Καθοδήγηση για την παροχή βοήθειας στα χρηματοπιστωτικά ιδρύματα της Ευρωπαϊκής Ένωσης που επηρεάζονται από τον νόμο περί ψηφιακής επιχειρησιακής ανθεκτικότητας (DORA) του χρηματοοικονομικού τομέα.
Η Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα [κανονισμός (ΕΕ) 2022/2554] γνωστή και ως DORA (Digital Operational Resilience Act) είναι ένας κανονισμός της Ευρωπαϊκής Ένωσης που αποσκοπεί στη διασφάλιση της ψηφιακής ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων στην Ευρωπαϊκή Ένωση έναντι περιστατικών και λειτουργικών διαταραχών που σχετίζονται με τις τεχνολογίες πληροφοριών και επικοινωνιών (ICT). Οι εργασίες και οι διαβουλεύσεις της Ευρωπαϊκής Επιτροπής για τον νέο κανονισμό DORA ολοκληρώθηκαν στις 16 Ιανουαρίου του 2023. Οι απαιτήσεις του τίθενται σε ισχύ και εφαρμόζονται από τις 17 Ιανουαρίου 2025.
Πεδίο εφαρμογής του κανονισμού DORA
Ο κανονισμός DORA αφορά όλες τις «χρηματοπιστωτικές οντότητες» της ΕΕ, συμπεριλαμβανομένων των τραπεζών, των επενδυτικών τραπεζών και ιδρυμάτων, των πιστωτικών ιδρυμάτων, των ασφαλιστικών εταιρειών, των πλατφορμών πληθοπορισμού (crowdfunding) καθώς και κρίσιμης σημασίας τρίτα μέρη που παρέχουν υπηρεσίες τεχνολογίας πληροφοριών και επικοινωνίας σε χρηματοπιστωτικά ιδρύματα, όπως σε προμηθευτές λογισμικού, παρόχους υπηρεσιών νέφους και κέντρων δεδομένων, παρόχους υπηρεσιών ανάλυσης δεδομένων κ.ά.
Το άρθρο 2 του (ΕΕ) 2022/2554 προσδιορίζει τα ακόλουθα χρηματοπιστωτικά ιδρύματα που καλύπτονται από τη νομοθεσία.
Λίστα χρηματοπιστωτικών οντοτήτων που καλύπτονται από τον κανονισμό:
- Πιστωτικά ιδρύματα
- Ιδρύματα πληρωμών
- Πάροχοι υπηρεσιών πληροφοριών λογαριασμού
- Ιδρύματα ηλεκτρονικού χρήματος
- Επενδυτικά ιδρύματα και επιχειρήσεις
- Πάροχοι υπηρεσιών κρυπτονομισμάτων και κρυπτο-περιουσιακών στοιχείων και μη-αντικαταστατών τεκμηρίων
- Κεντρικά αποθετήρια τίτλων και μητρώα συναλλαγών
- Κεντρικά αποθετήρια αξιών
- Τόποι διαπραγμάτευσης
- Αποθετήρια συναλλαγών
- Εταιρείες διαχείρισης
- Διαχειριστές εναλλακτικών επενδυτικών κεφαλαίων
- Πάροχοι υπηρεσιών αναφοράς δεδομένων
- Ασφαλιστικές και αντασφαλιστικές επιχειρήσεις
- Ασφαλιστικοί διαμεσολαβητές, αντασφαλιστικοί διαμεσολαβητές και βοηθητικοί ασφαλιστικοί διαμεσολαβητές
- Ιδρύματα επαγγελματικής συνταξιοδότησης
- Οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας
- Διαχειριστές κρίσιμων δεικτών αναφοράς
- Πάροχοι υπηρεσιών πληθοπορισμού
Γιατί DORA;
Το κανονιστικό πλαίσιο DORA «αναγνωρίζει ότι τα περιστατικά ΤΠΕ (Τεχνολογιών Πληροφορικής και Επικοινωνίας) και η έλλειψη επιχειρησιακής/λειτουργικής ανθεκτικότητας έχουν τη δυνατότητα να θέσουν σε κίνδυνο την ευρωστία ολόκληρου του χρηματοπιστωτικού συστήματος, ακόμη και αν υπάρχουν “επαρκή” κεφάλαια για τις παραδοσιακές κατηγορίες κινδύνου». Το κανονιστικό πλαίσιο DORA καθορίζει τις απαιτήσεις που σχετίζονται με την ασφάλεια των δικτύων και των συστημάτων πληροφορικής των χρηματοπιστωτικών οντοτήτων για την ενίσχυση της κυβερνοασφάλειας του συνόλου του χρηματοπιστωτικού κλάδου της ΕΕ. Χάρη στα παραπάνω, οι χρηματοπιστωτικές οντότητες θα μειώσουν τον πιθανό αντίκτυπο των ψηφιακών απειλών στην επιχειρηματική τους συνέχεια, στη νομική ευθύνη και στις οικονομικές απώλειες ή στις απώλειες που ενδέχεται να υποστεί η φήμη τους.
