DORA (Digital Operational Resilience Act) היא רגולציה אירופית שמטרתה לוודא שגופים פיננסיים, והטכנולוגיות שהם נשענים עליהן יכולים להמשיך לפעול גם בזמן תקלות, מתקפות סייבר או כשלים תפעוליים.
לא רק לשרוד אירוע, אלא לזהות אותו בזמן, להגיב נכון, ולהוכיח שליטה. בעולם שבו בנקים, חברות ביטוח, גופי פינטק וחברות SaaS תלויים בענן, ספקי צד ג׳ ומערכות דיגיטליות מורכבות, כל תקלה טכנולוגית עלולה להפוך במהירות לאירוע עסקי ורגולטורי.
למרות ש-DORA היא רגולציה אירופית, ההשפעה שלה רלוונטית מאוד גם לארגונים בישראל:
חברות טכנולוגיה, ספקי IT, פלטפורמות ענן ושירותי SaaS שעובדים עם לקוחות פיננסיים באירופה נדרשים להראות חוסן תפעולי דיגיטלי בפועל, לא רק בהצהרה.
DORA מסמנת שינוי תפיסתי חשוב:
לא מספיק להגיד "יש לנו נהלים" או "יש לנו ספק אבטחה".
הרגולטור מצפה לראות איך הארגון מתנהל ביום-יום – איך הוא מנטר, איך הוא מזהה חריגות, מי מקבל החלטות ואיך מגיבים בזמן אמת.
ארגונים שמבינים את החשיפה שלהם מוקדם יכולים להיערך בצורה שקטה, מדורגת ומבוקרת בלי לחץ של ביקורת או אירוע חירום.
וזה בדיוק ההבדל בין רגולציה שנתפסת כנטל, לבין כזו שמחזקת שליטה וניהול סיכונים.
על מי חלה רגולציית DORA – ולא מדובר רק על בנקים
DORA חלה על הרבה יותר גופים ממה שנהוג לחשוב.
לא מדובר רק בבנקים גדולים או בגופי ביטוח קלאסיים, אלא במערכת שלמה של ארגונים פיננסיים וספקי טכנולוגיה שתומכים בהם.
ברמה הרשמית, DORA חלה על גופים פיננסיים הפועלים באיחוד האירופי, ובהם:
- בנקים ומוסדות אשראי
- חברות ביטוח וביטוח משנה
- בתי השקעות ומנהלי נכסים
- גופי תשלומים, פינטק ומוסדות כסף אלקטרוני
- ספקי שירותים בתחום נכסים דיגיטליים וקריפטו
אבל כאן מגיע החלק שחשוב במיוחד לארגונים בישראל.
DORA חלה גם על ספקי טכנולוגיה וספקי צד ג׳ שמספקים שירותים קריטיים לגופים פיננסיים באירופה.
בפועל, זה כולל:
- ספקי ענן
- חברות SaaS
- ספקי IT מנוהלים
- פלטפורמות נתונים ואנליטיקה
- שירותי אבטחת מידע ותפעול
גם אם הארגון עצמו אינו גוף פיננסי, עצם העבודה מול לקוח פיננסי באירופה מכניסה אותו למעגל הדרישות של DORA דרך חוזים, ביקורות וציפיות רגולטוריות.
בישראל זה רלוונטי במיוחד לחברות טכנולוגיה שפועלות בשוק הבינלאומי.
הרבה מהן מגלות את הדרישות רק כשלקוח אירופי מתחיל לשאול שאלות על חוסן תפעולי, ניטור אירועים ויכולת תגובה, ולעיתים זה כבר בשלב מתקדם של מכירה או ביקורת.
השורה התחתונה ברורה:
אם המערכת שלכם תומכת בפעילות פיננסית באירופה יש סיכוי גבוה ש-DORA נוגעת גם לכם, גם אם לא באופן ישיר דרך הרגולטור.
מה DORA דורשת בפועל?
DORA לא מסתפקת במדיניות, נהלים או הצהרות כוונה.
הרגולציה דורשת לראות כיצד הארגון מנהל סיכונים, מזהה אירועים ומגיב להם בפועל לאורך זמן.
