DORA – Navigering i EU's Operational Resilience Landscape

DORA – Navigering i EU's Operational Resilience Landscape

Tidsstempel: 10. april 2024 kl. 12
DORA – Navigating the EU’s Operational Resilience Landscape PlatoBlockchain Data Intelligence. Vertical Search. Ai.

DORA – Styrkelse og harmonisering af operationel modstandskraft på tværs af EU. 

Se hele artiklen på https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

EU's DORA er uundgåelig og vil have bølgende effekter ud over unionen. Det erstatter tidligere branchespecifikke retningslinjer for operationel modstandskraft og overvinder nationale uligheder, harmoniserer retningslinjer for nøglefokusområder på tværs af hele den finansielle sektor.
industriens værdikæde for at etablere en fælles ramme på tværs af fagforeningen. Denne indsigt udforsker makroeffekterne af DORA og opsummerer nøglesektioner af DORAs fulde tekst for at definere:

  1. Hvad er DORA og dets 5 fokusområder?
  2. Hvorfor er DORA vigtig?
  3. Hvem henvender DORA sig til?
  4. DORA-overholdelse vs. manglende overholdelse.

Digitale teknologier er afgørende for globale finans- og kapitalmarkedsvirksomheder til at understøtte komplekse systemer, det er afgørende for leveringen af ​​typiske forretningsfunktioner og indtægtsgenererende aktiviteter. Digitalisering og den deraf følgende sammenkobling
muliggøre større effektivitet og omkostningsbesparelser, men også forstærke informations- og kommunikationsteknologi (IKT) risici og øge det finansielle systems sårbarhed over for cybertrusler eller forstyrrelser.

På trods af målrettede politiske og lovgivningsmæssige initiativer på nationalt plan anerkender Den Europæiske Union (EU) det kritiske behov for at harmonisere og styrke den operationelle modstandskraft på tværs af sine medlemslande for at beskytte integriteten og effektiviteten af ​​den interne
marked, især i betragtning af eskalerende cybertrusler1 og forstyrrelse
hændelser2. En visning for nylig gentaget af Liquidnet3:

"Branchen er kun så stærk som dens svageste led […] 2024 vil ikke kun repræsentere større regulatorisk kontrol af overholdelse, risici og kontroller samt teknologiinteroperabilitet, men individuelt ansvar for at få økosystemet til at fungere optimalt."

For at tackle de igangværende modstandsudfordringer indførte EU loven om digital operationel modstandsdygtighed (DORA) for at styrke IKT-sikkerhed og operationel robusthed for finansielle enheder.

Hvad er DORA og dets 5 fokusområder?

DORA blev vedtaget af Europa-Parlamentet og Rådet den 14. december 2022, med overholdelse påkrævet senest den 17. januar 2025. Forordningen har til formål at konsolidere og forbedre den digitale operationelle modstandskraft på tværs af det finansielle landskab, der har,
indtil dette punkt blevet behandlet særskilt i forskellige EU-retsakter via en fælles ramme4 for den digitale operationelle robusthed
af finansielle enheder for bedre at kunne modstå og komme sig efter brud og ikt-hændelser.

DORAs 5 fokusområder:

  1. IKT Risikostyring.
  2. IKT-relateret Incident Management, Classification & Reporting.
  3. Digital operationel modstandsdygtighedstest.
  4. IKT-tredjepartsrisikostyring.
  5. Informationsdelingsordninger.

Hvorfor er DORA vigtig?

DORA bygger på og afløser tidligere branchespecifikke retningslinjer for at overvinde uligheder og konsoliderer konsekvent retningslinjer for nøgleområder på tværs af hele værdikæden. Det er unikt, fordi det indfører en fælles tilsynsramme på fagforeningsniveau
kritiske ikt-tredjepartsudbydere, som udpeget af de europæiske tilsynsmyndigheder (ESA)5.

