Ο δρόμος προς την ψηφιακή ανθεκτικότητα...Πού βρίσκεται η Κύπρος σε σχέση με τον κανονισμό DORA

Τον δρόμο προς την συμμόρφωση με τον κανονισμό DORA (Digital Operational Resilience Act) έχουν πάρει οι οντότητες που εμπίπτουν, μεταξύ τους τράπεζες, ασφαλιστικές, fintech και επενδυτικές εταιρείες καθώς οφείλουν να είναι εντός τους χρονοδιαγράμματος που έθεσε η Ε.Ε., δηλαδή έως τις 17 Ιανουαρίου 2025.

Υπενθυμίζεται ότι ο κανονισμός αφορά στη ψηφιακή επιχειρησιακή ανθεκτικότητα της Ε.Ε., με στόχο την αντιμετώπιση των κινδύνων των κυβερνοεπιθέσεων που αυξάνονται διαρκώς.

Μιλώντας στο InBusinessNews, ο CEO του Ομίλου MAP S.Platis, Δημήτρης Ταξιτάρης, ανέφερε ότι οι εποπτικές αρχές (μεταξύ τους η Επιτροπή Κεφαλαιαγοράς Κύπρου και η Κεντρική Τράπεζα της Κύπρου) όσον αφορά τα θέματα ICT είναι «θορυβημένες» εδώ και κάποια χρόνια, παρακολουθούν την κατάσταση και εξέδωσαν κάποιες εγκυκλίους προς τους εποπτευόμενους για να ξεκινήσουν την προσαρμογή.

«Ξεκίνησε ήδη μια προσαρμογή λόγω πίεσης από τους regulators, ειδικότερα για εποπτευόμενους της ΕΚΚ και της ΚΤΚ», υπέδειξε συγκεκριμένα.

Την ίδια ώρα, ο κ. Ταξιτάρης τόνισε ότι οι εταιρείες στην Κύπρο μελετούν και προχωρούν προς την συμμόρφωση με τον κανονισμό, αναφέροντας ότι η διαδικασία θωράκισης από κυβερνοεπιθέσεις είχε ξεκινήσει από πριν, ανεξαρτήτως DORA.

«Δεν έχουν συμμορφωθεί στο 100% αλλά είναι σε καλό δρόμο, ξεκίνησε η διαδικασία και βλέπουν τι χρειάζεται διόρθωση ή προσαρμογή. Ο τομέας είναι πολύ δυναμικός, οι υπηρεσίες κυβερνοασφάλειας είναι σε αυξημένη ζήτηση, και όλοι είναι σε ετοιμότητα. Εκτός από την πίεση από τους regulators, οι επιχειρήσεις προχωρούν ήδη και με δικές τους πρωτοβουλίες», υπογράμμισε, ανάμεσα σε άλλα.

Εξάλλου, όπως είπε ο κ. Ταξιτάρης, υπάρχει ήδη μια υποδομή στην οποία κτίζουν συνεχώς πάνω σε αυτή, καθώς υπάρχουν συνεχώς εξελίξεις.

«Οι κίνδυνοι δεν είναι σταθεροί αλλά μεταβάλλονται συνεχώς, υποχρεώνοντας έτσι και τις επιχειρήσεις να παρακολουθούν και να μεταβάλλουν τις άμυνές τους και τα μέτρα που λαμβάνουν σε συνεχή βάση», πρόσθεσε.

Περαιτέρω, ο κ. Ταξιτάρης επεσήμανε ότι, αντλώντας από τα διδάγματα ενός παρόμοιου κανονισμού που αφορά προστασία δεδομένων και εισήχθη πριν μερικά χρόνια, του GDPR, η συμμόρφωση με τις κανονιστικές απαιτήσεις έχει από τη μια πλευρά κανονιστική πτυχή που καθιερώνεται με πολιτικές και διαδικασίες.

«Την ίδια στιγμή, στόχοι του κανονισμού είναι η πραγματική προστασία και η ανθεκτικότητα, που περνούν μέσα από συγκεκριμένους μηχανισμούς όπως είναι για παράδειγμα οι εκτιμήσεις κινδύνων, οι δοκιμές αντοχής, η συνεχής παρακολούθηση και οι τρόποι και διαδικασίες αντίδρασης και αντιμετώπισης συγεκριμένων περιστατικών», κατέληξε.

