Η Ευρωπαϊκή Ένωση εισήγαγε έναν πρωτοποριακό κανονισμό, γνωστό ως Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), με στόχο την ενίσχυση της ασφάλειας στον κυβερνοχώρο σε ολόκληρο τον χρηματοπιστωτικό τομέα. Ο κανονισμός, ο οποίος τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και θα εφαρμοστεί πλήρως από τις 17 Ιανουαρίου 2025, δημιουργεί ένα ενοποιημένο πλαίσιο για τη διαχείριση κινδύνων τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ). Αυτή η νομοθεσία αντιπροσωπεύει μια σημαντική αλλαγή, απομακρυνόμενη από την προηγούμενη προσέγγιση όπου τα χρηματοπιστωτικά ιδρύματα διαχειρίζονταν κυρίως τους λειτουργικούς κινδύνους διαθέτοντας κεφάλαια για την κάλυψη πιθανών ζημιών.
Ο DORA θεσπίζει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύου και πληροφοριών που υποστηρίζουν τις επιχειρηματικές διαδικασίες των χρηματοπιστωτικών οντοτήτων. Ο πρωταρχικός του στόχος είναι να διασφαλίσει ότι όλες οι εταιρείες του χρηματοπιστωτικού τομέα μπορούν να αντέξουν, να ανταποκριθούν και να ανακάμψουν από κάθε είδους διαταραχές και απειλές που σχετίζονται με τις ΤΠΕ. Το πεδίο εφαρμογής του κανονισμού είναι ευρύ και ισχύει για 20 διαφορετικούς τύπους χρηματοπιστωτικών οντοτήτων, συμπεριλαμβανομένων τραπεζών, ασφαλιστικών εταιρειών, επενδυτικών εταιρειών, παρόχων υπηρεσιών κρυπτοστοιχείων και κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ.
Οι Πέντε Πυλώνες του DORA
Ο κανονισμός διαρθρώνεται γύρω από πέντε βασικούς πυλώνες που έχουν σχεδιαστεί για τη δημιουργία ενός ολοκληρωμένου πλαισίου ψηφιακής ανθεκτικότητας.
1. Διαχείριση Κινδύνων ΤΠΕ: Αυτός ο πυλώνας απαιτεί από τους οργανισμούς να δημιουργήσουν και να διατηρούν ισχυρά πλαίσια διαχείρισης κινδύνων ΤΠΕ για τον εντοπισμό και τον μετριασμό των κινδύνων. Το διοικητικό όργανο μιας οντότητας καθίσταται υπεύθυνο για τον καθορισμό και την επίβλεψη αυτών των πλαισίων.
2. Αναφορά Περιστατικών που σχετίζονται με ΤΠΕ: Ο DORA εναρμονίζει τη διαδικασία αναφοράς περιστατικών, απαιτώντας από τις οντότητες να ταξινομούν τα σημαντικά περιστατικά και να τα αναφέρουν στις αρμόδιες αρχές χρησιμοποιώντας τυποποιημένα πρότυπα και αυστηρά χρονοδιαγράμματα.
3. Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας: Απαιτούνται τακτικές δοκιμές για τη διασφάλιση της αποτελεσματικότητας των υφιστάμενων στρατηγικών και συστημάτων. Αυτό περιλαμβάνει βασικές ετήσιες δοκιμές και, για συστημικά σημαντικές οντότητες, πιο ολοκληρωμένες δοκιμές διείσδυσης βάσει απειλών (TLPT) τουλάχιστον κάθε τρία χρόνια.
4. Διαχείριση Κινδύνων από Τρίτους Παρόχους ΤΠΕ: Ο DORA απαιτεί από τις χρηματοπιστωτικές οντότητες να ενσωματώσουν τη διαχείριση κινδύνων από τρίτους παρόχους ΤΠΕ ως βασικό στοιχείο της συνολικής τους στρατηγικής για τους κινδύνους ΤΠΕ. Οι οντότητες είναι πλήρως υπεύθυνες για τη συμμόρφωση των τρίτων παρόχων τους και πρέπει να διασφαλίζουν ότι οι συμβατικές ρυθμίσεις περιλαμβάνουν σαφείς υποχρεώσεις.
5. Ανταλλαγή Πληροφοριών: Ο κανονισμός ενθαρρύνει την ανταλλαγή πληροφοριών και πληροφοριών για απειλές στον κυβερνοχώρο μεταξύ των χρηματοπιστωτικών οντοτήτων για την ενίσχυση της συλλογικής ανθεκτικότητας.
Επιπτώσεις και Κυρώσεις
Ο DORA εφαρμόζει ένα ολοκληρωμένο σύνολο υποχρεώσεων για τις χρηματοπιστωτικές οντότητες για την ενίσχυση της ανθεκτικότητάς τους στον κυβερνοχώρο. Επεκτείνει επίσης την εμβέλειά του σε παρόχους υπηρεσιών ΤΠΕ εκτός ΕΕ, εάν οι υπηρεσίες τους θεωρούνται κρίσιμες για τις δραστηριότητες χρηματοπιστωτικών ιδρυμάτων με έδρα την ΕΕ. Οι Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) έχουν την εξουσία να ορίζουν ορισμένους παρόχους ΤΠΕ ως «κρίσιμους», υποβάλλοντάς τους σε άμεση εποπτεία.
Η μη συμμόρφωση με τον DORA μπορεί να οδηγήσει σε αυστηρές κυρώσεις. Οι χρηματοπιστωτικές οντότητες ενδέχεται να αντιμετωπίσουν πρόστιμα έως και 2% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών τους. Οι κρίσιμοι τρίτοι πάροχοι ενδέχεται να αντιμετωπίσουν ακόμη υψηλότερα πρόστιμα, έως και 5.000.000 ευρώ για μια εταιρεία ή 500.000 ευρώ για ένα άτομο. Επιπλέον, οι ρυθμιστικές αρχές μπορούν να επιβάλουν διορθωτικά μέτρα, να διενεργούν επιθεωρήσεις και να αναστέλλουν συμβάσεις με παρόχους ΤΠΕ που δεν συμμορφώνονται.
Καθώς πλησιάζει η προθεσμία της 17ης Ιανουαρίου 2025, τα χρηματοπιστωτικά ιδρύματα και οι συνεργάτες τους στον τομέα των ΤΠΕ πρέπει να διασφαλίσουν ότι διαθέτουν τα απαραίτητα πλαίσια, τις διαδικασίες και τις συμβατικές συμφωνίες για την πλήρη συμμόρφωση. Η ενεργός συμμετοχή του διοικητικού οργάνου και η ανάπτυξη μιας κουλτούρας επιχειρησιακής ανθεκτικότητας είναι απαραίτητες για την ομαλή μετάβαση σε αυτό το νέο ρυθμιστικό περιβάλλον.