Μια πρόσφατη έρευνα της Censuswide, η οποία ανατέθηκε από την Veeam Software, δείχνει ότι μια σημαντική πλειονότητα των οργανισμών χρηματοοικονομικών υπηρεσιών σε EMEA (Ευρώπη, Μέση Ανατολή και Αφρική) δεν είναι ακόμη πλήρως έτοιμη για τον Κανονισμό Ψηφιακής Επιχειρησιακής Ανθεκτικότητας (DORA) της ΕΕ, έξι μήνες μετά την ημερομηνία εφαρμογής του, στις 17 Ιανουαρίου 2025.
Βασικά ευρήματα της έρευνας, η οποία περιλάμβανε ανώτερα στελέχη λήψης αποφάσεων πληροφορικής και επικεφαλής συμμόρφωσης από χρηματοοικονομικές εταιρείες και τράπεζες με περισσότερους από 500 υπαλλήλους σε Ηνωμένο Βασίλειο, Γαλλία, Γερμανία και Ολλανδία, αποκαλύπτουν ότι:
Το 96% των χρηματοοικονομικών οργανισμών της EMEA πιστεύει ότι το τρέχον επίπεδο ανθεκτικότητας δεδομένων τους υπολείπεται των απαιτήσεων του DORA και χρειάζεται βελτίωση.
Ενώ ο DORA έχει γίνει στρατηγική προτεραιότητα για το 94% των οργανισμών, και το 40% τον θεωρεί «κορυφαία προτεραιότητα ψηφιακής ανθεκτικότητας», πολλοί εξακολουθούν να αντιμετωπίζουν προκλήσεις εφαρμογής.
Συγκεκριμένοι τομείς ανησυχίας όπου πολλοί οργανισμοί δεν έχουν ακόμη εκπληρώσει τις απαιτήσεις του DORA περιλαμβάνουν:
Το 24% δεν έχει καθιερώσει δοκιμές ανάκτησης και συνέχειας.
Το 24% δεν έχει εφαρμόσει επίσημη αναφορά περιστατικών.
Το 24% δεν έχει εντοπίσει υπεύθυνο για την εφαρμογή του DORA.
Το 23% δεν έχει διενεργήσει ολοκληρωμένες δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας.
Το 21% δεν έχει διασφαλίσει την ακεραιότητα των αντιγράφων ασφαλείας και την ασφαλή ανάκτηση δεδομένων.
Η εποπτεία των κινδύνων τρίτων αναφέρεται ως η πιο τεχνικά δύσκολη πτυχή της συμμόρφωσης από το 34% των οργανισμών.
Οι προκλήσεις που αντιμετωπίζουν οι οργανισμοί στην πορεία συμμόρφωσής τους με τον DORA περιλαμβάνουν:
Αυξημένο άγχος και πίεση στις ομάδες πληροφορικής και ασφάλειας (41%).
Υψηλότερο κόστος που μετακυλίεται από τους προμηθευτές ΤΠΕ (37%).
Ο όγκος της ψηφιακής ρύθμισης γίνεται εμπόδιο στην καινοτομία ή τον ανταγωνισμό (22%).
Έλλειψη απαραίτητου προϋπολογισμού (20%).
Παρά αυτές τις προκλήσεις, η έρευνα σημειώνει ότι οι περισσότεροι οργανισμοί έχουν σαφή εικόνα των βημάτων που πρέπει να ακολουθήσουν. Ωστόσο, τα ευρήματα υπογραμμίζουν ότι ενώ ο DORA έχει αυξήσει την ευαισθητοποίηση και την προτεραιοποίηση της ψηφιακής ανθεκτικότητας, εξακολουθεί να υπάρχει σημαντική δουλειά που πρέπει να γίνει σε ολόκληρο τον χρηματοπιστωτικό τομέα για την επίτευξη πλήρους συμμόρφωσης.
Σχετικά με τον DORA της ΕΕ:
Ο Κανονισμός για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) είναι ένας κανονισμός της ΕΕ που αποσκοπεί στην ενίσχυση της ασφάλειας των τεχνολογιών πληροφοριών και επικοινωνιών (ΤΠΕ) των χρηματοπιστωτικών οντοτήτων. Καθιερώνει ένα ολοκληρωμένο πλαίσιο για τη διαχείριση των κινδύνων ΤΠΕ, συμπεριλαμβανομένων:
Διαχείριση και διακυβέρνηση κινδύνων ΤΠΕ: Καθορισμός αρχών και απαιτήσεων για ένα ισχυρό πλαίσιο διαχείρισης κινδύνων ΤΠΕ.
Διαχείριση, ταξινόμηση και αναφορά περιστατικών που σχετίζονται με ΤΠΕ: Τυποποίηση της διαδικασίας αναγνώρισης, διαχείρισης και αναφοράς σημαντικών περιστατικών ΤΠΕ.
Δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας: Απαίτηση τακτικών δοκιμών των συστημάτων ΤΠΕ, συμπεριλαμβανομένων δοκιμών διείσδυσης με βάση απειλές για κρίσιμες οντότητες.
Διαχείριση κινδύνων ΤΠΕ από τρίτα μέρη: Ενίσχυση της εποπτείας των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ.
Ρυθμίσεις ανταλλαγής πληροφοριών: Προώθηση της ανταλλαγής πληροφοριών και πληροφοριών σχετικά με κυβερνοαπειλές.
Ο DORA τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και έγινε εφαρμόσιμος στις 17 Ιανουαρίου 2025. Εφαρμόζεται σε ένα ευρύ φάσμα χρηματοπιστωτικών οντοτήτων, συμπεριλαμβανομένων τραπεζών, ασφαλιστικών εταιρειών, επενδυτικών εταιρειών και των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ τους.