في 11 مايو 2022، توصل الاتحاد الأوروبي (EU) إلى اتفاق مؤقت بشأن قانون مرونة العمليات الرقمية (DORA) الجديد. على الرغم من الصياغة، لا يوجد شيء "مؤقت" بشأن DORA. في الواقع، فإن واحدة من أكثر لوائح الأمن السيبراني بعيدة المدى في العالم للخدمات المالية وسلاسل التوريد الخاصة بها هي في الغالب صفقة محسومة.
وكل ما يتبقى قبل التبني الرسمي، المتوقع في وقت ما من شهر أكتوبر/تشرين الأول من هذا العام، يتضمن في المقام الأول حفنة من التغييرات الفنية والترجمة إلى اللغات الرسمية الأربع والعشرين للدول الأعضاء في الاتحاد الأوروبي.
تمثل DORA استجابة الاتحاد الأوروبي للعدد المتزايد باستمرار من الهجمات الإلكترونية ضد المؤسسات المالية. وهي مصممة لتعزيز أمن الشركات المالية في الاتحاد الأوروبي، مثل البنوك وشركات التأمين وشركات الاستثمار وغيرها، من خلال فرض متطلبات المرونة وتنظيم سلسلة التوريد. ولكن كما أشرت في آخر وقت سابقومع ذلك، فإن مبادئ DORA تمتد إلى ما هو أبعد من الاتحاد الأوروبي وقطاعه المالي.
لا تشمل متطلبات DORA الموحدة لأمن الشبكات وأنظمة المعلومات المؤسسات في القطاع المالي فحسب، بل تشمل أيضًا البائعين الخارجيين المهمين الذين يقدمون الخدمات المتعلقة بتكنولوجيا المعلومات والاتصالات للقطاع المالي، مثل المنصات السحابية وتحليلات البيانات.
في الواقع، يمتد نطاق DORA بشكل أساسي إلى أي مؤسسة تقدم خدمات تكنولوجيا المعلومات والاتصالات (ICT) التي تعتبر بالغة الأهمية لسلسلة التوريد التي تدعم القطاع المالي الأوروبي - بغض النظر عما إذا كانت تلك المؤسسة أو الخدمة موجودة داخل الاتحاد الأوروبي أم لا. في الواقع، في ظل قانون دورا، يعتبر تعقيد سلسلة التوريد أو عدم وجود الاتحاد الأوروبي من عوامل الخطر.
فرض وجهات نظر تنظيمية جديدة
تعتبر DORA فريدة من نوعها من حيث أنها توفر مستوى جديدًا ومختلفًا من التدقيق التنظيمي لمجموعة واسعة من المؤسسات العالمية. متطلبات دورا تفويض - وليس مجرد اقتراح - الامتثال لأحكامه. وبنفس القدر من الأهمية، يختلف تأثير هذا المستوى الجديد من التدقيق التنظيمي اعتمادًا على وجهة نظر المؤسسة.
وسيتعين الآن على المؤسسات المالية المعتادة على بيئة تنظيمية مصممة في المقام الأول لتقييم المخاطر المالية والاستقرار أن تتعامل مع المخاطر المحتملة التي تفرضها عملياتها في مجال تكنولوجيا المعلومات والاتصالات بنفس القدر من الجدية. لقد اعتادت المؤسسات المالية على معالجة المخاطر في شكل متطلبات رأس المال. تتبع DORA نهجًا مختلفًا من خلال فرض سلوك محدد ومتطلبات قائمة على الأداء. من وجهة نظر المؤسسات المالية، فإن ارتفاع المخاطر له عواقب على جوانب متعددة من أعمالها، مثل كيفية استهلاكها للتكنولوجيا وكيفية تحويل أعمالها من خلال الانتقال إلى تقنيات جديدة مثل الحوسبة السحابية. ويشمل ذلك الاستراتيجيات والقدرات الشاملة لإدارة المخاطر، وأمن سلسلة التوريد، والتوظيف التنظيمي والسياسات لضمان التقييم المناسب لمخاطر تكنولوجيا المعلومات والاتصالات والامتثال لها.
تقوم DORA أيضًا بتغيير المنظور التنظيمي لمنظمات تكنولوجيا المعلومات والاتصالات. حتى الآن، تم تنظيمها في المقام الأول على أساس القضايا المتعلقة بالبيانات، مثل خصوصية البيانات، والإخطار بخرق البيانات، بناءً على المخاوف المتعلقة بالبيانات الشخصية والأهداف السياسية مثل السيادة الرقمية. تتبادر إلى الأذهان قواعد رائدة، مثل اللائحة العامة لحماية البيانات (GDPR) في أوروبا، وقانون خصوصية المستهلك الأحدث في كاليفورنيا (CCPA) في الولايات المتحدة.
