DORA: Ο κανονισμός που έρχεται να θωρακίσει τράπεζες, fintech και επενδυτικές από κυβερνοαπειλές

Στη συμμόρφωσή τους με τον κανονισμό DORA (Digital Operational Resilience Act) θα πρέπει να προχωρήσουν τα χρηματοπιστωτικά ιδρύματα, ανάμεσά τους τράπεζες, fintech, επενδυτικές εταιρείες και πάροχοι κρυπτοστοιχείων, έως τις 17 Ιανουαρίου 2025, οπόταν και σύμφωνα με το χρονοδιάγραμμα της Ε.Ε., ο εν λόγω κανονισμός θα τεθεί σε εφαρμογή.

Πρόκειται για κανονισμό ο οποίος αφορά την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) της Ε.Ε., με στόχο την αντιμετώπιση των κινδύνων των κυβερνοεπιθέσεων που αυξάνονται διαρκώς.

Αποτελεί την πιο φιλόδοξη πρωτοβουλία της Ε.Ε. μέχρι σήμερα για τη διασφάλιση της ασφάλειας και ανθεκτικότητας ολόκληρου του ευρωπαϊκού χρηματοπιστωτικού τομέα σε συνθήκες ραγδαίου ψηφιακού μετασχηματισμού.

Ουσιαστικά, οι νέοι κανόνες θα διαμορφώσουν ένα πολύ ισχυρό πλαίσιο που θωρακίζει την ασφάλεια των ΤΠΕ (τεχνολογίες πληροφορικής και επικοινωνίας) του χρηματοπιστωτικού τομέα, διασφαλίζοντας την ανθεκτικότητά του κατά τη διάρκεια σοβαρών επιχειρησιακών διαταραχών.

Ο κανονισμός προβλέπει ότι όλες οι χρηματοοικονομικές οντότητες θα πρέπει να ακολουθούν την ίδια προσέγγιση και ίδιους κανόνες βάσει αρχών κατά την αντιμετώπιση των κινδύνων τεχνολογίας και πληροφοριών λαμβάνοντας υπόψη το μέγεθός τους, το συνολικό προφίλ κινδύνου τους, καθώς και τη φύση, την κλίμακα και την πολυπλοκότητα των υπηρεσιών, των δραστηριοτήτων και των λειτουργιών τους.

Αναλυτικότερα, ο κανονισμός DORA καθορίζει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των εταιρειών και οργανισμών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, καθώς και των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ, όπως πλατφόρμες υπολογιστικού νέφους (cloud) ή υπηρεσίες ανάλυσης δεδομένων.

Πεδίο εφαρμογής

Το πεδίο εφαρμογής του κανονισμού είναι το εξής: Πιστωτικά και χρηματοοικονομικά ιδρύματα, ασφαλιστικές εταιρείες, πάροχοι υπηρεσιών κρυπτοστοιχείων, τόποι διαπραγμάτευσης και αποθετήρια, επιχειρήσεις επενδύσεων, διαχειριστές οργανισμών εναλλακτικών επενδύσεων, εταιρείες διαχείρισης, οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας, πάροχοι υπηρεσιών αναφοράς δεδομένων, πάροχοι υπηρεσιών crowdfunding, τρίτοι πάροχοι υπηρεσιών.

Σημειώνεται ότι οι ελεγκτικές εταιρείες δεν θα υπόκεινται στην πράξη DORA, αλλά θα συμπεριληφθούν σε μελλοντική αναθεώρηση του κανονισμού κατά την οποία ίσως να διερευνηθεί το ενδεχόμενο αναθεώρησης των κανόνων.

Επιπρόσθετα, θα απαιτηθεί από τους κρίσιμους παρόχους υπηρεσιών ΤΠΕ που εδρεύουν σε τρίτες χώρες και παρέχουν σχετικές υπηρεσίες σε χρηματοπιστωτικές οντότητες στην Ε.Ε. να ιδρύσουν θυγατρική εντός της Ε.Ε., προκειμένου να διασφαλίζεται η δέουσα άσκηση της εποπτείας.

Οι πέντε πυλώνες

Οι απαιτήσεις του κανονισμού αναλύονται και κατηγοριοποιούνται σε πέντε βασικούς πυλώνες, παρέχοντας στις επηρεαζόμενες επιχειρήσεις έναν αναλυτικό οδηγό για την επίτευξη της ψηφιακής τους ανθεκτικότητας.

