Regulace DORA (Digital Operational Resilience Act) zásadně mění přístup k řízení ICT rizik a kybernetické bezpečnosti. Zatímco dříve bylo možné vystačit s kombinací dokumentů, tabulek a jednorázových auditů, dnes se očekává kontinuální, řízený a prokazatelný systém.
Právě v tomto kontextu se ukazuje, že Excel, jakkoliv je rozšířený a praktický, přestává stačit.
Excel bývá často prvním krokem. Je rychlý, dostupný a většina lidí s ním umí pracovat. Pro základní evidenci aktiv nebo jednoduchý seznam rizik může fungovat. Problém nastává ve chvíli, kdy organizace začne naplňovat skutečné požadavky DORA. Ty totiž nestojí na jednorázovém vyplnění tabulky, ale na dlouhodobě udržitelném procesu. Compliance podle DORA není projekt, který se jednou dokončí. Je to živý mechanismus, který se neustále přizpůsobuje změnám v IT prostředí, organizační struktuře i aktuálním hrozbám.
V takovém prostředí začínají být limity Excelu velmi rychle viditelné. Data zastarávají, jednotlivé soubory se rozcházejí a nikdo si není jistý, která verze je správná. Chybí jednotný zdroj pravdy. Jakmile se změní jedno aktivum, proces nebo riziko, je potřeba tuto změnu promítnout na více místech, což se v praxi často neděje.
Právě tady začíná dávat smysl specializovaný software, jako je cybreg. Nejde jen o evidenci, ale o řízení. Více o přístupu najdeš zde: cybreg.dora
Od evidence k řízení
Jedním z typických problémů v Excelu je, že organizace vlastně přesně neví, co všechno má chránit. Aktiva, procesy a jejich vazby existují, ale nejsou systematicky propojené. V cybregu se tyto vztahy modelují přímo v systému. Každé aktivum má svého vlastníka, hodnotu a vazbu na konkrétní procesy. Díky tomu je možné okamžitě vidět, které části organizace jsou kritické a jaké dopady by měl jejich výpadek.
Další typický scénář je práce s riziky. V Excelu se rizika často evidují izolovaně a jejich vyhodnocení je manuální. Jakmile se změní například hodnota aktiva nebo pravděpodobnost hrozby, je potřeba vše přepočítat. V cybregu jsou rizika navázaná na aktiva i procesy a systém automaticky počítá jejich výslednou úroveň na základě dopadu a pravděpodobnosti.
Prokazatelnost místo chaosu
Velkým rozdílem oproti Excelu je také práce s důkazy a auditem. V tabulkách často chybí jasná historie změn a dohledatelnost. Při auditu se pak informace složitě dohledávají v e-mailech nebo starších verzích souborů. Cybreg naproti tomu uchovává kompletní auditní stopu, včetně verzování dokumentů, změn opatření i odpovědností. Každá změna je dohledatelná a prokazatelná.
Jedna realita místo více Excelů
V praxi organizace zároveň neřeší jen jednu regulaci. DORA se často překrývá s NIS2, ISO 27001 nebo GDPR. V Excelu to znamená duplicity a neustálé přepisování dat. Cybreg umožňuje evidovat jedno opatření a mapovat ho na více regulatorních rámců zároveň. Tím se výrazně snižuje administrativní zátěž a zvyšuje konzistence dat.
Řízení místo sledování
Další zásadní rozdíl se ukazuje v oblastech, kde je potřeba aktivní řízení, ne jen evidence.
Typickým příkladem je řízení dodavatelů. DORA klade velký důraz na třetí strany a jejich rizika. Cybreg propojuje dodavatele s aktivy a procesy a umožňuje identifikovat například riziko koncentrace, pokud je více kritických oblastí závislých na jednom dodavateli.
Podobně funguje i incident management. Místo statické evidence v tabulce nabízí cybreg řízení celého procesu, včetně stavů, odpovědností a návaznosti na aktiva.
Přehled v reálném čase
DORA vyžaduje schopnost kdykoliv doložit aktuální stav. Ne jen detail, ale i celkový obraz.
Cybreg nabízí dashboardy a reporty, které ukazují stav rizik, plnění opatření nebo úroveň compliance v reálném čase. Reporty lze navíc generovat ve formátech požadovaných regulátorem, například pro ČNB.
Závěr
DORA sice nepředepisuje konkrétní technologii, ale jasně ukazuje, že tabulky nestačí. Organizace potřebují systém, který propojí data, umožní spolupráci, zajistí prokazatelnost a dokáže reagovat na změny v reálném čase.
Excel tak zůstává dobrým pomocníkem na začátku. Jakmile se ale organizace posune k reálné implementaci DORA, začne být spíše překážkou než řešením.
