Oleh Ben Stickland, Anggota Hive di CovertSwarm
Undang-Undang Ketahanan Operasi Digital, atau disingkat DORA, adalah peraturan Uni Eropa baru yang bertujuan untuk meningkatkan ketahanan siber lembaga keuangan yang berbasis di Uni Eropa.
Arahan NIS2 adalah undang-undang Uni Eropa yang menegaskan bahwa entitas 'esensial' dan 'penting', termasuk lembaga keuangan, menerapkan langkah-langkah teknis, operasional, dan organisasi untuk memitigasi risiko ancaman dunia maya. Alih-alih menegakkan peraturan, arahan NIS2 memberikan pedoman untuk memastikan penerapan hukum lokal secara konsisten di seluruh negara anggota UE.
Persyaratan DORA akan mulai berlaku pada tanggal 17 Januari 2025, sementara NIS2 diharapkan mulai berlaku pada tanggal 17 Oktober 2024. Akan tetapi, setiap negara anggota UE harus menerapkannya pada undang-undang setempat sehingga tanggal pemberlakuannya dapat berbeda-beda.
Kedua undang-undang ini memengaruhi semua lembaga keuangan berbasis di Uni Eropa dan lembaga keuangan apa pun yang bekerja dengan entitas Uni Eropa; jika tidak memengaruhi organisasi Anda sekarang, ada kemungkinan besar hal itu akan memengaruhi di masa mendatang.
DORA terdiri dari kerangka regulasi yang didasarkan pada ketahanan operasional digital di mana semua lembaga keuangan dan pemasok TI penting mereka harus memastikan mereka dapat menahan, mengurangi, dan memulihkan diri dari gangguan dan ancaman dunia maya, sementara NIS2 berlaku untuk entitas 'esensial' dan 'penting' yang lebih luas di berbagai sektor.
Dalam DORA, denda bagi entitas keuangan ditentukan oleh otoritas yang berwenang, sedangkan pemasok TI dikenakan denda berdasarkan persentase pendapatan global mereka. NIS2 mengenakan denda berdasarkan omzet baik untuk entitas 'esensial' dan 'penting'.
Apa saja persyaratan untuk lembaga keuangan?
Meskipun persyaratan utama DORA masih jelas, rincian lebih lanjut mengenai standar teknis akan dipublikasikan sebagai bagian dari rancangan akhir pada bulan Juli. Meski demikian, lima pilar regulasi DORA meliputi:
-
Manajemen risiko TIK: Entitas keuangan harus menetapkan kerangka tata kelola dan pengendalian internal untuk mengidentifikasi, menilai, dan memitigasi risiko TIK secara efektif.
-
Pelaporan insiden terkait TIK: Entitas keuangan harus mengklasifikasikan dan melaporkan insiden terkait TIK yang membahayakan keamanan mereka dan berdampak buruk pada integritas data atau ketersediaan layanan.
-
Pengujian ketahanan operasional digital: Semua entitas keuangan, kecuali usaha mikro, harus melakukan pengujian lanjutan secara berkala, yang dikenal sebagai 'Threat Led Penetration Testing' (TLPT), untuk mencegah insiden. Frekuensi pengujian dapat bervariasi tergantung pada ukuran dan profil risiko entitas.
-
Manajemen risiko pihak ketiga ICT: Entitas keuangan harus menjaga terhadap kerentanan eksternal dengan memastikan penyedia pihak ketiga mereka aman dan patuh.
-
Berbagi informasi dan intelijen: Entitas keuangan didorong untuk berbagi konten informatif tentang insiden terkait TIK internal dan eksternal.
NIS2 memperluas persyaratan yang ada dari NIS, seperti akuntabilitas perusahaan dan kelangsungan bisnis. Namun, hal ini juga memperkenalkan kewajiban baru bagi organisasi, termasuk manajemen risiko dan kewajiban pelaporan.
