Lühidalt: DORA-nõuetele vastavus ei tähenda automaatselt turvalisust – digitaalne vastupanuvõime tekib alles järjepideva ja tsentraalselt juhitava turvaarhitektuuri kaudu, mis ulatub kaugemale pelgalt kontroll-loenditest.
Digitaalse operatiivse vastupidavuse määrus (DORA) kohustab panku ja kindlustusandjaid juhtimiskorra, protsesside ja kolmandate osapoolte kontrollide osas – kuid formaalne nõuetele vastavus ei taga iseenesest tegelikku vastupanuvõimet küberrünnetele. Läbiva tehnilise juhtimise puudumine jääb kriitiliseks riskiks.
Alates jõustumisest on DORA loonud siduva Euroopa raamistiku IKT-riskide, küberrünnete ja kolmandatest teenusepakkujatest sõltuvuse ohjamiseks. ELi finantsettevõtted on sellele reageerinud kohandatud juhtimisstruktuuridega: nad dokumenteerivad põhimõtteid, kehtestavad teavitusprotsesse ning peavad allhankeregistreid. Regulatiivsest vaatenurgast käsitletakse neid struktuure nõude täitmisena – linnukesena vastavusprotsessis.
Praktikas ilmnevad aga olulised lüngad formaalse nõuetele vastavuse ja tegeliku operatiivse turvalisuse vahel. Isegi kui DORA nõuded on paberil täidetud, raskendab paljude asutuste ajalooliselt kasvanud süsteemimaastik läbiva tehnilise juhtimise saavutamist oluliselt: sertifikaadid on jaotunud eri rakenduste vahel, krüptograafilised võtmed on hallatud detsentraliseeritult ning identiteedi- ja õiguste haldamise mudelid pole rakendatud järjepidevalt. Pilve- ja kolmandate osapoolte keskkondades puudub sageli läbipaistvus selle kohta, kuidas turvalisusega seotud protsesse tegelikult ellu viiakse. Need struktuurid võivad formaalselt vastata nõuetele, kuid suurendavad märkimisväärselt keerukust ning seega ka nõudeid kontrollile ja reageerimisvõimele.
Järjepidev turvaarhitektuur ei teki kontroll-loendite ega üksikute meetmete kaudu, vaid tsentraalselt juhitava ja pidevalt auditeeritava süsteemimaastiku loomise kaudu. Digitaalsete identiteetide tsentraalne haldamine on selles üks põhielemente: kaasaegsetes piirideta infrastruktuurides, kuhu kaasatakse ka väliseid osapooli, nihkuvad turvaotsused identiteedi tasandile. Zero Trust lähenemine arvestab selle tegelikkusega, kuna see rajab autentimise ja autoriseerimise järjepidevalt kindlaks määratud identiteetidele – mitte enam traditsioonilistele võrgupiiridele.
CISO-de jaoks tähendab see järgmist: DORA nõuete täitmine on vajalik, kuid mitte piisav. Paralleelselt vastavustöödega tuleb üles ehitada järjepidev tehniline arhitektuur, mis võimaldab tsentraalset kontrolli identiteetide, krüptograafia ja juurdepääsuõiguste üle ning tagab läbipaistvuse.
Allikas: www.it-daily.net · Avaldatud 3. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud sisu vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja liigitamine Lumi News Pipeline v1.7.2 abil.