Med den finansielle sektor afhængig af digitale IKT-systemer, og efterhånden som sammenkoblingen vokser, vil IKT-risici og sårbarheder have en stadig mere forstyrrende grænseoverskridende indvirkning på tværs af unionen, hvilket forstærker effekten af ​​driftsforstyrrelser og cyber
trusler mod finansielle virksomheder. DORA anerkender, at digitalisering nu omfatter kritiske økonomiske funktioner6 ligesom
betalinger, værdipapirclearing, algoritmisk handel og back-office operationer. Det sigter mod at styrke disse funktioners operationelle modstandsdygtighed for at opretholde overordnet finansiel stabilitet og beskytte forbrugernes tillid på de indre markeder. DORA har til formål at bevare
markedets tillid ved at sikre problemfri levering af finansielle tjenester selv under udfordrende scenarier.

Hvem henvender DORA sig til?

DORA gælder for alle finansielle institutioner i EU og IKT-tredjepartstjenesteudbydere, der leverer tjenester til at understøtte dem. Et nyligt indblik10 rettet
det her. EU's DORA-forordning indfører specifikke og præskriptive krav til alle deltagere på det finansielle marked.

DORA – Finansielle enheder

For at overholde DORA skal finansielle enheder forbedre IKT-risikorelateret ledelsespraksis, som omfatter identifikation, vurdering og afbødning af risici forbundet med digitale operationer. DORA indfører også omgående IKT-hændelsesrapporteringsforpligtelser til
relevante myndigheder for kritiske funktionsforstyrrelser. Institutioner skal også regelmæssigt simulere forskellige forstyrrelser for at teste operationel modstandsdygtighed og genopretningskapacitet.

DORA understreger især, at finansielle enheder skal vurdere og håndtere tredjeparts IKT-risikoen for deres tjenesteudbydere og sikre, at kontraktlige ordninger adresserer operationel modstandskraft. Dette vedrører koncentrationen af ​​risiko (DORA artikel 2911)
og følger hændelser som OPRA-afbrydelsen12, og cyberkriminalitet rettet mod kritiske leverandører
i den finansielle forsyningskæde som Ion Group-hacket sidste år13 or
leverandører af cloud computing14, hvor en
enkelt hændelse påvirker potentielt flere finansielle enheder.

Det skal bemærkes, at virkningen af ​​afbrydelser ikke er begrænset til virksomheder og slutbrugere, med konsekvenser, der potentielt kan vælte over på den personlige økonomi, som påvist af DBS bank15 tidligere
dette år.

DORA – Tredjepartsafhængigheder og operationel modstandskraft

Finansielle enheder har i stigende grad satset på tredjepartsudbydere til at levere kritiske dele af deres drift og tjenester, efterfølgende påvirker DORA også tredjepartsafhængigheder betydeligt. Disse tredjeparter omfatter cloud-tjenesteudbydere,
dataleverandører, softwareudviklere og andre teknologipartnere. Outsourcing af visse funktioner kan øge effektiviteten og reducere omkostningerne, men som vi så med Ion, introducerer det også nye risici. Myndigheder skal nu se ud over modstandsdygtigheden hos individuelle regulerede
virksomheder og vurdere sektorens bredere operationelle modstandskraft.

DORA understreger vigtigheden af ​​robust risikostyringspraksis for tredjepartsafhængigheder med det formål at styrke finanssektorens overordnede modstandskraft i den digitale tidsalder. Disse omfatter:

  1. Bredt omfang af ikt-tredjepartsrisiko – For at øge den operationelle modstandsdygtighed på tværs af den finansielle servicesektor kaster DORA et bredt net til at definere ikt-tredjepartsrisiko. For eksempel DORA artikel 3 (18)16 definerer
    Ikt-tredjepartsrisiko som enhver ikt-risiko – artikel 3, stk.17 – der kan opstå for en finansiel enhed, der er afledt af at bruge de leverede IKT-tjenester
    af en tredjepartstjenesteudbyder, underleverandører eller outsourcing-arrangementer.
  2. Risikostyringspraksis for tredjepartsleverandører – DORA pålægger passende risikostyringspraksis for tredjepartsleverandører for at reducere operationelle risici forbundet med tredjepartsforhold og sikre modstandskraft. Det har også til formål at gennemføre en harmoniseret
    lovgivningsmæssige rammer for risikostyring af tredjepartsleverandører i hele EU (artikel 1518).
  3. Kritiske ikt-tredjepartsudbydere – DORA anerkender den kritiske rolle, som ikt-tjenesteudbydere spiller i finansielle tjenesteydelser. Hvis en tredjepart anses for at være kritisk, som CJC i nogle tilfælde, skal de overholde DORA's krav. Især kritiske tredjeparter
    uden for EU er forpligtet til at etablere et datterselskab inden for EU – artikel 31, stk.19 – selvom præamblen (82)20 noter
    Kravet "bør ikke forhindre den kritiske ikt-tredjepartstjenesteudbyder i at levere ikt-tjenester og relateret teknisk support fra faciliteter og infrastruktur beliggende uden for Unionen."