Ο κανονισμός DORA, η σημασία και η εφαρμογή

Για τη σημασία της ψηφιακής ανθεκτικότητας έναντι των κυβερνοεπιθέσεων μίλησε στο InBusienssNews ο CEO της Reg4Tech, Δήμος Δήμου.

Συγκεκριμένα, ο DORA αποσκοπεί στην αποτελεσματική και ολοκληρωμένη διαχείριση των ψηφιακών κινδύνων στον χρηματοπιστωτικό κλάδο για την αντιμετώπιση της διαρκώς αυξανόμενης έκθεσης σε κινδύνους ICT και απειλές στον κυβερνοχώρο ως αποτέλεσμα της αυξανόμενης εξάρτησης από την τεχνολογία.

«Ο DORA μετατοπίζει το επίκεντρο από την οικονομική ευρωστία των χρηματοπιστωτικών ιδρυμάτων στη διασφάλιση ότι μπορούν επίσης να διατηρήσουν ανθεκτικές λειτουργίες στον κυβερνοχώρο», ανέφερε ο κ. Δήμου.

Οι απαιτήσεις του κανονισμού αναλύονται και κατηγοριοποιούνται σε πέντε βασικούς πυλώνες, παρέχοντας στις επηρεαζόμενες επιχειρήσεις έναν αναλυτικό οδηγό για την επίτευξη της ψηφιακής τους ανθεκτικότητας.

Συγκεκριμένα:

1) Τη διαχείριση κίνδυνων των ΤΠΕ (ICT Risk Management).

2) Την αναφορά συμβάντων που σχετίζονται με ΤΠΕ (Incident Management, Classification, and Reporting).

3) Τις ψηφιακές δοκιμές επιχειρησιακής ανθεκτικότητας (Resiliency Testing).

4) Την ανταλλαγή στοιχείων και πληροφοριών σε σχέση με απειλές και ευπάθειες στον κυβερνοχώρο (Information Sharing).

5) Τη διαχείριση κινδύνων τρίτων στις ΤΠΕ (Third-party Risk Management).

Αξίζει να σημειωθεί ότι ο DORA αποτελεί την πιο φιλόδοξη πρωτοβουλία της Ε.Ε. μέχρι σήμερα για τη διασφάλιση της ασφάλειας και ανθεκτικότητας ολόκληρου του ευρωπαϊκού χρηματοπιστωτικού τομέα σε συνθήκες ραγδαίου ψηφιακού μετασχηματισμού.

Το πεδίο εφαρμογής του κανονισμού είναι το εξής: Πιστωτικά και χρηματοοικονομικά ιδρύματα, ασφαλιστικές εταιρείες, πάροχοι υπηρεσιών κρυπτοστοιχείων, τόποι διαπραγμάτευσης και αποθετήρια, επιχειρήσεις επενδύσεων, διαχειριστές οργανισμών εναλλακτικών επενδύσεων, εταιρείες διαχείρισης, οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας, πάροχοι υπηρεσιών αναφοράς δεδομένων, πάροχοι υπηρεσιών crowdfunding, τρίτοι πάροχοι υπηρεσιών.

Σημειώνεται ότι οι ελεγκτικές εταιρείες δεν θα υπόκεινται στην πράξη DORA, αλλά θα συμπεριληφθούν σε μελλοντική αναθεώρηση του κανονισμού κατά την οποία ίσως να διερευνηθεί το ενδεχόμενο αναθεώρησης των κανόνων.

Επιπρόσθετα, θα απαιτηθεί από τους κρίσιμους παρόχους υπηρεσιών ΤΠΕ που εδρεύουν σε τρίτες χώρες και παρέχουν σχετικές υπηρεσίες σε χρηματοπιστωτικές οντότητες στην Ε.Ε. να ιδρύσουν θυγατρική εντός της Ε.Ε., προκειμένου να διασφαλίζεται η δέουσα άσκηση της εποπτείας.