במילים פשוטות:
לא "יש לנו מסמך", אלא "כך אנחנו עובדים ביום-יום".
הדרישות של DORA מתחלקות למספר תחומים מרכזיים, שכל אחד מהם נבדק בצורה תפעולית ולא תאורטית.
דרישות הליבה של DORA – תמונת מצב
| תחום דרישה | מה DORA דורשת | איך זה נראה בפועל |
| ניהול סיכוני ICT | זיהוי וניהול סיכונים טכנולוגיים | מיפוי מערכות קריטיות, תלויות וספקים |
| ניהול אירועי סייבר ותקלות | זיהוי, סיווג ודיווח בזמן | ניטור רציף, זמני תגובה מתועדים |
| בדיקות חוסן תפעולי | בדיקה שוטפת של מוכנות | בדיקות תרחיש, עומסים ותקיפות |
| ניהול ספקי צד ג׳ | שליטה ובקרה על ספקים | חוזים, ניטור ויכולת תגובה לכשל |
| ממשל ואחריות | אחריות ניהולית ברורה | מי מחליט, מי מדווח, ומי אחראי |
ניהול סיכוני ICT – לדעת מה עלול להישבר
DORA מחייבת את הארגון להבין לעומק אילו מערכות הן קריטיות לפעילות, אילו תלויות קיימות ביניהן, ואילו סיכונים טכנולוגיים עלולים להשפיע על השירות.
הדגש הוא על ניהול סיכונים מתמשך, לא על סקר חד־פעמי.
זיהוי וניהול אירועים בזמן אמת
הרגולציה מצפה ליכולת לזהות אירועים טכנולוגיים וחריגות במהירות, להעריך את ההשפעה שלהן, ולפעול בהתאם.
אירוע שלא זוהה בזמן גם אם טופל בדיעבד נחשב כשל תפעולי.
בדיקות חוסן ולא להניח שהכול עובד
DORA דורשת בדיקות תקופתיות שמדמות תרחישים אמיתיים: תקלות, עומסים, כשלי ספקים ואף מתקפות סייבר.
המטרה היא להוכיח שהארגון מסוגל להמשיך לפעול גם בתנאים לא אידיאליים.
ספקים ושרשרת אספקה – נקודת תורפה מרכזית
ספקי טכנולוגיה אינם "מחוץ לאחריות".
DORA מתייחסת אליהם כחלק בלתי נפרד ממשטח הסיכון של הארגון, ודורשת שליטה, פיקוח ויכולת תגובה גם במקרה של כשל אצל ספק חיצוני.
ממשל ואחריות – לא הכול עובר ל-IT
לבסוף, DORA מדגישה אחריות ברורה ברמת ההנהלה.
הרגולטור מצפה לדעת מי מקבל החלטות בזמן אירוע, איך מדווחים למעלה, ואיך מוודאים שהלקחים מיושמים בפועל.
איך DORA נבדקת בפועל אצל רגולטורים?
DORA נבדקת דרך היכולת להראות התנהלות בזמן אמת ולא דרך מצגות.
הרגולטור שואל בעצם "איך אתם פועלים כשמשהו משתבש".
בפועל, בדיקות DORA מתמקדות בכמה שאלות פשוטות אך קריטיות:
- איך זוהה האירוע?
- תוך כמה זמן?
- מי קיבל החלטה?
- מה הייתה ההשפעה העסקית?
- ואיך מוודאים שזה לא יקרה שוב?
מה רגולטורים מחפשים לראות?
הבדיקות אינן תאורטיות, אלא מבוססות דוגמאות אמיתיות מהפעילות השוטפת:
- לוגים שמראים זיהוי אירועים בפועל
- תיעוד זמני תגובה והסלמה
- החלטות ניהוליות בזמן אמת
- חיבור בין אירוע טכנולוגי להשפעה עסקית
- לקחים שיושמו בפועל ולא רק בכתב
אירוע שלא תועד – מבחינת הרגולטור, לא קרה.
דוגמה מהשטח (מבוססת מציאות)
במהלך ביקורת DORA אצל גוף פיננסי אירופי, התגלה עיכוב של מספר שעות בזיהוי תקלה אצל ספק ענן חיצוני.