Gina Wee, Chief Information Officer hos CJC, talte om operationel robusthed og DORA-overholdelse, sagde: "Fra implementering af robust kryptering og streng adgangskontrol til udførelse af regelmæssige revisioner, opretholder CJC høje niveauer af overholdelse for at sikre data
sikkerhed. Kombineret med proaktiv planlægning, adaptive procedurer og en kultur med løbende forbedringer sikrer vi uafbrudt service til vores kunder. Vi håber, at vores engagement i informationssikkerhed, operationel robusthed og ansvarlighed giver vores
kunders tryghed og tillid til vores administrerede tjenester."

DORA-overholdelse vs. manglende overholdelse

Risikoen for manglende overholdelse

Manglende overholdelse af DORA kan føre til skade på omdømmet, økonomiske tab og regulatoriske sanktioner. Virksomheder, der ikke overholder DORA's krav, risikerer driftsforstyrrelser, kundetilfredshed og potentielle juridiske konsekvenser.

DORA Compliance – 3 overvejelser og bedste praksis

For at overholde DORA skal finansielle institutioner i vid udstrækning kortlægge eksisterende tredjepartsafhængigheder og involvere forståelse af outsourcede funktioners tjenester for at identificere kritiske afhængigheder. Trin 2 vurderer modstandskraften af ​​de kortlagte afhængigheder
at evaluere deres tjenesteudbyders operationelle kapaciteter, sikkerhedsforanstaltninger og katastrofeoprettelsesplaner. Endelig bør kontraktlige aftaler med tredjeparter specifikt omhandle krav til operationel modstandskraft. Dette omfatter bestemmelser om hændelse
mål for rapportering, forretningskontinuitet og genopretningstid.

For at forblive compliant kan finansielle institutioner tage flere skridt for at implementere bedste praksis for at sikre kontinuerlig overholdelse af DORA. Disse omfatter:

  1. Due Diligence – Når du vælger tredjepartsudbydere, skal du udføre en grundig due diligence ved at overveje deres resultater, finansielle stabilitet og operationelle modstandsdygtighed.
  2. Scenarietestning – Simuler forskellige scenarier med tredjeparter for at teste effektiviteten af ​​genopretningsplaner. Dette bør omfatte cyberangreb, systemfejl og naturkatastrofer.
  3. Kontinuerlig overvågning – Overvåg tredjeparts ydeevne og compliance regelmæssigt, vær forberedt på at tilpasse sig, hvis modstandsdygtighedens holdninger ændrer sig.

Afsluttende ord:

DORA er ikke bare en forordning; det er en strategisk mulighed for at øge din operationelle modstandskraft og opbygge tillid i den digitale tidsalder. Som den førende markedsdatateknologi-konsulent- og serviceudbyder til globale finansielle markeder behandler CJC sin position
som en kritisk tredjepartsleverandør af markedsdatastyrede tjenester til kapitalmarkedssamfundet seriøst. Uanset serviceniveau er DORA-kompatible standarder og gennemsigtighed klar fra CJC, som leverer multi-prisvindende rådgivning,
administrerede tjenester, cloud-løsninger, observerbarhed og professionelle kommercielle administrationstjenester til missionskritiske markedsdatasystemer. CJC er leverandørneutral og ISO 27001 certificeret, hvilket giver CJC's partnere frihed til at fokusere på deres kerneforretning.

Tidsstempel:

Mere fra Fintextra