Η Ευρωπαϊκή Ένωση εισήγαγε ένα ορόσημο στη νομοθεσία για τον χρηματοπιστωτικό τομέα, τον Κανονισμό για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), με στόχο την ενίσχυση της ασφάλειας των τεχνολογιών πληροφορικής και επικοινωνιών (ICT) σε όλες τις χρηματοπιστωτικές οντότητες. Ο κανονισμός τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και θα εφαρμοστεί από τις 17 Ιανουαρίου 2025. Ο DORA δημιουργεί ένα εναρμονισμένο πλαίσιο για τη διαχείριση και τον μετριασμό των κινδύνων ICT, διασφαλίζοντας ότι ο χρηματοπιστωτικός τομέας μπορεί να αντέξει, να ανταποκριθεί και να ανακάμψει από κάθε είδους διαταραχές και απειλές που σχετίζονται με τις ΤΠΕ.
Η ανάγκη για τον DORA προέκυψε από την αυξανόμενη εξάρτηση του χρηματοπιστωτικού τομέα από την τεχνολογία και τους παρόχους τεχνολογίας. Πριν από τον DORA, οι κανονισμοί επικεντρώνονταν κυρίως στην εξασφάλιση επαρκούς κεφαλαίου για την κάλυψη των λειτουργικών κινδύνων, αλλά αυτή η προσέγγιση δεν κάλυπτε πλήρως την επιχειρησιακή ανθεκτικότητα έναντι των κινδύνων ICT. Η νομοθεσία στοχεύει στην εναρμόνιση των κανόνων σε ολόκληρη την ΕΕ, εξαλείφοντας τα κενά και τις συγκρούσεις που θα μπορούσαν να προκύψουν από διαφορετικούς κανονισμούς στα κράτη μέλη.
Οι Πέντε Βασικοί Πυλώνες του DORA
Ο DORA δομείται γύρω από πέντε κρίσιμους πυλώνες που έχουν σχεδιαστεί για να παρέχουν μια ολοκληρωμένη προσέγγιση στην ψηφιακή ανθεκτικότητα:
1. Διαχείριση Κινδύνων ICT: Οι χρηματοπιστωτικές οντότητες υποχρεούνται να δημιουργήσουν και να διατηρούν ανθεκτικά συστήματα και εργαλεία ICT που ελαχιστοποιούν τον αντίκτυπο του κινδύνου ICT. Αυτό περιλαμβάνει την εφαρμογή ενός τεκμηριωμένου πλαισίου διαχείρισης κινδύνων ICT, τη συνεχή αναγνώριση όλων των πηγών κινδύνου ICT, τη θέσπιση μέτρων προστασίας και πρόληψης, τον άμεσο εντοπισμό ανώμαλων δραστηριοτήτων και τη δημιουργία πολιτικών επιχειρησιακής συνέχειας και σχεδίων ανάκαμψης από καταστροφές.
2. Αναφορά Περιστατικών που σχετίζονται με τις ICT: Ο κανονισμός επιβάλλει αυστηρές απαιτήσεις για την αναφορά περιστατικών. Οι χρηματοπιστωτικές οντότητες πρέπει να αναφέρουν τα σοβαρά περιστατικά που σχετίζονται με τις ICT στις αρμόδιες αρχές. Η διαδικασία περιλαμβάνει μια αρχική ειδοποίηση, μια ενδιάμεση έκθεση και μια τελική έκθεση. Η αρχική ειδοποίηση πρέπει να υποβληθεί εντός τεσσάρων ωρών από την ταξινόμηση του περιστατικού ως σοβαρού και το αργότερο εντός 24 ωρών από τη στιγμή που η οντότητα έλαβε γνώση του περιστατικού. Οι οντότητες ενθαρρύνονται επίσης να αναφέρουν οικειοθελώς σημαντικές κυβερνοαπειλές.
3. Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας: Απαιτούνται τακτικές δοκιμές των συστημάτων και εργαλείων ICT για τον εντοπισμό τρωτών σημείων. Όλες οι οντότητες, εκτός από τις πολύ μικρές επιχειρήσεις, πρέπει να διενεργούν ετήσιες βασικές δοκιμές. Επιπλέον, οι κρίσιμες οντότητες πρέπει να υποβάλλονται σε προηγμένες δοκιμές, γνωστές ως Δοκιμές Διείσδυσης Βάσει Απειλών (TLPT), τουλάχιστον κάθε τρία χρόνια για να ελέγχουν τις ζωντανές παραγωγικές τους λειτουργίες.
4. Διαχείριση Κινδύνων Τρίτων Παρόχων ICT: Ο DORA αναγνωρίζει τους κινδύνους που ενέχουν οι εξωτερικοί πάροχοι υπηρεσιών ICT, όπως οι πλατφόρμες cloud. Οι χρηματοπιστωτικές οντότητες παραμένουν πλήρως υπεύθυνες για τη συμμόρφωση με τις υποχρεώσεις τους όταν χρησιμοποιούν τρίτους παρόχους. Ο κανονισμός απαιτεί από τις οντότητες να παρακολουθούν τους κινδύνους από τρίτους, να διασφαλίζουν ότι οι συμβάσεις περιλαμβάνουν συγκεκριμένες διατάξεις και να δημιουργήσουν ένα πλαίσιο εποπτείας για τους κρίσιμους παρόχους ICT. Οι οντότητες πρέπει επίσης να διατηρούν ένα μητρώο πληροφοριών για όλες τις συμβατικές ρυθμίσεις με παρόχους υπηρεσιών ICT.
5. Ανταλλαγή Πληροφοριών: Για την ενίσχυση της συλλογικής άμυνας, ο DORA ενθαρρύνει τις χρηματοπιστωτικές οντότητες να ανταλλάσσουν πληροφορίες και πληροφορίες για απειλές στον κυβερνοχώρο μεταξύ τους.
Πεδίο Εφαρμογής και Συνέπειες
Ο DORA ισχύει για περισσότερες από 22.000 χρηματοπιστωτικές οντότητες και παρόχους υπηρεσιών ICT που δραστηριοποιούνται εντός της ΕΕ. Το πεδίο εφαρμογής είναι ευρύ και περιλαμβάνει τράπεζες, ασφαλιστικές εταιρείες, επενδυτικές εταιρείες, παρόχους υπηρεσιών κρυπτοστοιχείων και κρίσιμους τρίτους παρόχους ICT. Η εμβέλειά του επεκτείνεται και σε παρόχους ICT εκτός ΕΕ, εάν οι υπηρεσίες τους είναι κρίσιμες για τις λειτουργίες των χρηματοπιστωτικών ιδρυμάτων που εδρεύουν στην ΕΕ.
Η μη συμμόρφωση με τον DORA μπορεί να οδηγήσει σε σημαντικές κυρώσεις. Οι εταιρείες που παραβιάζουν τις απαιτήσεις του DORA αντιμετωπίζουν πρόστιμα έως και 2% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών τους. Τα κράτη μέλη μπορούν επίσης να επιβάλουν ποινικές κυρώσεις για σοβαρές παραβάσεις. Καθώς πλησιάζει η προθεσμία της 17ης Ιανουαρίου 2025, οι χρηματοπιστωτικές οντότητες και οι συνεργάτες τους στον τομέα των ICT πρέπει να διασφαλίσουν ότι διαθέτουν τα απαραίτητα πλαίσια για να ανταποκριθούν στις εκτενείς υποχρεώσεις του κανονισμού, ενισχύοντας έτσι τη σταθερότητα και την ασφάλεια ολόκληρου του ευρωπαϊκού χρηματοπιστωτικού συστήματος.