לא הייתה פריצה, לא הייתה מתקפה – אבל השירות ללקוחות נפגע.
הבעיה לא הייתה התקלה עצמה, אלא:
- חוסר ניטור רציף לספק
- היעדר חיבור בין הלוגים
- ואי-בהירות מי אחראי להסלים את האירוע
התוצאה: דרישה מיידית לשיפור מנגנוני ניטור, תגובה ודיווח – גם בלי אירוע סייבר "דרמטי".
מה המשמעות לארגונים?
DORA מבהירה נקודה חשובה:
גם תקלה תפעולית, כשל ספק או עיכוב בזיהוי יכולים להיחשב ככשל רגולטורי.
ארגון שלא יודע להראות זיהוי, הקשר ותגובה בזמן אמת, יתקשה לעבור ביקורת, גם אם לא חווה מתקפת סייבר.
איפה ארגונים נופלים הכי הרבה בהיערכות ל-DORA?
ברוב המקרים: לא בטכנולוגיה, אלא ביישום היומיומי.
לארגונים רבים יש נהלים, מסמכים ואפילו כלים טובים, אבל הפער נוצר כשצריך לחבר הכול לפעולה רציפה.
הנפילות הנפוצות ביותר
הכשלים שחוזרים על עצמם בבדיקות ובביקורות דומים מאוד בין ארגונים:
- יש מערכות, אבל אין ראות מלאה למה שקורה בפועל
- יש לוגים, אבל אין קורלציה ביניהם
- יש ספקים קריטיים, אבל אין ניטור רציף שלהם
- יש נהלי תגובה, אבל לא ברור מי מחליט בזמן אמת
- יש דיווח בדיעבד, אבל לא זיהוי מוקדם
בפועל, הארגון מגלה על אירועים באיחור או רק אחרי שההשפעה שלהם כבר מורגשת.
למה זה בעייתי במיוחד בהקשר של DORA?
DORA לא בוחנת כוונות טובות אלא את היכולת התפעולית.
ארגון שלא מזהה חריגה בזמן, לא מגיב במהירות ולא מתעד החלטות – מתקשה להוכיח חוסן תפעולי, גם אם הנזק היה מוגבל.
הרגולטור מצפה לראות:
- ניטור רציף
- חיבור בין מערכות, משתמשים וספקים
- קבלת החלטות בזמן אמת
- ותיעוד שמראה שליטה, לא אלתור
כאן בדיוק נכנס הפער בין תאוריה לפרקטיקה
הרבה ארגונים עומדים "על הנייר" בדרישות אבל בלי שכבת ניטור ותגובה חכמה, הם נשארים חשופים בדיוק ברגע שבו DORA נבחנת באמת.
DORA, ניטור רציף ואחריות ניהולית ואיך זה מתחבר בפועל?
DORA מחייבת לא רק יכולות טכנולוגיות, אלא אחריות ניהולית ברורה.
הרגולציה יוצאת מנקודת הנחה פשוטה: אם אין מי שרואה, מבין ומחליט בזמן החוסן הדיגיטלי לא קיים באמת.
ניטור רציף הוא תנאי בסיסי
כדי לעמוד ב-DORA, ארגון חייב לדעת מה קורה אצלו בכל רגע:
- במערכות הליבה
- אצל ספקי טכנולוגיה
- בענן, ב-SaaS ובחיבורים חיצוניים
בלי ניטור רציף, אין זיהוי מוקדם.
ובלי זיהוי מוקדם – אין תגובה אפקטיבית.
SOC – מהרגולציה למציאות תפעולית
שירותי SOC מאפשרים להפוך את דרישות DORA למשהו שעובד ביום-יום:
- חיבור בין לוגים ממערכות שונות
- זיהוי חריגות והקשר ביניהן
- סינון רעש והתמקדות במה שבאמת מסכן את הארגון
- ותיעוד מלא של אירועים ותגובות
כך ניתן להראות לרגולטור לא רק ש"יש מערכת", אלא שיש שליטה אמיתית.
מי האחראי?
DORA מצפה לראות בעל תפקיד ברור שאחראי על ניהול סיכוני ה-ICT.
