11 মে, 2022-এ, ইউরোপীয় ইউনিয়ন (EU) নতুন ডিজিটাল অপারেশনাল রেজিলিয়েন্স অ্যাক্ট (DORA)-তে অস্থায়ী চুক্তিতে পৌঁছেছে। বাক্যাংশ সত্ত্বেও, DORA সম্পর্কে "অস্থায়ী" কিছুই নেই। প্রকৃতপক্ষে, আর্থিক পরিষেবা এবং তাদের সাপ্লাই চেইনের জন্য বিশ্বের সবচেয়ে সুদূরপ্রসারী সাইবারসিকিউরিটি রেগুলেশনগুলির মধ্যে একটি বেশিরভাগই একটি সম্পন্ন চুক্তি।
আনুষ্ঠানিক দত্তক নেওয়ার আগে যা অবশিষ্ট থাকে, এই অক্টোবরে প্রত্যাশিত, প্রাথমিকভাবে কিছু প্রযুক্তিগত পরিবর্তন এবং ইইউ সদস্য রাষ্ট্রগুলির 24টি অফিসিয়াল ভাষায় অনুবাদ জড়িত।
DORA আর্থিক প্রতিষ্ঠানের বিরুদ্ধে সাইবার আক্রমণের ক্রমবর্ধমান সংখ্যায় EU-এর প্রতিক্রিয়ার প্রতিনিধিত্ব করে। এটি ইইউ আর্থিক সংস্থাগুলির নিরাপত্তা জোরদার করার জন্য ডিজাইন করা হয়েছে, যেমন ব্যাঙ্ক, বীমা কোম্পানি, বিনিয়োগ সংস্থা এবং আরও অনেক কিছু, স্থিতিস্থাপকতার প্রয়োজনীয়তা আরোপ করে এবং সাপ্লাই চেইন নিয়ন্ত্রণ করে৷ কিন্তু, আমি একটি উল্লেখ হিসাবে আগে পোস্ট, DORA এর নীতিগুলি EU এবং এর আর্থিক খাতের বাইরেও প্রসারিত।
নেটওয়ার্ক এবং তথ্য ব্যবস্থার নিরাপত্তার জন্য DORA-এর অভিন্ন প্রয়োজনীয়তাগুলি শুধুমাত্র আর্থিক খাতের উদ্যোগকেই নয় বরং আর্থিক খাতে তথ্য ও যোগাযোগ প্রযুক্তি-সম্পর্কিত পরিষেবা প্রদান করে, যেমন ক্লাউড প্ল্যাটফর্ম এবং ডেটা অ্যানালিটিক্সের জন্য গুরুত্বপূর্ণ তৃতীয়-পক্ষ বিক্রেতাদের অন্তর্ভুক্ত করে।
প্রকৃতপক্ষে, DORA-এর নাগাল মূলত তথ্য ও যোগাযোগ প্রযুক্তি (ICT) পরিষেবাগুলি অফার করে এমন কোনও এন্টারপ্রাইজের মধ্যে প্রসারিত যা ইউরোপীয় আর্থিক খাতকে সমর্থনকারী সাপ্লাই চেইনের জন্য গুরুত্বপূর্ণ বলে বিবেচিত হয় — সেই এন্টারপ্রাইজ বা পরিষেবাটি EU-এর অভ্যন্তরে ভিত্তিক হোক বা না হোক। প্রকৃতপক্ষে, DORA-এর অধীনে, সরবরাহ শৃঙ্খলের জটিলতা বা EU উপস্থিতির অভাব উভয়ই ঝুঁকির কারণ হিসেবে বিবেচিত হয়।
নতুন নিয়ন্ত্রক দৃষ্টিভঙ্গি বাধ্যতামূলক করা
DORA অনন্য যে এটি বিভিন্ন বৈশ্বিক উদ্যোগের জন্য একটি নতুন এবং ভিন্ন স্তরের নিয়ন্ত্রক যাচাই-বাছাই করে। DORA এর প্রয়োজনীয়তা হুকুম - শুধুমাত্র সুপারিশ নয় - এর বিধানগুলির সাথে সম্মতি। ঠিক যেমন গুরুত্বপূর্ণ, নিয়ন্ত্রক যাচাইয়ের এই নতুন স্তরের প্রভাব এন্টারপ্রাইজের দৃষ্টিভঙ্গির উপর নির্ভর করে আলাদা।
