Ανδρέας Παπαέτης: Ο DORA ως θεμέλιο ψηφιακής ανθεκτικότητας στον χρηματοπιστωτικό τομέα

Η Ευρωπαϊκή Ένωση έχει θέσει ως σκοπό την προστασία των επιχειρήσεων και των καταναλωτών από απρόβλεπτες ψηφιακές κρίσεις.

Ο Κανονισμός Ψηφιακής Λειτουργικής Ανθεκτικότητας (DORA) αποτελεί σημαντικό εργαλείο για τη διασφάλιση της συνεχιζόμενης λειτουργίας των οργανισμών σε δύσκολες καταστάσεις.

Η συμμόρφωση με τους πυλώνες του DORA, όπως η διαχείριση κινδύνων και η ασφάλεια των πληροφοριών, είναι απαραίτητη για τη διατήρηση της αξιοπιστίας και της βιωσιμότητας των επιχειρήσεων στο σύγχρονο, ψηφιακό περιβάλλον.

Στο πλαίσιο του 11ου International Compliance Forum που παρουσίασε η ECOMMBX, ο Ανδρέας Παπαέτης Senior Policy Expert, European Banking Authority (EBA) με επίκεντρο θέματα που σχετίζονται με την επιχειρησιακή ανθεκτικότητα μίλησε για τις προκλήσεις από την εφαρμογή του DORA και την επόμενη μέρα.

Ο κ.Παπαέτης παρουσίασε το πλαίσιο του κανονισμού DORA ως την απάντηση της Ευρωπαϊκής Ένωσης στην αυξανόμενη εξάρτηση του χρηματοπιστωτικού τομέα από τις υπηρεσίες τεχνολογίας πληροφορικής και επικοινωνιών (ICT), αλλά και την ανάδυση απειλών όπως οι επιθέσεις ransomware και τα κατανεμημένα denial-of-service (DDoS).

Τα περιστατικά αυτά, που πολλές φορές εκκινούν από αδυναμίες τρίτων παρόχων τεχνολογικών υπηρεσιών, αποκάλυψαν ένα κενό στην υφιστάμενη ρυθμιστική κάλυψη. Ο DORA εισάγει για πρώτη φορά μια συνεκτική, πανευρωπαϊκή νομοθετική προσέγγιση, ειδικά σχεδιασμένη για να ενισχύσει την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα.

Εκκινώντας το 2019 με τεχνικές εισηγήσεις των ευρωπαϊκών εποπτικών αρχών (ESAs), ο κανονισμός τέθηκε επίσημα σε ισχύ τον Ιανουάριο του 2023, με ημερομηνία εφαρμογής τον Ιανουάριο του 2025. Το όραμα είναι ξεκάθαρο: ενοποίηση και αναβάθμιση των απαιτήσεων διαχείρισης κινδύνων ICT σε όλο το χρηματοπιστωτικό φάσμα της ΕΕ, εξορθολογισμός των υποχρεώσεων συμμόρφωσης, και θωράκιση των φορέων απέναντι σε κάθε είδους ψηφιακή διαταραχή.

Η προσέγγιση του DORA βασίζεται σε πέντε θεμελιώδεις πυλώνες: εναρμονισμένη διαχείριση κινδύνων ICT, διαχείριση και αναφορά ψηφιακών περιστατικών, δοκιμές επιχειρησιακής ανθεκτικότητας, εποπτεία κινδύνων από τρίτους παρόχους ICT και, τέλος, ανταλλαγή πληροφοριών για τις απειλές στον κυβερνοχώρο.

Η εφαρμογή αυτών των μέτρων δεν είναι οριζόντια, αλλά βασίζεται στην αρχή της αναλογικότητας: κάθε οντότητα εφαρμόζει τις απαιτήσεις ανάλογα με το μέγεθος, τη φύση και τον κίνδυνο που ενέχει η λειτουργία της.

Ιδιαίτερο ενδιαφέρον παρουσιάζει το νέο πλαίσιο εποπτείας για τους κρίσιμους τρίτους παρόχους ICT (CTPPs). Η εποπτεία αυτή θα ασκείται από τις τρεις ευρωπαϊκές εποπτικές αρχές (EBA, EIOPA, ESMA), με στόχο την αξιολόγηση της ικανότητας αυτών των παρόχων να διαχειρίζονται κινδύνους που επηρεάζουν τη σταθερότητα των χρηματοπιστωτικών οργανισμών.

Δεν πρόκειται για αντικατάσταση της εθνικής εποπτείας, αλλά για συμπληρωματική υποστήριξη με έμφαση στη διαφάνεια και τη συστηματική παρακολούθηση.

Κατά τον κ.Παπαέτη η συμμόρφωση με τον DORA δεν είναι απλώς ρυθμιστική υποχρέωση, αλλά αναγκαία προϋπόθεση για τη διατήρηση της εμπιστοσύνης στην αγορά. Το κόστος μη συμμόρφωσης –σε επίπεδο οικονομικό, φήμης αλλά και σταθερότητας– ενδέχεται να είναι πολλαπλάσιο του κόστους υιοθέτησης ενός συνεκτικού πλαισίου διαχείρισης ICT κινδύνων.

Επιπλέον, η δυνατότητα κοινής και συγκρίσιμης αναφοράς περιστατικών, όπως και η θεσμοθέτηση προηγμένων δοκιμών ανθεκτικότητας, θα ενισχύσει τη συνολική προετοιμασία του ευρωπαϊκού χρηματοπιστωτικού τομέα απέναντι στις μελλοντικές ψηφιακές κρίσεις.

Καθώς απομένουν μόλις λίγοι μήνες μέχρι την έναρξη εφαρμογής του κανονισμού, οι επιχειρήσεις καλούνται να εντείνουν τις προετοιμασίες τους, επενδύοντας όχι μόνο σε τεχνολογίες και συμβάσεις με αξιόπιστους παρόχους, αλλά και σε μια κουλτούρα ψηφιακής ανθεκτικότητας που διαπερνά ολόκληρη την οργανωτική τους δομή.

Η υιοθέτηση του DORA μπορεί τελικά να αποτελέσει ανταγωνιστικό πλεονέκτημα για εκείνες τις επιχειρήσεις που θα κινηθούν στρατηγικά στο νέο ψηφιακό τοπίο, ήταν ένα από τα σαφή μηνύματα που έστειλε στο επιχειρείν ο ειδικός.