Απαιτήσεις του DORA
Προκειμένου να επιτευχθεί ένα υψηλό κοινό επίπεδο ψηφιακής επιχειρησιακής ανθεκτικότητας, ο παρών κανονισμός θεσπίζει ενιαίες απαιτήσεις όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που υποστηρίζουν τις επιχειρηματικές διαδικασίες των χρηματοπιστωτικών οντοτήτων ως εξής:
- Διαχείριση Κινδύνων ΤΠΕ: Οι χρηματοπιστωτικές οντότητες θα έχουν ένα υγιές, ολοκληρωμένο και καλά τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ (Τεχνολογιών Πληροφορικής και Επικοινωνίας) ως μέρος του συνολικού συστήματος διαχείρισης κινδύνων τους, το οποίο θα τους επιτρέψει να αντιμετωπίζουν τους κινδύνους ΤΠΕ γρήγορα, αποτελεσματικά και ολοκληρωμένα καθώς και να εξασφαλίζουν ένα υψηλό επίπεδο ψηφιακής επιχειρησιακής ανθεκτικότητας.
- Διαδικασία Διαχείρισης Περιστατικών που σχετίζονται με ΤΠΕ: Οι χρηματοπιστωτικές οντότητες θα πρέπει να καταγράφουν όλα τα περιστατικά που σχετίζονται με ΤΠΕ (Τεχνολογίες Πληροφορικής και Επικοινωνίας) και τις σημαντικότερες κυβερνοαπειλές. Οι χρηματοπιστωτικές οντότητες θα πρέπει να καθιερώσουν κατάλληλες διαδικασίες και διεργασίες για να εξασφαλίσουν μία ολοκληρωμένη και συνεπή παρακολούθηση, διαχείριση και συμπληρωματική ή επαναληπτική εξέταση των περιστατικών που σχετίζονται με ΤΠΕ, ώστε να διασφαλίζεται ο εντοπισμός, η τεκμηρίωση και η αντιμετώπιση των βαθύτερων αιτιών, προκειμένου να αποτρέπονται τέτοια συμβάντα.
- Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας: Για να διασφαλιστεί ότι οι χρηματοπιστωτικές οντότητες είναι προετοιμασμένες να αντιμετωπίσουν περιστατικά που σχετίζονται με ΤΠΕ, το κανονιστικό πλαίσιο DORA ορίζει κοινά πρότυπα δίνοντας έμφαση στις δοκιμές ανθεκτικότητας από τις εν λόγω οντότητες «όπως αξιολογήσεις και σαρώσεις ευπαθειών, αναλύσεις ανοικτού κώδικα, αξιολογήσεις ασφάλειας δικτύου, αναλύσεις κενών, φυσικές επισκοπήσεις και ελέγχους ασφάλειας, ερωτηματολόγια και λύσεις λογισμικού σάρωσης, ελέγχους του πηγαίου κώδικα όπου είναι εφικτό, δοκιμές βάσει σεναρίων, δοκιμές συμβατότητας, δοκιμές απόδοσης, διατερματικές δοκιμές (από άκρο σε άκρο) και δοκιμές παρείσδυσης».