আর্থিক ঝুঁকি এবং স্থিতিশীলতা মূল্যায়ন করার জন্য প্রাথমিকভাবে ডিজাইন করা একটি নিয়ন্ত্রক পরিবেশে অভ্যস্ত আর্থিক প্রতিষ্ঠানগুলিকে এখন তাদের আইসিটি ক্রিয়াকলাপগুলির দ্বারা সৃষ্ট সম্ভাব্য ঝুঁকিগুলিকে ততটাই গুরুত্ব সহকারে নিতে হবে। আর্থিক প্রতিষ্ঠানগুলি মূলধনের প্রয়োজনীয়তার আকারে ঝুঁকি মোকাবেলা করতে অভ্যস্ত। DORA নির্দিষ্ট আচরণ এবং কর্মক্ষমতা-ভিত্তিক প্রয়োজনীয়তা বাধ্যতামূলক করে একটি ভিন্ন পদ্ধতি গ্রহণ করে। আর্থিক প্রতিষ্ঠানের দৃষ্টিকোণ থেকে, ঝুঁকির এই উচ্চতা তাদের ব্যবসার একাধিক দিক জুড়ে পরিণতি রয়েছে, যেমন তারা কীভাবে প্রযুক্তি ব্যবহার করে এবং কীভাবে তারা ক্লাউড কম্পিউটিং-এর মতো নতুন প্রযুক্তিতে রূপান্তর করে তাদের ব্যবসাকে রূপান্তরিত করে। এর মধ্যে রয়েছে সামগ্রিক ঝুঁকি ব্যবস্থাপনার কৌশল এবং ক্ষমতা, সরবরাহ চেইন নিরাপত্তা, এবং যথাযথ আইসিটি ঝুঁকি মূল্যায়ন এবং সম্মতি নিশ্চিত করার জন্য সাংগঠনিক কর্মী এবং নীতিগুলি।
DORA আইসিটি সংস্থাগুলির নিয়ন্ত্রক দৃষ্টিকোণও পরিবর্তন করে। এখন পর্যন্ত, ব্যক্তিগত ডেটা এবং ডিজিটাল সার্বভৌমত্বের মতো রাজনৈতিক উদ্দেশ্যগুলির বিষয়ে উদ্বেগের ভিত্তিতে ডেটা গোপনীয়তা এবং ডেটা লঙ্ঘনের বিজ্ঞপ্তির মতো ডেটা-সম্পর্কিত বিষয়গুলিতে প্রাথমিকভাবে নিয়ন্ত্রিত হয়েছে। ইউরোপে জেনারেল ডেটা প্রোটেকশন রেগুলেশন (GDPR) এবং মার্কিন যুক্তরাষ্ট্রে সাম্প্রতিক ক্যালিফোর্নিয়া কনজিউমার প্রাইভেসি অ্যাক্ট (CCPA) এর মতো যুগান্তকারী নিয়মগুলি মাথায় আসে৷
আইসিটি সংস্থাগুলির নিরাপত্তার ক্ষেত্রে অন্যান্য নিয়ন্ত্রক বাধ্যবাধকতাও থাকতে পারে, অথবা তারা কোথায় অবস্থিত তার উপর নির্ভর করে, যেমন: নেটওয়ার্ক এবং তথ্য নিরাপত্তা নির্দেশিকা (NIS) ইউরোপে, সাইবার নিরাপত্তা আইন 2018 সিঙ্গাপুরে, বা সেক্টর-নির্দিষ্ট আইন বিশেষায়িত শিল্পের জন্য, যেমন মার্কিন যুক্তরাষ্ট্রে টেলিকম।
এখন, যদি আইসিটি কোম্পানিগুলি ইইউতে আর্থিক প্রতিষ্ঠানগুলিকে পরিষেবা দেয়, তাহলে সম্ভবত তারাও DORA-এর অধীন হবে৷ সুতরাং, তাদের পূর্বের নিয়ন্ত্রক কাঠামোর পাশাপাশি, একটি গুরুত্বপূর্ণ পরিষেবা প্রদানকারী হিসাবে মনোনীত আইসিটি প্রদানকারীরা হঠাৎ করে এমনভাবে DORA-এর অধীনে নিয়ন্ত্রিত হবে যাতে মনে হয় যেন তারা পরিণত হচ্ছে। এক্সটেনশন ইইউ আর্থিক প্রতিষ্ঠানের তারা পরিষেবা দিচ্ছে। কেউ এটিকে যেভাবে দেখুক না কেন, এটি একটি নাটকীয় পরিবর্তন — আর্থিক প্রতিষ্ঠান এবং আইসিটি প্রদানকারী উভয়ের জন্যই।
কিন্তু এখানেই শেষ নয়. DORA EU এর নিয়ন্ত্রক সংস্থার জন্য দৃষ্টিকোণ পরিবর্তন করে। নিয়ন্ত্রক যারা আর্থিক প্রতিষ্ঠানের সম্মতির বিষয়ে বিশেষজ্ঞ তাদের এখন তাদের সুযোগ বাড়াতে হবে আইসিটি প্রদানকারীদের অন্তর্ভুক্ত করার জন্য যারা গুরুত্বপূর্ণ পরিষেবা প্রদান করে, যেমন ক্লাউড প্রদানকারী, ডেটা বিশ্লেষণ পরিষেবা এবং অন্যান্য অ-আর্থিক ব্যবসাগুলি। জটিল নিয়ন্ত্রক কাঠামো সহ দেশগুলিতে, এই অতিরিক্ত ধরণের অ-আর্থিক শিল্পগুলিকে নিয়ন্ত্রণ করার জন্য দায়িত্বপ্রাপ্ত অন্যান্য সংস্থাগুলির সাথেও সহযোগিতা করার প্রয়োজন হবে।
