Η Ευρωπαϊκή Ένωση εισήγαγε μια νέα εποχή για την ασφάλεια του χρηματοπιστωτικού τομέα με την πλήρη εφαρμογή του Νόμου για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA). Ο κανονισμός, ο οποίος τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και άρχισε να εφαρμόζεται από τις 17 Ιανουαρίου 2025 , στοχεύει στην ενίσχυση της ασφάλειας των τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) σε όλες τις χρηματοοικονομικές οντότητες της ΕΕ.
Ο DORA, επίσημα γνωστός ως Κανονισμός (ΕΕ) 2022/2554, δημιουργεί ένα ενοποιημένο ρυθμιστικό πλαίσιο για να διασφαλίσει ότι ο χρηματοπιστωτικός τομέας μπορεί να αντέξει, να ανταποκριθεί και να ανακάμψει από όλους τους τύπους διαταραχών και απειλών που σχετίζονται με τις ΤΠΕ. Η φιλοσοφία του κανονισμού βασίζεται στην πεποίθηση ότι η ψηφιακή ανθεκτικότητα αποτελεί προϋπόθεση για τη σταθερότητα και την αξιοπιστία του χρηματοπιστωτικού συστήματος. Πριν από τον DORA, η διαχείριση του λειτουργικού κινδύνου εστιαζόταν κυρίως στην εξασφάλιση κεφαλαίων για την κάλυψη πιθανών ζημιών, μια προσέγγιση που δεν κάλυπτε πλήρως την ανθεκτικότητα των ΤΠΕ. Ο νέος κανονισμός καλύπτει αυτό το κενό, αναγνωρίζοντας ότι τα περιστατικά ΤΠΕ μπορούν να απειλήσουν τη σταθερότητα ολόκληρου του χρηματοπιστωτικού συστήματος.
Το Πεδίο Εφαρμογής του DORA
Ο DORA εφαρμόζεται σε περισσότερες από 22.000 χρηματοοικονομικές οντότητες και παρόχους υπηρεσιών ΤΠΕ που δραστηριοποιούνται στην ΕΕ. Το πεδίο εφαρμογής του είναι ευρύ και περιλαμβάνει τράπεζες, ασφαλιστικές εταιρείες, επενδυτικές επιχειρήσεις, παρόχους υπηρεσιών crypto-asset, ιδρύματα πληρωμών και ηλεκτρονικού χρήματος, καθώς και κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ, όπως πλατφόρμες cloud και υπηρεσίες ανάλυσης δεδομένων. Ο κανονισμός εφαρμόζει την αρχή της αναλογικότητας, επιτρέποντας απλοποιημένη εφαρμογή για μικρότερες επιχειρήσεις.
Οι Πέντε Πυλώνες του DORA
Ο κανονισμός δομείται γύρω από πέντε βασικούς πυλώνες που αποσκοπούν στη δημιουργία ενός ολιστικού πλαισίου ανθεκτικότητας:
Διαχείριση Κινδύνων ΤΠΕ: Οι οντότητες υποχρεούνται να δημιουργήσουν ένα ολοκληρωμένο πλαίσιο για τον εντοπισμό, την αξιολόγηση και τον μετριασμό των κινδύνων ΤΠΕ. Αυτό περιλαμβάνει τον προσδιορισμό όλων των επιχειρηματικών λειτουργιών που υποστηρίζονται από ΤΠΕ και των σχετικών περιουσιακών στοιχείων.
Αναφορά Περιστατικών που σχετίζονται με ΤΠΕ: Ο DORA θεσπίζει μια τυποποιημένη διαδικασία για την αναφορά σοβαρών περιστατικών ΤΠΕ στις αρμόδιες αρχές. Οι εταιρείες πρέπει να εφαρμόσουν συστήματα για την παρακολούθηση, τον εντοπισμό και την ταξινόμηση των περιστατικών, με συγκεκριμένες προθεσμίες για την αναφορά τους.
Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας: Οι χρηματοοικονομικές οντότητες πρέπει να διενεργούν τακτικές δοκιμές των συστημάτων ΤΠΕ τους για να αξιολογούν την ανθεκτικότητά τους. Αυτό περιλαμβάνει ετήσιες βασικές δοκιμές και, για τις σημαντικότερες οντότητες, προηγμένες δοκιμές διείσδυσης βάσει απειλών (TLPT) τουλάχιστον κάθε τρία χρόνια.
Διαχείριση Κινδύνων από Τρίτους Παρόχους ΤΠΕ: Ο κανονισμός δίνει μεγάλη έμφαση στη διαχείριση των κινδύνων που προέρχονται από τρίτους παρόχους υπηρεσιών ΤΠΕ. Οι χρηματοοικονομικές οντότητες παραμένουν πλήρως υπεύθυνες για τη συμμόρφωση, ακόμη και όταν χρησιμοποιούν εξωτερικούς παρόχους. Οι συμβάσεις πρέπει να περιλαμβάνουν συγκεκριμένες ρήτρες που να επιτρέπουν τον έλεγχο και την επιθεώρηση από την οντότητα και τις ρυθμιστικές αρχές.
Ανταλλαγή Πληροφοριών: Ο DORA ενθαρρύνει τις χρηματοοικονομικές οντότητες να συμμετέχουν σε ρυθμίσεις για την ανταλλαγή πληροφοριών και πληροφοριών σχετικά με τις απειλές στον κυβερνοχώρο.
Κυρώσεις και Επιβολή
Η μη συμμόρφωση με τον DORA μπορεί να επιφέρει σημαντικές κυρώσεις. Οι χρηματοοικονομικές οντότητες ενδέχεται να αντιμετωπίσουν πρόστιμα έως και 2% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών τους. Για τα φυσικά πρόσωπα, τα πρόστιμα μπορούν να φτάσουν το 1.000.000 ευρώ. Οι κρίσιμοι τρίτοι πάροχοι ΤΠΕ αντιμετωπίζουν ακόμη υψηλότερα πρόστιμα. Επιπλέον, τα κράτη μέλη μπορούν να επιβάλουν ποινικές κυρώσεις για σοβαρές παραβιάσεις. Οι ρυθμιστικές αρχές έχουν την εξουσία να διενεργούν επιθεωρήσεις, να απαιτούν διορθωτικά μέτρα και να αναστέλλουν συμβάσεις με παρόχους ΤΠΕ.
Η εφαρμογή του DORA σηματοδοτεί μια κρίσιμη αλλαγή για τον χρηματοπιστωτικό τομέα της ΕΕ, μετατοπίζοντας την έμφαση από την απλή κεφαλαιακή επάρκεια σε μια πιο ολιστική και προληπτική προσέγγιση της ψηφιακής ανθεκτικότητας. Οι οργανισμοί καλούνται να ενσωματώσουν αυτές τις απαιτήσεις στις στρατηγικές και τις καθημερινές τους λειτουργίες για να διασφαλίσουν τη σταθερότητα και την ακεραιότητα του ευρωπαϊκού χρηματοπιστωτικού συστήματος στη νέα ψηφιακή εποχή.