- Διαχείριση Κινδύνων ΤΠΕ από Τρίτους (TPRM): Αναγνωρίζοντας την αυξανόμενη σημασία των τρίτων παρόχων υπηρεσιών ΤΠΕ, το πλαίσιο DORA απαιτεί από τις χρηματοπιστωτικές οντότητες να «διαχειρίζονται τον κίνδυνο ΤΠΕ από τους τρίτους ως εσωτερικό και αναπόσπαστο στοιχείο του κινδύνου ΤΠΕ εντός του πλαισίου διαχείρισης κινδύνου ΤΠΕ τους» μέσω συμφωνημένων συμβάσεων όπως η προσβασιμότητα, η διαθεσιμότητα, η ακεραιότητα, η ασφάλεια και η προστασία των προσωπικών δεδομένων, τα σαφή δικαιώματα τερματισμού, και άλλα.
- Ανταλλαγή «Ευφυίας» και Πληροφοριών: Με στόχο την ενίσχυση της συλλογικής ικανότητας των χρηματοπιστωτικών ιδρυμάτων να εντοπίζουν και να καταπολεμούν τους κινδύνους ΤΠΕ, το πλαίσιο DORA ενθαρρύνει τα εν λόγω ιδρύματα να «ανταλλάσσουν μεταξύ τους “ευφυία” και πληροφορίες σχετικές με τις κυβερνοαπειλές, συμπεριλαμβανομένων δεικτών συμβιβασμού, τακτικών, τεχνικών και διαδικασιών, προειδοποιήσεων κυβερνοαπειλών και εργαλείων διαμόρφωσης, στο βαθμό που η εν λόγω ανταλλαγή ευφυίας και πληροφοριών:
- αποσκοπεί στην ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων, ιδίως μέσω της ευαισθητοποίησης σε σχέση με τις κυβερνοαπειλές, του περιορισμού ή της παρεμπόδισης της δυνατότητας εξάπλωσης των απειλών στον κυβερνοχώρο, της υποστήριξης των αμυντικών ικανοτήτων, των τεχνικών ανίχνευσης απειλών, των στρατηγικών μετριασμού ή των σταδίων αντιμετώπισης και ανάκαμψης,
- λαμβάνει χώρα στο πλαίσιο αξιόπιστων κοινοτήτων χρηματοπιστωτικών οντοτήτων,
- υλοποιείται μέσω συμφωνιών ανταλλαγής πληροφοριών που προστατεύουν τον δυνητικά ευαίσθητο χαρακτήρα των πληροφοριών που ανταλλάσσονται και που διέπονται από κανόνες δεοντολογίας με πλήρη σεβασμό του επιχειρηματικού απορρήτου, της προστασίας των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 και των κατευθυντήριων γραμμών για την πολιτική ανταγωνισμού».
- Πλαίσιο Εποπτείας των Τρίτων Παρόχων ΤΠΕ: Η Μεικτή Επιτροπή, σύμφωνα με το άρθρο 57 παράγραφος 1 των κανονισμών (ΕΕ) αριθ. 1093/2010, (ΕΕ) αριθ. 1094/2010 και (ΕΕ) αριθ. 1095/2010, συγκροτεί το Φόρουμ Εποπτείας ως υποεπιτροπή με σκοπό την υποστήριξη του έργου της Μεικτής Επιτροπής και του Επικεφαλής επόπτη που αναφέρεται στο άρθρο 31 παράγραφος 1 στοιχείο (β), στον τομέα του κινδύνου ΤΠΕ από τρίτους σε όλους τους χρηματοπιστωτικούς τομείς. Το Φόρουμ Εποπτείας θα προετοιμάσει τα προσχέδια κοινών θέσεων και τα προσχέδια κοινών πράξεων της Μεικτής Επιτροπής στον εν λόγω τομέα.
Το Φόρουμ Εποπτείας συζητά τακτικά τις σχετικές εξελίξεις σχετικά με τον κίνδυνο και τα τρωτά σημεία ΤΠΕ και προωθεί μια συνεπή προσέγγιση στην παρακολούθηση των κινδύνου ΤΠΕ που προέρχεται από τρίτους σε επίπεδο Ένωσης.
DORA και NIS2
Τα νομοθετικά πλαίσια DORA και NIS2 είναι δύο κρίσιμα κομμάτια της νομοθεσίας της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια. Η οδηγία NIS2 (οδηγία (ΕΕ) 2022/2555) είναι μια νομοθετική πράξη που αποσκοπεί στην επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση.
