor keuangan.
Kepercayaan pelanggan sangat penting bagi lembaga keuangan; jika nasabah bank mencurigai bank rentan terhadap peretas, bank tersebut pasti akan kehilangan nasabahnya dan reputasinya rusak. DORA dan NIS2 telah dikembangkan untuk membangun ketahanan operasional yang lebih baik dan untuk membawa setiap institusi mencapai standar yang sama, sehingga membuat serangan dari pihak jahat menjadi sesulit mungkin.