Berikut ini adalah tinjauan lebih dekat pada empat area utama NIS2 dan apa saja yang terkandung di dalamnya:
-
Akuntabilitas perusahaan: manajemen perusahaan harus mengawasi, memberi wewenang, dan menjalani pelatihan mengenai langkah-langkah keamanan siber entitas.
-
Manajemen risiko: organisasi harus menerapkan langkah-langkah untuk mengurangi risiko cyber, seperti manajemen insiden, keamanan rantai pasokan, peningkatan keamanan jaringan, peningkatan kontrol akses, dan penerapan enkripsi.
-
Kewajiban pelaporan: entitas 'penting' dan 'penting' harus menetapkan prosedur untuk segera melaporkan insiden keamanan yang secara signifikan memengaruhi penyediaan layanan atau penerimanya dan mematuhi tenggat waktu pemberitahuan tertentu.
-
Kesinambungan bisnis: organisasi harus menyusun strategi bagaimana mempertahankan operasi bisnis selama insiden dunia maya besar, menggabungkan rencana pemulihan sistem dan membentuk tim tanggap krisis.
Siapa yang terkena dampak?
Meskipun ada banyak pengecualian terhadap aturan tersebut, pada tingkat dasarnya, DORA terutama memengaruhi lembaga keuangan yang berbasis di Uni Eropa dan pemasok TI 'penting' mereka. Ini termasuk:
-
Lembaga keuangan seperti bank dan lembaga kredit
-
Agen kredit dan penyedia layanan informasi akun
-
Dana pensiun dan perusahaan investasi
-
Penyedia layanan aset kripto
-
Penyedia asuransi
-
Penyedia crowdfunding dan pengelola dana investasi alternatif
-
Perantara dan penyedia layanan TIK
NIS2 berlaku untuk entitas yang beroperasi di UE, terlepas dari keberadaan geografis organisasi tersebut. Baik entitas 'penting' maupun 'penting' harus mematuhi arahan NIS2. Industri yang terkena dampak NIS2 meliputi:
Sektor 'penting':
Sektor 'penting':
-
Layanan pos dan kurir
-
Pengelolaan sampah
-
Manufaktur
-
Penyedia digital
-
Riset
-
Produksi, pengolahan, dan distribusi makanan
-
Pembuatan, produksi, dan distribusi bahan kimia
Apa yang terjadi jika lembaga keuangan gagal mematuhinya?
Lembaga keuangan yang gagal mematuhi DORA akan dikenai sanksi yang ditetapkan oleh otoritas yang berwenang. Bergantung pada bagaimana masing-masing Negara Anggota UE memutuskan untuk menerapkan sanksi tersebut, organisasi dapat menghadapi konsekuensi pidana dan/atau finansial.
Jika pemasok TI gagal mematuhi DORA, mereka dapat menghadapi risiko denda hingga 1% dari rata-rata omset harian mereka di seluruh dunia pada tahun bisnis sebelumnya. Ini diterapkan setiap hari hingga 6 bulan.
Perlu dicatat bahwa hukuman dan denda berdasarkan DORA akan mematuhi konsep proporsionalitas. Dengan kata lain, lembaga keuangan yang lebih kecil tidak akan dikenakan standar yang sama seperti perusahaan multinasional yang lebih besar.
Bagi entitas 'penting', denda atas ketidakpatuhan dapat berkisar dari 10 juta EUR hingga 2% dari total omzet tahunan di seluruh dunia. Entitas 'penting' dapat menghadapi denda mulai dari 7 juta EUR hingga 1,4% dari total omzet tahunan di seluruh dunia.
Langkah apa yang harus diambil lembaga keuangan untuk mengurangi risiko ketidakpatuhan?
Dua komponen DORA membedakannya dari peraturan lain, yaitu mewajibkan pengujian keamanan untuk memastikan kesesuaian dan efektivitas kontrol keamanan Anda.
