Η Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (Digital Operational Resilience Act – DORA) αποτελεί ένα σημαντικό νομοθετικό πλαίσιο της Ευρωπαϊκής Ένωσης, το οποίο αποσκοπεί στην ενίσχυση της ψηφιακής ανθεκτικότητας του Ευρωπαϊκού Χρηματοπιστωτικού Τομέα με την αντιμετώπιση των κινδύνων Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) μέσω ολοκληρωμένης διακυβέρνησης, διαχείρισης περιστατικών, δοκιμών ανθεκτικότητας, διαχείρισης κινδύνων από τρίτους και πρωτοβουλιών ευαισθητοποίησης. Η μη συμμόρφωση με τη DORA μπορεί να οδηγήσει σε σοβαρές οικονομικές, νομικές και λειτουργικές συνέπειες.

Ανδρέας Λάλος

Professional Services Director

 BESECURE, www.besecure.gr

 

 

 

Navigating

Η πρωτοβουλία για τον εν λόγω κανονισμό οφείλεται στην ολοένα αυξανόμενη εξάρτηση του κλάδου από ψηφιακά περιουσιακά στοιχεία και διαδικασίες. Ως αποτέλεσμα, οι κίνδυνοι ΤΠΕ αποτελούν αυξανόμενη πρόκληση για τη λειτουργική ανθεκτικότητα, τις επιδόσεις και τη σταθερότητα του ευρωπαϊκού χρηματοπιστωτικού συστήματος. Επιπλέον, η Ευρωπαϊκή Επιτροπή έκρινε ότι η προηγούμενη νομοθεσία δεν αντιμετώπιζε το θέμα αυτό με επαρκώς λεπτομερή και ολοκληρωμένο τρόπο, δεν παρείχε στις χρηματοπιστωτικές εποπτικές αρχές τα πλέον κατάλληλα εργαλεία για την εκπλήρωση της αποστολής τους και άφηνε πολύ μεγάλο περιθώριο για αποκλίνουσες προσεγγίσεις σε μια ενιαία αγορά της ΕΕ.

Η DORA απευθύνεται σε ένα ευρύ φάσμα χρηματοπιστωτικών οντοτήτων, συμπεριλαμβανομένων κεντρικών αποθετηρίων τίτλων, πιστωτικών ιδρυμάτων, ασφαλιστικών και αντασφαλιστικών επιχειρήσεων, χρηματιστών, ιδρυμάτων πληρωμών και ιδρυμάτων ηλεκτρονικού χρήματος. Επεκτείνεται σε τρίτους παρόχους που προσφέρουν υπηρεσίες ΤΠΕ σε χρηματοπιστωτικά ιδρύματα. Αυτό περιλαμβάνει παρόχους υπηρεσιών cloud, υπηρεσίες φιλοξενίας δεδομένων και κάθε άλλο προμηθευτή που συμβάλλει στο τεχνολογικό τοπίο των χρηματοπιστωτικών οντοτήτων.

5 βασικοί πυλώνες

Ο κανονισμός διαρθρώνεται γύρω από πέντε βασικούς πυλώνες που αποτελούν τη βάση για την ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας στον χρηματοπιστωτικό τομέα, οι οποίοι είναι οι εξής

1ος πυλώνας – Διακυβέρνηση ΤΠΕ και διαχείριση κινδύνων – Αποτελείται από βασικές αρχές και απαιτήσεις  για τη διαχείριση των κινδύνων ΤΠΕ, διασφαλίζοντας τη συμμόρφωση με τις κανονιστικές απαιτήσεις και την ανθεκτικότητα έναντι κυβερνοαπειλών.

2ος πυλώνας – Διαχείριση και αναφορά συμβάντων που σχετίζονται με τις ΤΠΕ – Περιλαμβάνει απαιτήσεις σχετικά με τη διαχείριση και την ταξινόμηση των συμβάντων που σχετίζονται με τις ΤΠΕ, καθώς και διατάξεις για την εναρμόνιση της αναφοράς τέτοιων σοβαρών συμβάντων στις αρμόδιες εποπτικές αρχές.

3ος πυλώνας – Δοκιμή της ψηφιακής επιχειρησιακής ανθεκτικότητας – Αφορά τις απαιτήσεις για τον έλεγχο της ψηφιακής επιχειρησιακής ανθεκτικότητας, δηλαδή την περιοδική αξιολόγηση της ανθεκτικότητας έναντι επιθέσεων στον κυβερνοχώρο και τον εντοπισμό αδυναμιών, ελλείψεων ή κενών, καθώς και την ταχεία εφαρμογή διορθωτικών μέτρων.

