Ο Κανονισμός για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), ο οποίος τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και εφαρμόζεται από τις 17 Ιανουαρίου 2025 , αποτελεί μια κομβική νομοθετική πράξη στην Ευρωπαϊκή Ένωση. Στόχος του είναι η ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων . Ωστόσο, η εμβέλειά του εκτείνεται πολύ πέρα από τις τράπεζες και τις ασφαλιστικές εταιρείες, εισάγοντας ένα νέο παράδειγμα για τους παρόχους υπηρεσιών Τεχνολογιών Πληροφορικής και Επικοινωνιών (ICT) που εξυπηρετούν τον χρηματοπιστωτικό τομέα. Σε αντίθεση με προηγούμενες οδηγίες, ο DORA επιβάλλει άμεσες υποχρεώσεις τόσο στις χρηματοοικονομικές οντότητες όσο και στους παρόχους υπηρεσιών ICT . Για τους παρόχους ICT, η κατανόηση αυτών των νέων υποχρεώσεων είναι κρίσιμη για τη διατήρηση των επιχειρηματικών δραστηριοτήτων και την αποφυγή κυρώσεων. Ακολουθούν πέντε βασικές πληροφορίες που πρέπει να γνωρίζει κάθε πάροχος ICT.
1. Άμεση Εποπτεία για Κρίσιμους Παρόχους
Μία από τις πιο σημαντικές αλλαγές που εισάγει ο DORA είναι η δημιουργία ενός πλαισίου εποπτείας σε επίπεδο Ένωσης για τους κρίσιμους τρίτους παρόχους υπηρεσιών ICT (CTPPs) . Οι Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) — EBA, ESMA και EIOPA — θα ορίζουν παρόχους ως «κρίσιμους» βάσει συγκεκριμένων κριτηρίων. Αυτά τα κριτήρια περιλαμβάνουν τον συστημικό αντίκτυπο που θα είχε μια μεγάλης κλίμακας λειτουργική αστοχία του παρόχου στη σταθερότητα και τη συνέχεια των χρηματοοικονομικών υπηρεσιών . Οι πάροχοι που θα οριστούν ως κρίσιμοι θα υπόκεινται σε άμεση εποπτεία από έναν Επικεφαλής Επόπτη (Lead Overseer) από μία από τις ΕΕΑ. Αυτή η εποπτεία μπορεί να περιλαμβάνει αιτήματα για πληροφορίες, επιτόπιες επιθεωρήσεις και την έκδοση συστάσεων . Αυτό σηματοδοτεί μια θεμελιώδη αλλαγή, καθώς οι εταιρείες τεχνολογίας τίθενται για πρώτη φορά υπό την άμεση εποπτεία των χρηματοοικονομικών ρυθμιστικών αρχών της ΕΕ.
2. Ενισχυμένες Συμβατικές Απαιτήσεις
Ο DORA καθιστά τις συμβατικές συμφωνίες μεταξύ χρηματοοικονομικών οντοτήτων και παρόχων ICT πολύ πιο αυστηρές. Το Άρθρο 30 του κανονισμού περιγράφει λεπτομερώς τις βασικές συμβατικές διατάξεις που πρέπει να περιλαμβάνονται σε όλες τις σχετικές συμβάσεις. Αυτές περιλαμβάνουν, μεταξύ άλλων, μια σαφή και πλήρη περιγραφή των παρεχόμενων λειτουργιών και υπηρεσιών ICT, τις τοποθεσίες όπου επεξεργάζονται τα δεδομένα, καθώς και διατάξεις για την ασφάλεια των δεδομένων . Για τις υπηρεσίες που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, οι απαιτήσεις είναι ακόμη πιο αυστηρές, απαιτώντας πλήρεις περιγραφές επιπέδων εξυπηρέτησης, απαιτήσεις για σχέδια έκτακτης ανάγκης και στρατηγικές εξόδου . Οι πάροχοι ICT πρέπει να είναι προετοιμασμένοι να επαναδιαπραγματευτούν τις υπάρχουσες συμβάσεις για να ευθυγραμμιστούν με αυτές τις λεπτομερείς απαιτήσεις.
