Ο Κανονισμός για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), σε ισχύ από τις 17 Ιανουαρίου 2025, αποτελεί την τελευταία νομοθετική προσπάθεια της ΕΕ για την ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας στον χρηματοπιστωτικό τομέα μέσω ενός εναρμονισμένου συνόλου κανόνων για τη διαχείριση του κινδύνου της τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ). Ενώ εστιάζει κυρίως στις χρηματοπιστωτικές οντότητες, ο DORA έχει σημαντικές επιπτώσεις για τους παρόχους υπηρεσιών ΤΠ που εξυπηρετούν αυτόν τον τομέα, δεδομένου του κρίσιμου ρόλου τους στο χρηματοπιστωτικό οικοσύστημα.
Αυτό το άρθρο αναδεικνύει 7 κοινές προκλήσεις που αντιμετωπίζουν οι πάροχοι υπηρεσιών ΤΠ σχετικά με τη συμμόρφωση με τον DORA και προσφέρει πληροφορίες για το τι πρέπει να λάβουν υπόψη τους.
Βασικές Προκλήσεις για τους Παρόχους Υπηρεσιών ΤΠ:
Ορισμός των «Υπηρεσιών ΤΠΕ»: Ο ευρύς ορισμός του DORA για τις «υπηρεσίες ΤΠΕ» (ψηφιακές και δεδομένων υπηρεσίες που παρέχονται μέσω συστημάτων ΤΠΕ) μπορεί να οδηγήσει σε προκλήσεις ερμηνείας, ιδίως όσον αφορά το «μέσω συστημάτων ΤΠΕ» και «σε συνεχή βάση», καθώς και την έλλειψη ορίου ουσιαστικότητας.
Άμεσες Υποχρεώσεις: Γενικά, ο DORA επιβάλλει άμεσες υποχρεώσεις μόνο σε ρυθμιζόμενες χρηματοπιστωτικές οντότητες και σε «κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ» (CTPPs) – δηλαδή σε συστημικά σημαντικούς παρόχους των οποίων η διακοπή υπηρεσιών θα επηρέαζε σημαντικά το χρηματοπιστωτικό σύστημα. Οι περισσότεροι πάροχοι υπηρεσιών ΤΠ αντιμετωπίζουν έμμεσες επιπτώσεις μέσω ενισχυμένης εποπτείας από χρηματοπιστωτικών οντοτήτων και νέων συμβατικών απαιτήσεων. Οι μη συμμορφούμενοι πάροχοι κινδυνεύουν να χάσουν πελάτες.
Πελάτες που εμπίπτουν στο Πεδίο Εφαρμογής: Όλες οι ρυθμιζόμενες χρηματοπιστωτικές οντότητες που λειτουργούν στην ΕΕ υπόκεινται στον DORA. Οι πάροχοι υπηρεσιών ΤΠ πρέπει επίσης να λάβουν υπόψη την έμμεση παροχή υπηρεσιών ως υπεργολάβοι, καθώς οι υποχρεώσεις του DORA επεκτείνονται σε ολόκληρη την αλυσίδα εφοδιασμού.
Διαφορές του DORA από τους Υφιστάμενους Κανονισμούς: Ο DORA βασίζεται σε προηγούμενους κανονισμούς της ΕΕ, όπως οι Κατευθυντήριες Γραμμές της ΕΑΤ για τις ρυθμίσεις εξωτερικής ανάθεσης. Βασικές διαφορές περιλαμβάνουν ένα ευρύτερο φάσμα χρηματοπιστωτικών οντοτήτων και υπηρεσιών που εμπίπτουν στο πεδίο εφαρμογής, άμεσες υποχρεώσεις για τους CTPPs (πρωτοπορία για τους χρηματοπιστωτικούς ρυθμιστές που εποπτεύουν τους παρόχους υπηρεσιών ΤΠ) και ευρύτερες συμβατικές απαιτήσεις.
«Κρίσιμες ή Σημαντικές Λειτουργίες»: Ο DORA επιβάλλει αυστηρότερες υποχρεώσεις όσον αφορά τις υπηρεσίες ΤΠΕ που υποστηρίζουν «κρίσιμες ή σημαντικές λειτουργίες» μιας χρηματοπιστωτικής οντότητας – δηλαδή εκείνες των οποίων η διακοπή θα επηρέαζε ουσιωδώς την απόδοση ή τη συμμόρφωση της οντότητας. Οι διαφωνίες μεταξύ παρόχων και πελατών σχετικά με αυτή την ταξινόμηση μπορούν να δημιουργήσουν σημαντικές προκλήσεις.
Απαιτούμενοι Όροι Σύμβασης: Οι συμβάσεις για την παροχή υπηρεσιών ΤΠΕ πρέπει να προσδιορίζουν τις τοποθεσίες παροχής υπηρεσιών, να προβλέπουν συνδρομή από τον πάροχο σε περίπτωση περιστατικών, να διασφαλίζουν κατάλληλα μέτρα ασφαλείας και ανάκτηση δεδομένων, να περιλαμβάνουν εκπαίδευση προσωπικού στην επιχειρησιακή ανθεκτικότητα και να επιτρέπουν συγκεκριμένα δικαιώματα καταγγελίας. Πιο αυστηροί όροι ισχύουν για υπηρεσίες που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, συμπεριλαμβανομένης της επιχειρησιακής συνέχειας, της συμμετοχής σε δοκιμές διείσδυσης με βάση απειλές (TLPT), δικαιωμάτων ελέγχου, διατάξεων εξόδου και όρων υπεργολαβίας.
CTPP Designation: Οι Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) είναι υπεύθυνες για τον προσδιορισμό και τον επίσημο ορισμό των CTPPs βάσει λεπτομερών κριτηρίων (π.χ., μέγεθος οργανισμού, εξάρτηση από συστημικά σημαντικά ιδρύματα). Μετά τον ορισμό, μία από τις ΕΕΑ θα διορίζεται για την εποπτεία του CTPP (ο «Κύριος Επόπτης»), παρακολουθώντας τη διαχείριση κινδύνου ΤΠΕ και επιβάλλοντας πρόστιμα για μη συμμόρφωση (έως 1% του μέσου ημερήσιου παγκόσμιου κύκλου εργασιών).