4ος πυλώνας – Διαχείριση των κινδύνων που συνδέονται με τρίτους Παρόχους Υπηρεσιών ΤΠΕ- Αποσκοπεί στην θέσπιση ενός πλαισίου εποπτείας για τους κρίσιμους παρόχους υπηρεσιών ΤΠΕ εξασφαλίζοντας ότι οι χρηματοπιστωτικοί οργανισμοί αξιολογούν τους κινδύνους από τους εξωτερικούς τους συνεργάτες και διασφαλίζουν την ανθεκτικότητα των υπηρεσιών τους.

5ος πυλώνας – Ενημέρωση για τους κινδύνους ΤΠΕ και τις σχετικές πτυχές – Επικεντρώνεται στον περιορισμό της εξάπλωσης αυτών των κινδύνων, υποστηρίζοντας αμυντικές δυνατότητες και τεχνικές ανίχνευσης απειλών, ενώ επιτρέπει ρητά στις χρηματοπιστωτικές οντότητες να θεσπίζουν αμοιβαίες ρυθμίσεις για την ανταλλαγή πληροφοριών σχετικά με τις απειλές στον κυβερνοχώρο.

Συμβουλευτικές Υπηρεσίες της BeSecure

Οι συμβουλευτικές υπηρεσίες DORA της BeSecure βασίζονται στα Ρυθμιστικά Τεχνικά Πρότυπα (Regulatory Technical Standards – RTS) και στα Εκτελεστικά Τεχνικά Πρότυπα (Implementing Technical Standards – ITS), τα οποία δημοσιεύονται και κοινοποιούνται από τις Ευρωπαϊκές Εποπτικές Αρχές (European Supervisory Authorities – ESA). Οι ESA, οι οποίες είναι η EBA (Ευρωπαϊκή Αρχή Τραπεζών), η EIOPA (Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων) και η ESMA (Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών), διαδραματίζουν καθοριστικό ρόλο στην ανάπτυξη και έκδοση των RTS και των ITS στο πλαίσιο της DORA και άλλων κανονισμών της ΕΕ, διασφαλίζοντας ότι είναι συνεπείς και εναρμονισμένες σε όλα τα κράτη μέλη.

Ενδεικτικά αναφέροντας λ.χ κατά την ανάλυση σχετικά με το κεφάλαιο ΙΙ της DORA (διαχείριση κινδύνου ΤΠΕ), εξετάζουμε τις απαιτήσεις που ορίζονται στα άρθρα 5 έως 14 της DORA, μαζί με εκείνες των σχετικών RTS που δημοσιεύονται από τις ΕΕΑ, όπως παρουσιάζεται παρακάτω.

Η συμμόρφωση με τη DORA αποτελεί σημαντική πρόκληση για τις χρηματοπιστωτικές οντότητες, δεδομένου του μεγάλου φόρτου εργασίας που απαιτείται για την εφαρμογή της. Η ομάδα εμπειρογνωμόνων της BeSecure διαθέτει γνώσεις και εμπειρία στις αξιολογήσεις και την εφαρμογή της DORA παρέχοντας υπηρεσίες που αποσκοπούν στην:

  • Αξιολόγηση κενών και καθορισμό πλάνου ενεργειών
  • Σχεδιασμό και υλοποίηση διορθωτικών μέτρων
  • Εξωτερική επαλήθευση & έλεγχο συμμόρφωσης.

Οι συμβουλευτικές υπηρεσίες που παρέχουμε για την DORA επιτρέπουν στους οργανισμούς να αξιολογούν συστηματικά την ανθεκτικότητά τους, να εφαρμόζουν τις απαραίτητες αλλαγές και να επαληθεύουν ανεξάρτητα τη συμμόρφωσή τους με τον νόμο για την ψηφιακή επιχειρησιακή ανθεκτικότητα.  Κάθε υπηρεσία διαδραματίζει κρίσιμο ρόλο στη διασφάλιση ότι οι οργανισμοί όχι μόνο πληρούν τις κανονιστικές απαιτήσεις αλλά και ενισχύουν την ικανότητά τους να αντέχουν σε ψηφιακές απειλές.