চ্যালেঞ্জ মিটিং
DORA ইইউ আর্থিক প্রতিষ্ঠানগুলিকে তাদের নিজস্ব সাইবার নিরাপত্তা এবং ঝুঁকি ব্যবস্থাপনার পরিপক্কতা মূল্যায়ন করতে চায়। তাদের সরবরাহ চেইন ঝুঁকি কর্মক্ষমতা বোঝা এবং পরিচালনা এই প্রচেষ্টার কেন্দ্রীয় হবে।
সাধারণভাবে, আর্থিক প্রতিষ্ঠানগুলি নিরাপত্তা এবং আর্থিক স্থিতিশীলতা নির্ধারণের জন্য চাপ পরীক্ষায় পারদর্শী। অন্যান্য প্রতিষ্ঠানে এই ধরনের পরীক্ষা প্রসারিত করা একটি ভিন্ন চ্যালেঞ্জ। সুতরাং, ইইউ-এর আর্থিক খাতের জন্য, কীভাবে আরও জটিল এবং বর্ধিত সরবরাহ শৃঙ্খলে বিক্রেতাদের পরিচালনা, ঝুঁকি ব্যবস্থাপনা এবং অপারেশনাল সক্ষমতাগুলি সবচেয়ে বড় ধাঁধা তৈরি করে।
উদাহরণস্বরূপ, একটি আর্থিক প্রতিষ্ঠানের সদর দফতর ইউরোপে হতে পারে তবে এর সমস্ত সহায়তা কার্যক্রম ভারতে অবস্থিত ব্যবসার কাছে আউটসোর্স করা হয়েছে। এই সহায়তা পরিষেবাগুলি প্রযুক্তিগতভাবে আর্থিক প্রতিষ্ঠান নাও হতে পারে। কিন্তু DORA আর্থিক প্রতিষ্ঠানকে মূল্যায়ন করতে হবে যে বিক্রেতা তার ক্রিয়াকলাপের জন্য গুরুত্বপূর্ণ কিনা এবং সেই সম্পর্কের জন্য প্রাসঙ্গিক DORA প্রয়োজনীয়তাগুলি প্রয়োগ করবে।
EU ভিত্তিক নয় এমন উদ্যোগগুলির জন্য, মূল প্রশ্ন হল এখতিয়ার এবং বাজার অ্যাক্সেসের একটি। আর্থিক প্রতিষ্ঠান বা ICT প্রদানকারী যারা EU এর বাইরে কাজ করছে তারা প্রভাবিত হয় না। কিন্তু যদি এন্টারপ্রাইজটি একটি আর্থিক প্রতিষ্ঠান বা আইসিটি পরিষেবা প্রদানকারী হয় যে কোনও উপায়ে ইইউ ফিনান্স সেক্টরে পরিষেবা প্রদান করে, তবে এটি সম্ভবত প্রত্যক্ষ বা পরোক্ষভাবে DORA-এর অধীন হবে।
2024 এর কাউন্টডাউন
চূড়ান্ত পাঠে কিছু পরিবর্তন না হলে, DORA এর আনুষ্ঠানিক গ্রহণের 24 মাস পরে কার্যকর হয়। বাস্তবসম্মতভাবে, এটি সম্ভবত 2024 সালের কাছাকাছি কোথাও হতে পারে। ভাল খবর হল যে এটি সংস্থাগুলিকে সম্মতির জন্য প্রস্তুত করার জন্য প্রচুর সময় প্রদান করে। সবচেয়ে গুরুত্বপূর্ণ, একটি সাধারণ এন্টারপ্রাইজ বাজেট চক্রে অন্তর্ভুক্তির জন্য এটি খুব বেশি দীর্ঘ নয়।
কিন্তু সেই সময়সীমা আপনার উপর লুকিয়ে পড়ার আগে, প্রস্তুতি শুরু করুন এখন. এখানে পাঁচটি মূল পদক্ষেপ রয়েছে:
- 2024 পর্যন্ত সময়কে বুদ্ধিমানের সাথে ব্যবহার করুন।
- বুঝুন কোথায় আছেন। অনুসন্ধান করুন, খুঁজুন, এবং আপনার সম্মতি ফাঁক সনাক্ত করুন.
- আপনার ফাঁক মেটাতে আপনার কী প্রয়োজন তা নির্ধারণ করুন।
- শিক্ষিত করুন এবং সিনিয়র ম্যানেজমেন্টের কাছ থেকে কেনাকাটা করুন।
- 24 মাসের জন্য বাজেট।
ঘড়ি টিক্দান হয়.