3. Ένα Ολοκληρωμένο Πλαίσιο Διαχείρισης Κινδύνων ICT
Ενώ η κύρια ευθύνη για τη διαχείριση κινδύνων ICT παραμένει στη χρηματοοικονομική οντότητα, ο DORA απαιτεί έμμεσα από τους παρόχους ICT να υποστηρίζουν και να ευθυγραμμίζονται με αυτά τα πλαίσια. Οι χρηματοοικονομικές οντότητες πρέπει να δημιουργήσουν ένα ολοκληρωμένο πλαίσιο διαχείρισης κινδύνων ICT που περιλαμβάνει στρατηγικές, πολιτικές και εργαλεία για την προστασία όλων των περιουσιακών στοιχείων πληροφοριών και ICT. Οι πάροχοι ICT θα πρέπει να αποδείξουν ότι οι δικές τους διαδικασίες και έλεγχοι είναι αρκετά ισχυροί για να ανταποκριθούν στα πρότυπα των πελατών τους. Αυτό περιλαμβάνει την ύπαρξη συμβάσεων με καθορισμένα επίπεδα εξυπηρέτησης και, για κρίσιμες λειτουργίες, τη διαθεσιμότητα στρατηγικής εξόδου . Επιπλέον, οι πάροχοι πρέπει να είναι ανοιχτοί σε ελέγχους και αξιολογήσεις από τους χρηματοοικονομικούς τους πελάτες και τις αρμόδιες αρχές .
4. Υποχρεωτικές Δοκιμές Ανθεκτικότητας και Αναφορά Περιστατικών
Ο DORA δίνει μεγάλη έμφαση στις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας. Οι χρηματοοικονομικές οντότητες υποχρεούνται να διενεργούν τακτικές δοκιμές των κρίσιμων συστημάτων και εφαρμογών ICT . Για τις πιο σημαντικές οντότητες, αυτό περιλαμβάνει προηγμένες δοκιμές διείσδυσης βάσει απειλών (Threat-Led Penetration Testing - TLPT) τουλάχιστον κάθε τρία χρόνια . Οι πάροχοι ICT που υποστηρίζουν κρίσιμες λειτουργίες αναμένεται να συμμετέχουν σε αυτές τις δοκιμές. Το Άρθρο 26 ορίζει ότι η χρηματοοικονομική οντότητα πρέπει να διασφαλίζει τη συμμετοχή των παρόχων ICT, διατηρώντας παράλληλα την πλήρη ευθύνη . Επιπλέον, οι πάροχοι πρέπει να βοηθούν τους πελάτες τους στην αναφορά σημαντικών περιστατικών που σχετίζονται με τις ICT στις ρυθμιστικές αρχές, παρέχοντας βοήθεια χωρίς επιπλέον κόστος ή με κόστος που έχει καθοριστεί εκ των προτέρων .
5. Διαχείριση Κινδύνων Τρίτων και Υπεργολαβίας
Ο DORA αναγνωρίζει ότι ο κίνδυνος δεν σταματά στον άμεσο πάροχο. Ο κανονισμός επεκτείνει τις απαιτήσεις για να καλύψει ολόκληρη την αλυσίδα εφοδιασμού ICT. Οι χρηματοοικονομικές οντότητες πρέπει να παρακολουθούν τους κινδύνους που προέρχονται από την υπεργολαβία από τους παρόχους ICT τους, ειδικά όταν η υπεργολαβία αφορά κρίσιμες ή σημαντικές λειτουργίες. Οι πάροχοι ICT πρέπει να είναι διαφανείς σχετικά με τις δικές τους ρυθμίσεις υπεργολαβίας και να διασφαλίζουν ότι οι υπεργολάβοι τους συμμορφώνονται με τα ίδια πρότυπα ασφάλειας και ανθεκτικότητας. Οι συμβάσεις πρέπει να περιλαμβάνουν όρους που διέπουν την υπεργολαβία , και οι πάροχοι πρέπει να ενημερώνουν τους χρηματοοικονομικούς τους πελάτες για τυχόν αλλαγές στην υπεργολαβία. Αυτή η εστίαση στην αλυσίδα εφοδιασμού απαιτεί από τους παρόχους ICT να έχουν μεγαλύτερη εποπτεία και έλεγχο επί των δικών τους προμηθευτών.
Συμπερασματικά, ο DORA δεν είναι απλώς ένας ακόμη κανονισμός για τον χρηματοπιστωτικό τομέα. Είναι ένα μετασχηματιστικό πλαίσιο που επιβλέπει άμεσα τους παρόχους ICT που θεωρούνται κρίσιμοι για τη σταθερότητα του χρηματοπιστωτικού συστήματος της ΕΕ . Οι πάροχοι που δεν προετοιμάζονται για αυτές τις αλλαγές κινδυνεύουν όχι μόνο με ρυθμιστικές κυρώσεις αλλά και με την απώλεια της εμπιστοσύνης των πελατών τους στον ολοένα και πιο διασυνδεδεμένο χρηματοοικονομικό κόσμο.