לא צוות IT כללי, ולא אחריות שמתפזרת בין מחלקות.
כאן נכנס ניהול אבטחת מידע (CISO), גם אם במודל שירות:
- הגדרת מדיניות
- פיקוח על יישום
- חיבור בין טכנולוגיה, סיכון ורגולציה
- ודיווח להנהלה בזמן אמת
המטרה ברורה: שהארגון לא יגיב רק אחרי נזק, אלא ינהל סיכונים בצורה יזומה.
למה DORA היא הרבה יותר מעוד רגולציה – אלא מבחן ניהולי
DORA משנה את כללי המשחק.
היא לא שואלת אם הארגון רוצה להיות מאובטח, אלא אם הוא מסוגל להמשיך לפעול גם כשמשהו משתבש.
הרגולציה מציבה רף ברור:
- לדעת מה קורה במערכות בזמן אמת
- לזהות חריגות לפני שהן הופכות לאירוע
- להבין את ההשפעה העסקית
- ולקבל החלטות מבוססות, מתועדות ובזמן
עבור ארגונים פיננסיים, פינטקים וגופים שעובדים מול השוק האירופי זו כבר לא שאלה של "אם", אלא של מתי ואיך.
כאן נכנסת המשמעות האמיתית של היערכות נכונה:
לא עוד שכבות אבטחה מנותקות, אלא שילוב בין ניטור רציף, אחריות ניהולית, שליטה בספקים ותרגול תרחישים אמיתיים.
איפה CyberSafe נכנסת לתמונה?
CyberSafe מלווה ארגונים בדיוק בנקודה הזו – החיבור בין רגולציה לפרקטיקה:
- הקמה ותפעול של SOC לניטור רציף וזיהוי מוקדם
- ניהול סיכוני ICT וספקים בצורה מבוקרת
- ליווי ניהולי דרך CISO as a Service
- חיבור לסטנדרטים משלימים כמו תקן ISO 27001 ו-SOC 2
המטרה אינה רק לעבור את הביקורת אלא לבנות חוסן דיגיטלי אמיתי שנשאר גם ביום שאחרי.
רוצים להבין איפה אתם עומדים מול DORA? בדיקה ממוקדת היום יכולה למנוע אירוע רגולטורי מחר.
לפרטים נוספים פנו אלינו עוד היום!
שאלות נפוצות אודות DORA
מה ההבדל בין DORA לרגולציות סייבר קודמות?
DORA עוסקת בחוסן תפעולי דיגיטלי ולא רק בהגנת סייבר.
בניגוד לרגולציות קודמות שהתמקדו בבקרות אבטחה, DORA בוחנת כיצד ארגון מזהה, מגיב ומתאושש מאירועי ICT בפועל – כולל תקלות, כשלי ספקים ומתקפות סייבר.
האם DORA חלה גם על ארגונים מחוץ לאיחוד האירופי?
כן. ארגון שאינו מבוסס באיחוד האירופי אך מספק שירותים טכנולוגיים או פיננסיים לגופים פיננסיים באירופה עשוי להידרש לעמידה בדרישות DORA, במיוחד כספק ICT קריטי.
האם SOC הוא חובה לצורך עמידה ב-DORA?
לא במפורש אך בפועל כן. DORA אינה מחייבת SOC בשם, אך כן מחייבת ניטור רציף, זיהוי חריגות ותגובה מתועדת בזמן אמת – יכולות שמרכז SOC מספק באופן ישיר.
איך DORA קשורה ל-SOC 2 ול-ISO 27001?
ISO 27001 ו-SOC 2 מספקים בסיס, DORA דורשת הוכחה תפעולית.
תקנים אלו מגדירים מדיניות ובקרות, בעוד DORA בודקת כיצד הן פועלות לאורך זמן, כולל זמני תגובה, ניהול ספקים ותיעוד אירועים אמיתיים.
מתי כדאי להתחיל בהיערכות ל-DORA?
כמה שיותר מוקדם. ארגונים שמתחילים מוקדם מגלים פערים בניטור, בתיעוד ובאחריות ניהולית – פערים שקשה לסגור כאשר ביקורת רגולטורית כבר בעיצומה.
