Aντρέας Ποταμάρης: Tι είναι ο DORA και ποιος ο στόχος της Ευρώπης μέσω του εν λόγω Κανονισμού

«Η ψηφιακή επιχειρηματική ανθεκτικότητα είναι πλέον αναγκαία για την ασφάλεια του ευρωπαϊκού χρηματοπιστωτικού συστήματος», όπως αναφέρθηκε από τον Αντρέα Ποταμάρη, Senior Manager, Risk Consulting της KPMG.

Μιλώντας από στο Digital Operational Resilience Act Conference, ο Senior Manager, Risk Consulting εξήγησε τη τεράστια σημασία του Digital Operational Resilience Act (DORA) για την χρηματοοικονομική βιομηχανία.

Ο DORA τέθηκε σε εφαρμογή τον Ιανουάριο του 2023, με μια διετή περίοδο προσαρμογής, και θα εφαρμόζεται πλήρως από τις 17 Ιανουαρίου 2025.

Στόχος του είναι να καθορίσει ενιαία πρότυπα και απαιτήσεις, δημιουργώντας ένα ολοκληρωμένο πλαίσιο για τη διασφάλιση της ψηφιακής επιχειρηματικής ανθεκτικότητας για τις χρηματοοικονομικές οντότητες που εμπίπτουν στο πεδίο εφαρμογής του.

Η κύρια έμφαση του DORA είναι στη διατήρηση των ψηφιακών επιχειρηματικών δραστηριοτήτων και των σχετικών διαδικασιών και υπηρεσιών, σε περίπτωση ενός περιστατικού που σχετίζεται με την Τεχνολογία Πληροφοριών και Επικοινωνιών (ICT), εάν μια μόνιμη αποτυχία αυτών θα μπορούσε να οδηγήσει στην αστάθεια ολόκληρου του ευρωπαϊκού χρηματοπιστωτικού συστήματος.

Ο ομιλητής εξήγησε ότι η ψηφιακή επιχειρηματική ανθεκτικότητα ορίζεται ως η ικανότητα μιας χρηματοοικονομικής οντότητας να διασφαλίσει και να ανασκοπήσει την επιχειρηματική της ακεραιότητα και αξιοπιστία, εξασφαλίζοντας, είτε άμεσα είτε έμμεσα μέσω των υπηρεσιών τρίτων παρόχων ICT, όλο το φάσμα των δυνατοτήτων που απαιτούνται για την ασφάλεια των δικτύων και των πληροφοριακών συστημάτων που χρησιμοποιεί, υποστηρίζοντας την απρόσκοπτη παροχή χρηματοοικονομικών υπηρεσιών και την ποιότητά τους, ακόμα και σε περιόδους αναταραχής.

Ο DORA επηρεάζει πάνω από 15 διαφορετικούς τύπους χρηματοοικονομικών φορέων και τρίτους παρόχους υπηρεσιών ICT, σύμφωνα με το Άρθρο 2 του κανονισμού. Όπως ανέφερε ο ομιλητής, το πλαίσιο του DORA περιλαμβάνει πέντε βασικές συνιστώσες:

• Διαχείριση κινδύνου ICT (Κεφάλαιο 2)
• Περιστατικά που σχετίζονται με ICT (Κεφάλαιο 3)
• Δοκιμές ψηφιακής επιχειρηματικής ανθεκτικότητας (Κεφάλαιο 4)
• Διαχείριση κινδύνου τρίτων παρόχων ICT (Κεφάλαιο 5)
• Διαρθρώσεις για την ανταλλαγή πληροφοριών (Κεφάλαιο 6)

Ο Αντρέας Ποταμάρης εξήγησε επίσης τι αλλάζει όσον αφορά τη διαχείριση του κινδύνου των τρίτων παρόχων ICT για τις χρηματοοικονομικές οντότητες. Ειδικότερα, σημείωσε ότι οι χρηματοοικονομικές οντότητες θα πρέπει να ακολουθούν στρατηγικές που να περιλαμβάνουν την υιοθέτηση πολυπωλητειακής στρατηγικής, λαμβάνοντας υπόψη και πολιτικές χρήσης των υπηρεσιών ICT που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες από τρίτους παρόχους.

Επιπλέον, οι εταιρείες πρέπει να ενσωματώσουν συγκεκριμένες συμβατικές ρήτρες στις συμφωνίες τους με τους παρόχους ICT, περιλαμβάνοντας ρήτρες καταγγελίας και προσαρμογή στην υποστήριξη σε περίπτωση περιστατικών ICT.

Η εκτίμηση κινδύνου και η εκπόνηση στρατηγικών εξόδου θα πρέπει επίσης να είναι σημαντικά μέρη της στρατηγικής, με τις χρηματοοικονομικές οντότητες να εξετάζουν τους κινδύνους συγκέντρωσης ICT και την αντικαταστασιμότητα των παρόχων.

Επισήμανε, τέλος, ότι η αποτελεσματική διαχείριση του κινδύνου ICT τρίτων και η εξασφάλιση της επιχειρηματικής ανθεκτικότητας είναι καθοριστικής σημασίας για τη μακροπρόθεσμη σταθερότητα των χρηματοοικονομικών οντοτήτων και για την προστασία τους απέναντι σε πιθανά περιστατικά ICT.