Ανδρέας Παπαέτης: Ο DORA ως θεμέλιο ψηφιακής ανθεκτικότητας στον χρηματοπιστωτικό τομέα

Η Ευρωπαϊκή Ένωση έχει θέσει ως σκοπό την προστασία των επιχειρήσεων και των καταναλωτών από απρόβλεπτες ψηφιακές κρίσεις.

Ο Κανονισμός Ψηφιακής Λειτουργικής Ανθεκτικότητας (DORA) αποτελεί σημαντικό εργαλείο για τη διασφάλιση της συνεχιζόμενης λειτουργίας των οργανισμών σε δύσκολες καταστάσεις.

Η συμμόρφωση με τους πυλώνες του DORA, όπως η διαχείριση κινδύνων και η ασφάλεια των πληροφοριών, είναι απαραίτητη για τη διατήρηση της αξιοπιστίας και της βιωσιμότητας των επιχειρήσεων στο σύγχρονο, ψηφιακό περιβάλλον.

Στο πλαίσιο του 11ου International Compliance Forum που παρουσίασε η ECOMMBX, ο Ανδρέας Παπαέτης (Senior Policy Expert at the European Banking Authority (EBA)) με επίκεντρο θέματα που σχετίζονται με την επιχειρησιακή ανθεκτικότητα μίλησε για τους κύριους στόχους από την εφαρμογή του DORA και την επόμενη μέρα.

Ο κ.Παπαέτης παρουσίασε το πλαίσιο του κανονισμού DORA ως την απάντηση της Ευρωπαϊκής Ένωσης στην αυξανόμενη εξάρτηση του χρηματοπιστωτικού τομέα από τις υπηρεσίες τεχνολογίας πληροφορικής και επικοινωνιών (ICT), αλλά και την αυξημένη ανάδυση κυβερνοεπιθέσεων όπως οι επιθέσεις ransomware και τα κατανεμημένα denial-of-service (DDoS).

Τα συμβάντα αυτά, που πολλές φορές στοχεύουν τρίτους παρόχους τεχνολογικών υπηρεσιών, έχουν άμεσο αντίκτυπο στις λειτουργίες των χρηματοοικονομικών οργανισμών. Ο DORA εισάγει για πρώτη φορά μια συνεκτική, πανευρωπαϊκή νομοθετική προσέγγιση, ειδικά σχεδιασμένη για να ενισχύσει την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα.

Εκκινώντας το 2019 με τεχνικές εισηγήσεις των ευρωπαϊκών εποπτικών αρχών (ESAs), ο κανονισμός τέθηκε επίσημα σε ισχύ τον Ιανουάριο του 2023, με ημερομηνία εφαρμογής τον Ιανουάριο του 2025. Το όραμα είναι ξεκάθαρο: ενοποίηση και αναβάθμιση των απαιτήσεων διαχείρισης κινδύνων ICT σε όλο το χρηματοπιστωτικό φάσμα της ΕΕ, εξορθολογισμός των υποχρεώσεων συμμόρφωσης, και θωράκιση των φορέων απέναντι σε κάθε είδους ψηφιακή διαταραχή.

Η προσέγγιση του DORA βασίζεται σε πέντε θεμελιώδεις πυλώνες: εναρμονισμένη διαχείριση κινδύνων ICT, διαχείριση και αναφορά ψηφιακών συμβάντων, δοκιμές επιχειρησιακής ανθεκτικότητας, εποπτεία κινδύνων από τρίτους παρόχους ICT και, τέλος, ανταλλαγή πληροφοριών για τις απειλές στον κυβερνοχώρο.

Η εφαρμογή αυτών των μέτρων δεν είναι οριζόντια, αλλά βασίζεται στην αρχή της αναλογικότητας: κάθε οντότητα εφαρμόζει τις απαιτήσεις ανάλογα με το μέγεθος, τη φύση και τον κίνδυνο που ενέχει η λειτουργία της.

Ιδιαίτερο ενδιαφέρον παρουσιάζει το νέο πλαίσιο εποπτείας για τους κρίσιμους τρίτους παρόχους υπηρεσιών ICT (CTPPs). Η εποπτεία αυτή θα ασκείται από τις τρεις ευρωπαϊκές εποπτικές αρχές (EBA, EIOPA, ESMA), με στόχο την αξιολόγηση της ικανότητας αυτών των παρόχων να διαχειρίζονται ICT κινδύνους που πιθανόν να επηρεάσουν τη σταθερότητα των χρηματοοικονομικών οργανισμών.

Δεν πρόκειται για αντικατάσταση της εθνικής εποπτείας, αλλά για συμπληρωματική υποστήριξη με έμφαση στη διαφάνεια και τη συστηματική παρακολούθηση.

Κατά τον κ.Παπαέτη η συμμόρφωση με τον DORA δεν είναι απλώς ρυθμιστική υποχρέωση, αλλά αναγκαία προϋπόθεση για τη διατήρηση της εμπιστοσύνης στην αγορά. Το κόστος μη συμμόρφωσης –σε επίπεδο οικονομικό, φήμης αλλά και σταθερότητας– ενδέχεται να είναι πολλαπλάσιο του κόστους υιοθέτησης ενός συνεκτικού πλαισίου διαχείρισης ICT κινδύνων.

Επιπλέον, η δυνατότητα κοινής και συγκρίσιμης αναφοράς συμβάντων, καθώς και η θεσμοθέτηση δοκιμών ανθεκτικότητας, θα ενισχύσει τη συνολική προετοιμασία του ευρωπαϊκού χρηματοοικονομικού τομέα απέναντι στις μελλοντικές ψηφιακές κρίσεις.

Λίγους μήνες μετά την έναρξη εφαρμογής του κανονισμού, οι χρηματοοικονομικοί οργανισμοί καλούνται να διασφαλίσουν την αποτελεσματική τους συμμόρφωση, επενδύοντας παράλληλα όχι μόνο σε τεχνολογίες και συμβάσεις με αξιόπιστους παρόχους, αλλά και σε μια κουλτούρα ψηφιακής ανθεκτικότητας που θα ενσωματώσει την ανθεκτικότητα στο πλαίσιο διακυβέρνησης και διαχείρισης κινδύνων και στις καθημερινές τους λειτουργίες.

Η ολοκληρωμένη και αποτελεσματική υιοθέτηση του DORA μπορεί επίσης να αποτελέσει ανταγωνιστικό πλεονέκτημα για τους οργανισμούς που θα κινηθούν στρατηγικά στο νέο ψηφιακό τοπίο, ήταν ένα από τα σαφή μηνύματα που έστειλε στο επιχειρείν ο ειδικός.