Bagian penting dari peraturan ini adalah melaksanakan 'Pengujian Penetrasi yang Dipimpin Ancaman' (TLPT) secara rutin, yang jauh melampaui sistem pengujian penetrasi yang biasa dilakukan saat ini; Hal ini dimulai dengan berpikir seperti penyerang di dunia nyata, membuat rencana serangan untuk lingkungan Anda, dan kemudian melaksanakannya secara mendalam di seluruh infrastruktur Anda. Latihan TLPT kemudian harus dimasukkan kembali ke dalam program keamanan Anda untuk mengatasi kerentanan yang ditemukan, baik yang berbasis manusia, proses, atau teknologi.
Pasal 25 DORA mengamanatkan agar aplikasi dan infrastruktur diuji setelah setiap penerapan atau perubahan baru, oleh karena itu, cara terbaik untuk mendekati hal ini adalah beralih ke model pengujian berkelanjutan; di mana Anda memiliki kapasitas sesuai permintaan, dan yang dapat bekerja sejalan dengan SDLC dan jalur manajemen perubahan Anda.
Manajemen aset adalah kunci kepatuhan. Lembaga keuangan perlu mengetahui apa yang ada di lahan mereka, apa yang mereka gunakan dan berinteraksi dengannya serta apa risiko dan ancamannya terhadap mereka, serta bagaimana pemasok pihak ketiga mereka beroperasi. Dari sini, organisasi dapat memanfaatkan kerangka kerja dan menanamkan kebijakan serta kerangka kerja untuk mengevaluasi dan memprioritaskan risiko. Di sinilah penerapan taktik seperti pengujian penetrasi dan keamanan siber yang didorong oleh ancaman, pelaporan instan, dan manajemen instan berperan penting.
Manajemen risiko dalam keuangan dan perbankan sangatlah rumit. Terkait kerentanan pihak ketiga, diperlukan keterlibatan yang jauh lebih besar dengan manajemen pemasok. Lembaga keuangan perlu memahami secara mendalam kontrak mereka dengan penyedia TI dan di mana peran dan tanggung jawab berada. DORA benar-benar menekankan hal ini dan ini adalah area yang akan menanggung hukuman terbesar – berpotensi di kedua belah pihak. Lembaga harus sangat jelas tentang pihak mana yang mengelola apa dan siapa yang bertanggung jawab.
Contohnya adalah penambalan dan pemantauan: jika terjadi kompromi pada pihak ketiga, seberapa besar tanggung jawab yang ditanggung lembaga keuangan untuk mendeteksinya, jika memang ada? Ini adalah contoh sederhana, tetapi hal ini mendukung pentingnya menetapkan peran yang jelas untuk tanggung jawab dalam semua kasus.
Masih ada waktu untuk mengatasi kesenjangan tanggung jawab yang tidak jelas; sekitar 6 bulan hingga 17 Januari 2025. Sekaranglah saatnya untuk menyisir semua kontrak dan menguraikan dengan jelas serta mengatasi semua area yang ambigu untuk menghindari implikasi hukum dan potensi kerusakan reputasi di kemudian hari.
Pentingnya Regulasi
Meskipun beberapa orang mungkin menganggap kepatuhan terhadap peraturan DORA dan NIS2 sebagai sebuah hal yang perlu dilakukan, hal ini menjadi penting mengingat meningkatnya kecepatan dan skala serangan keamanan siber, khususnya di sektor keuangan.
Kepercayaan pelanggan sangat penting bagi lembaga keuangan; jika nasabah bank mencurigai bank rentan terhadap peretas, bank tersebut pasti akan kehilangan nasabahnya dan reputasinya rusak. DORA dan NIS2 telah dikembangkan untuk membangun ketahanan operasional yang lebih baik dan untuk membawa setiap institusi mencapai standar yang sama, sehingga membuat serangan dari pihak jahat menjadi sesulit mungkin.