'Ετσι, ο κανονισμός προβλέπει για τις πιο πάνω οντότητες, υποχρεώσεις που σχετίζονται με:

• Τη διαχείριση κίνδυνων των ΤΠΕ (ICT Risk Management)
  
  Αυτός ο πυλώνας του DORA απαιτεί από τις επιχειρήσεις να επικαιροποιήσουν τη διακυβέρνηση της διαχείρισης τεχνολογικού κινδύνου. Η αναθεωρημένη προσέγγιση απαιτεί από τις επιχειρήσεις να προσδιορίζουν τις κρίσιμες επιχειρηματικές λειτουργίες, τους εξαρτώμενους κινδύνους και τα περιουσιακά στοιχεία των TSP (Technology and Data Service Providers) που τις διαχειρίζονται.
  
• Την αναφορά συμβάντων που σχετίζονται με ΤΠΕ (Incident Management, Classification, and Reporting)
  
  Ο πυλώνας αυτός διασφαλίζει ότι οι συμμετέχοντες στις χρηματοπιστωτικές αγορές και οι πάροχοι υποδομών διαθέτουν αποτελεσματικά συστήματα εντοπισμού και διαχείρισης συμβάντων για την ενημέρωση των ρυθμιστικών αρχών σχετικά με σημαντικές λειτουργικές διαταραχές.
  
• Τις ψηφιακές δοκιμές επιχειρησιακής ανθεκτικότητας (Resiliency Testing)
  
  Οι εταιρείες πρέπει να αναλαμβάνουν εκτεταμένες δοκιμές/προσομοιώσεις σεναρίων που εστιάζουν σε τεχνικές δοκιμές και περιλαμβάνουν ένα ευρύ φάσμα διαδικασιών, αξιολογήσεων και δοκιμών.
  
• Την ανταλλαγή στοιχείων και πληροφοριών σε σχέση με απειλές και ευπάθειες στον κυβερνοχώρο (Information Sharing)
  
  Ενίσχυση της ανθεκτικότητας των χρηματοπιστωτικών ιδρυμάτων με την ανταλλαγή πληροφοριών σχετικά με τις απειλές στον κυβερνοχώρο, όπως ενδείξεις παραβίασης, τακτικές, τεχνικές και διαδικασίες και προειδοποιήσεις για την ασφάλεια στον κυβερνοχώρο.
  
• Τη διαχείριση κινδύνων τρίτων στις ΤΠΕ (Third-party Risk Management)
  
  Οι πιθανοί κίνδυνοι από τρίτους πρέπει να παρακολουθούνται από τα χρηματοπιστωτικά ιδρύματα και οι κανονιστικές απαιτήσεις καλύπτουν τις πτυχές της σχέσης με τρίτους που είναι ζωτικής σημασίας για την ενδελεχή παρακολούθηση.
  

Χρονοδιάγραμμα και ιστορικό

Η Ε.Ε. υπέβαλε την πρόταση DORA στις 24 Σεπτεμβρίου 2020.

Αποτελεί μέρος της ευρύτερης δέσμης μέτρων για τον ψηφιακό χρηματοοικονομικό τομέα, η οποία αποσκοπεί στη διαμόρφωση μιας ευρωπαϊκής προσέγγισης που προωθεί την τεχνολογική ανάπτυξη και διασφαλίζει τη χρηματοπιστωτική σταθερότητα και την προστασία των καταναλωτών.

Η δέσμη αυτή καλύπτει ένα κενό στην υφιστάμενη νομοθεσία της Ε.Ε., διασφαλίζοντας ότι το ισχύον νομικό πλαίσιο δεν θέτει εμπόδια στη χρήση νέων ψηφιακών χρηματοοικονομικών μέσων και, ταυτόχρονα, διασφαλίζει ότι οι εν λόγω νέες τεχνολογίες και προϊόντα εμπίπτουν στο πεδίο εφαρμογής του χρηματοπιστωτικού κανονιστικού πλαισίου και των ρυθμίσεων διαχείρισης λειτουργικού κινδύνου των επιχειρήσεων που δραστηριοποιούνται στην Ε.Ε.

Ως εκ τούτου, η δέσμη μέτρων αποσκοπεί στη στήριξη της καινοτομίας και της υιοθέτησης νέων χρηματοοικονομικών τεχνολογιών, παρέχοντας παράλληλα κατάλληλο επίπεδο προστασίας σε καταναλωτές και επενδυτές.

Ο κανονισμός τέθηκε σε ισχύ στις 27 Δεκεμβρίου 2022 και θα εφαρμόζεται από τις 17 Ιανουαρίου 2025.