Οι ΕΑΕ δημοσιεύουν την πρώτη έκθεση DORA για σημαντικά περιστατικά ΤΠΕ στον χρηματοοικονομικό τομέα

Οι Ευρωπαϊκές Εποπτικές Αρχές (EBA, EIOPA και ESMA) δημοσίευσαν την πρώτη τους ετήσια επισκόπηση σημαντικών περιστατικών ΤΠΕ στον χρηματοοικονομικό τομέα της ΕΕ. Αυτή η έκθεση βασίζεται σε μηχανισμό αναφοράς που θεσπίστηκε από τον Κανονισμό Ψηφιακής Επιχειρησιακής Ανθεκτικότητας (DORA). Υπογραμμίζει ότι οι κίνδυνοι ΤΠΕ είναι ολοένα και πιο διασυνοριακοί και διασυνδεδεμένοι. Οι αρχές σημειώνουν επίσης ότι η πρόσφατη εξέλιξη των εξαιρετικά ικανών εργαλείων με τεχνητή νοημοσύνη πρέπει να ενθαρρύνει τις χρηματοπιστωτικές οντότητες να ενισχύσουν τα μέτρα κυβερνοασφάλειας. Αυτό είναι ζωτικής σημασίας για τη διατήρηση της ανθεκτικότητάς τους στο μέλλον, σε ένα εξελισσόμενο ψηφιακό τοπίο. Ο DORA στοχεύει στην εναρμόνιση και τον εξορθολογισμό του καθεστώτος αναφοράς για σημαντικά περιστατικά ΤΠΕ. Εισάγει συνεπείς απαιτήσεις για τις χρηματοπιστωτικές οντότητες σχετικά με τη διαχείριση, την ταξινόμηση και την αναφορά τέτοιων περιστατικών. Αυτό διασφαλίζει μια τυποποιημένη προσέγγιση σε ολόκληρο τον χρηματοπιστωτικό τομέα της ΕΕ. Η σωστή κοινοποίηση σημαντικών περιστατικών ΤΠΕ σε όλες τις αρμόδιες αρχές επιτρέπει μια ταχύτερη και πιο συντονισμένη ανταπόκριση. Αυτός ο μηχανισμός είναι ζωτικής σημασίας για την αντιμετώπιση διασυνοριακών και διασυνδεδεμένων περιστατικών, ενισχύοντας τελικά την ανθεκτικότητα του ευρωπαϊκού χρηματοπιστωτικού συστήματος. Η έκθεση αποκαλύπτει ότι περίπου το ένα τρίτο των 3.383 σημαντικών περιστατικών που αναφέρθηκαν από χρηματοπιστωτικές οντότητες της ΕΕ είχαν διασυνοριακό αντίκτυπο. Αυτό υπογραμμίζει την αυξανόμενη διασύνδεση μέσω κοινών υποδομών και υπηρεσιών. Ο άμεσος αντίκτυπος σε πελάτες και συναλλαγές, ωστόσο, ήταν γενικά περιορισμένος. Οι αστοχίες συστημάτων και τα εξωτερικά γεγονότα αναγνωρίστηκαν ως οι κύριοι παράγοντες. Αυτό υπογραμμίζει την ανάγκη για ισχυρή διαχείριση κινδύνων τρίτων και αποτελεσματική εποπτεία των εξωτερικών υπηρεσιών. Ο στενός συντονισμός με τους παρόχους υπηρεσιών κατά την αντιμετώπιση περιστατικών είναι επίσης κρίσιμος. Αν και μόνο το 10% των αναφερόμενων περιστατικών σχετίζονταν με την κυβερνοασφάλεια, οι χρηματοπιστωτικές οντότητες πρέπει να διατηρούν τα υψηλότερα πρότυπα κυβερνοασφάλειας. Αυτό είναι απαραίτητο για να συμβαδίζουν με την πιθανή χρήση εξαιρετικά ικανών εργαλείων με τεχνητή νοημοσύνη και τις εξελισσόμενες απειλές. Αυτά τα ευρήματα καταδεικνύουν την αυξανόμενη συστημική διάσταση του κινδύνου ΤΠΕ, καθώς και τη σημασία της ανθεκτικότητας και της εποπτείας στην ενίσχυση της ικανότητας του χρηματοπιστωτικού τομέα να προλαμβάνει, να απορροφά και να ανακάμπτει από μελλοντικά περιστατικά. Το Άρθρο 22(2) του DORA επιβάλλει στις ΕΑΕ να αναφέρουν ετησίως σημαντικά περιστατικά ΤΠΕ. Αυτή η έκθεση πρέπει να αναφέρει λεπτομερώς: τον αριθμό και τη φύση των περιστατικών, τον αντίκτυπό τους σε χρηματοπιστωτικές οντότητες ή πελάτες, τις διορθωτικές ενέργειες που έγιναν και το κόστος που προέκυψε. Σύμφωνα με τον DORA, ένα περιστατικό ΤΠΕ είναι ένα απρογραμμάτιστο γεγονός ή σειρά γεγονότων. Θέτει σε κίνδυνο την ασφάλεια του δικτύου και των συστημάτων πληροφοριών, επηρεάζοντας αρνητικά τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των δεδομένων. Μπορεί επίσης να επηρεάσει τις υπηρεσίες που παρέχονται από τη χρηματοπιστωτική οντότητα. Ένα σημαντικό περιστατικό ΤΠΕ ορίζεται ως περιστατικό ΤΠΕ με υψηλό αρνητικό αντίκτυπο. Αυτός ο αντίκτυπος επηρεάζει τα συστήματα δικτύου και πληροφοριών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες μιας χρηματοπιστωτικής οντότητας, απαιτώντας σημαντική προσοχή.