Η σχέση μεταξύ των DORA και NIS2 είναι ότι η NIS2 αποσκοπεί στη βελτίωση της κυβερνοασφάλειας και της προστασίας των κρίσιμων υποδομών στην ΕΕ ενώ η DORA αντιμετωπίζει την αυξανόμενη εξάρτηση του χρηματοπιστωτικού τομέα της ΕΕ από τις ψηφιακές τεχνολογίες και αποσκοπεί να διασφαλίσει ότι το χρηματοπιστωτικό σύστημα παραμένει λειτουργικό ακόμη και σε περίπτωση κυβερνοεπίθεσης.
Αυτό που έχει σημασία να σημειωθεί είναι ότι η NIS2 είναι μια Ευρωπαϊκή οδηγία. Έως στις 17 Οκτωβρίου 2024, τα κράτη μέλη πρέπει να θεσπίσουν και να δημοσιεύσουν τα μέτρα που απαιτούνται για τη συμμόρφωση με την οδηγία NIS2. Ο DORA είναι ένας ευρωπαϊκός κανονισμός που θα εφαρμοστεί ως έχει σε όλες τις χώρες της ΕΕ από τις 17 Ιανουαρίου 2025.
Το άρθρο 1 παράγραφος 2 του κανονισμού DORA προβλέπει ότι, σε σχέση με τις χρηματοπιστωτικές οντότητες που καλύπτονται από την οδηγία NIS2 και τους αντίστοιχους εθνικούς κανόνες μεταφοράς της, ο κανονισμός DORA θεωρείται τομεακή νομική πράξη της Ένωσης για τους σκοπούς του άρθρου 4 της οδηγίας NIS2. Ο DORA αποτελεί «ειδικό νόμο» για τον χρηματοπιστωτικό τομέα συγκριτικά με την NIS2. Πρόκειται για μία αρχή που ορίζει ότι ένας ειδικός νόμος υπερισχύει ενός γενικού νόμου. Έτσι, για τις χρηματοπιστωτικές οντότητες που καλύπτονται από το πλαίσιο DORA, το κείμενο υπερισχύει της NIS2. Αυτό δεν σημαίνει ωστόσο ότι οι υποχρεώσεις της NIS2 δεν ισχύουν πλέον για τις οντότητες που επηρεάζονται και από τα δύο κείμενα.
Κυρώσεις για μη συμμόρφωση με το DORA
Οι ενδεχόμενες κυρώσεις που σχετίζονται με το DORA μπορεί να είναι σημαντικές και, σε αντίθεση με τον GDPR και/ή την NIS2, ενθαρρύνουν την επιχείρηση να συμμορφωθεί επιβάλλοντας πρόστιμα σε καθημερινή βάση. Όσοι οργανισμοί κριθούν μη συμμορφούμενοι από τον αρμόδιο εποπτικό φορέα ενδέχεται να βρεθούν αντιμέτωποι με την επιβολή περιοδικής χρηματικής ποινής ύψους 1% του μέσου ημερήσιου παγκόσμιου κύκλου εργασιών του προηγούμενου έτους για διάστημα έως και έξι μηνών, έως ότου επιτευχθεί η συμμόρφωση. Ο εποπτικός φορέας μπορεί επίσης να εκδίδει εντολές παύσης, ειδοποιήσεις διακοπής λειτουργίας, πρόσθετες οικονομικά μέτρα και κυρώσεις και δημόσιες ανακοινώσεις.
Χρονοδιαγράμματα για το DORA
Το νομοθετικό πλαίσιο DORA προτάθηκε για πρώτη φορά από την Ευρωπαϊκή Επιτροπή τον Σεπτέμβριο του 2020. Τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023. Οι χρηματοπιστωτικές οντότητες και οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ έχουν προθεσμία έως τις 17 Ιανουαρίου του 2025 για να προετοιμαστούν για το DORA και να το εφαρμόσουν. Η πρώτη δεσμίδα των Τεχνικών Ρυθμιστικών Προτύπων (RTS) και Εκτελεστικών Τεχνικών Προτύπων (ITS) δημοσιεύθηκαν στις 17 Ιανουαρίου 2024. Η δεύτερη δεσμίδα των εν λόγω προτύπων βρίσκεται υπό διαβούλευση.