قد يكون لدى منظمات تكنولوجيا المعلومات والاتصالات أيضًا التزامات تنظيمية أخرى بشأن الأمن، أو تم تصنيفها على أنها بنية تحتية حيوية، اعتمادًا على مكان وجودها، كما هو الحال في إطار توجيه أمن الشبكات والمعلومات (NIS) في أوروبا قانون الأمن السيبراني 2018 في سنغافورة، أو التشريعات الخاصة بالقطاع للصناعات المتخصصة، مثل الاتصالات في الولايات المتحدة.
والآن، إذا كانت شركات تكنولوجيا المعلومات والاتصالات تخدم المؤسسات المالية في الاتحاد الأوروبي، فمن المرجح أن تخضع لقانون DORA أيضًا. لذلك، بالإضافة إلى أطرهم التنظيمية السابقة، فإن مقدمي خدمات تكنولوجيا المعلومات والاتصالات المعينين على أنهم يقدمون خدمة مهمة سيتم فجأة تنظيمهم بموجب DORA بطريقة تبدو وكأنها أصبحت اضافات المتصفح من المؤسسات المالية في الاتحاد الأوروبي التي يخدمونها. وبغض النظر عن الطريقة التي ينظر بها المرء إلى الأمر، فهو تغيير جذري - لكل من المؤسسات المالية ومقدمي تكنولوجيا المعلومات والاتصالات.
ولكن هذا ليس كل شيء. تغير DORA منظور المؤسسة التنظيمية في الاتحاد الأوروبي. ويجب على المنظمين الذين هم خبراء في امتثال المؤسسات المالية الآن توسيع نطاقهم ليشمل مقدمي تكنولوجيا المعلومات والاتصالات الذين يقدمون خدمات حيوية، مثل مقدمي الخدمات السحابية، وخدمات تحليل البيانات، وغيرها من الشركات غير المالية. وفي البلدان ذات الهياكل التنظيمية المعقدة، ستكون هناك حاجة أيضًا إلى التعاون مع الهيئات الأخرى المكلفة بتنظيم هذه الأنواع الإضافية من الصناعات غير المالية.
مواجهة التحديات
تطلب DORA من المؤسسات المالية في الاتحاد الأوروبي تقييم نضج الأمن السيبراني وإدارة المخاطر لديها. سيكون فهم وإدارة أداء مخاطر سلسلة التوريد الخاصة بهم أمرًا أساسيًا في هذا الجهد.
وبشكل عام، فإن المؤسسات المالية ماهرة في اختبارات التحمل لتحديد الأمن والاستقرار المالي. إنه تحدٍ مختلف أن يتم توسيع هذه الأنواع من الاختبارات لتشمل منظمات أخرى. لذا، بالنسبة للقطاع المالي في الاتحاد الأوروبي، فإن كيفية إدارة البائعين، وإدارة المخاطر، والقدرات التشغيلية في سلسلة توريد متزايدة التعقيد والممتدة تشكل اللغز الأكبر.
على سبيل المثال، قد يكون المقر الرئيسي لمؤسسة مالية في أوروبا ولكن يتم إسناد جميع أنشطة الدعم الخاصة بها إلى شركات مقرها في الهند. قد لا تكون خدمات الدعم هذه مؤسسات مالية من الناحية الفنية. لكن DORA ستطلب من المؤسسة المالية تقييم ما إذا كان البائع مهمًا لعملياتها وتطبيق متطلبات DORA ذات الصلة على تلك العلاقة.
بالنسبة للشركات التي لا يوجد مقرها في الاتحاد الأوروبي، فإن السؤال الرئيسي هو مسألة الاختصاص القضائي والوصول إلى الأسواق. ولا تتأثر المؤسسات المالية أو مقدمو خدمات تكنولوجيا المعلومات والاتصالات العاملون خارج الاتحاد الأوروبي. ولكن إذا كانت المؤسسة مؤسسة مالية أو مزود خدمات تكنولوجيا المعلومات والاتصالات الذي يخدم القطاع المالي في الاتحاد الأوروبي بأي شكل من الأشكال، فمن المرجح أن تخضع لقانون DORA - بشكل مباشر أو غير مباشر.
العد التنازلي حتى عام 2024
وما لم يتغير شيء ما في النص النهائي، فإن قانون DORA يدخل حيز التنفيذ بعد 24 شهرًا من اعتماده رسميًا. من الناحية الواقعية، من المحتمل أن يكون ذلك قريبًا من نهاية عام 2024. والخبر السار هو أن هذا يوفر الكثير من الوقت للمؤسسات للاستعداد للامتثال. والأهم من ذلك، أنه لم يمر وقت طويل حتى يتم إدراجها في دورة ميزانية المؤسسة النموذجية.
ولكن قبل أن يتسلل إليك هذا الموعد النهائي، ابدأ في الاستعداد الآن. فيما يلي خمس خطوات رئيسية:
- استخدم الوقت حتى عام 2024 بحكمة.
- فهم أين أنت. ابحث عن فجوات الامتثال لديك واعثر عليها وحددها.
- حدد ما تحتاجه لمعالجة فجواتك.
- تثقيف والحصول على موافقة من الإدارة العليا.
- الميزانية لمدة 24 شهرا.
الساعة تدق.
