Πέντε βασικές σκέψεις σχετικά με τον Νόμο για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) (Omkar Nisal)

Στις 24 Σεπτεμβρίου 2020, η Ευρωπαϊκή Επιτροπή δημοσίευσε την πρώτη σχεδιασμένη πρόταση για έναν Νόμο για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) ως μέρος του Ψηφιακού Χρηματοοικονομικού Πακέτου (DFP). Ο στόχος είναι να καθοδηγήσει τα χρηματοπιστωτικά ιδρύματα μέσα από την πολυπλοκότητα της κρυπτογράφησης
περιουσιακά στοιχεία, τεχνολογία blockchain και ψηφιακή λειτουργική ανθεκτικότητα, καθώς και παροχή συμβουλών για μια ανανεωμένη στρατηγική πληρωμών λιανικής. Παρά τα οφέλη που θα φέρει η DORA, για πολλές επιχειρήσεις, θα είναι μια πρόκληση η πλοήγηση στις αλλαγές που απαιτούνται.
Ακολουθούν πέντε βασικά σημεία που πρέπει να ληφθούν υπόψη κατά τη διασφάλιση της συμμόρφωσης βάσει του Νόμου.

 1.       Τι είναι το DORA και γιατί είναι σημαντικό;

 Η νέα πράξη θα παρέχει σε μεγάλους ευρωπαίους χρηματοοικονομικούς παράγοντες τις απαραίτητες διασφαλίσεις για τον μετριασμό των επιθέσεων στον κυβερνοχώρο και άλλων κινδύνων που σχετίζονται με τις ΤΠΕ ή βασίζονται σε ΤΠ.

 Ο DORA θα αποτελέσει σύντομα έναν δεσμευτικό νόμο που θα καλύπτει κάθε ένα από τα κράτη μέλη της ΕΕ και τα ιδρύματα χρηματοπιστωτικών υπηρεσιών που λειτουργούν σε αυτά. Γιατί λοιπόν αυτό έχει σημασία για το Ηνωμένο Βασίλειο;

 Αν και δεν είναι πλέον μέλος της ΕΕ, το Ηνωμένο Βασίλειο παραμένει ένας από τους θεμελιώδεις ευρωπαϊκούς χρηματοοικονομικούς κόμβους. Οι οργανισμοί χρηματοπιστωτικών υπηρεσιών του Ηνωμένου Βασιλείου που δραστηριοποιούνται στην ευρωπαϊκή αγορά –ιδιωτικοί ή δημόσιοι– που δραστηριοποιούνται εντός της ΕΕ θα πρέπει σύντομα να συμμορφωθούν με αυτά
κανονισμούς – καθιστώντας το DORA βασικό στοιχείο οποιωνδήποτε επιχειρηματικών πρακτικών του Ηνωμένου Βασιλείου.

 2.       Το νομοθετικό βάρος της DORA

 Το σοβαρό νομοθετικό βάρος που φέρει αυτή η νέα ευρωπαϊκή πράξη είναι ένας άλλος σημαντικός λόγος για τον οποίο οι οργανισμοί χρηματοπιστωτικών υπηρεσιών του Ηνωμένου Βασιλείου θα πρέπει να αρχίσουν να σκέφτονται τη συμμόρφωση. Η αρχή χρηματοοικονομικών υπηρεσιών κάθε ευρωπαϊκής χώρας θα αναλάβει τον ρόλο της συμμόρφωσης
εποπτεία και επιβολή του κανονισμού όπως απαιτείται. Εκτεταμένα πρόστιμα θα επιβληθούν σε εκείνα τα ιδρύματα που δεν συμμορφώνονται με τους νέους κανονισμούς, οδηγώντας σε μείωση των κερδών και πιθανή ζημιά στη φήμη.

 Αυτό σημαίνει ότι μπορεί να επιβληθούν σημαντικές κυρώσεις από τον Επικεφαλής Επόπτη για μη συμμόρφωση. Αυτές οι σημαντικές ποινές θα λάβουν τη μορφή περιοδικής χρηματικής ποινής ύψους 1% του μέσου ημερήσιου παγκόσμιου κύκλου εργασιών του οργανισμού στην προηγούμενη δραστηριότητα
έτος. Αυτό θα εφαρμόζεται από τον Επικεφαλής Επόπτη καθημερινά έως ότου επιτευχθεί συμμόρφωση για περίοδο όχι μεγαλύτερη από έξι μήνες.

 3.       Κατανοήστε την κατάσταση της ευπάθειας σας

 Όσον αφορά τον κίνδυνο και την ανθεκτικότητα στον κυβερνοχώρο, η «ασφάλιση στον κυβερνοχώρο» από μόνη της δεν είναι αρκετή – η συνεχής ενημέρωση για την κατάσταση κινδύνου είναι επίσης ζωτικής σημασίας. Η πανταχού παρουσία της τεχνολογίας στις δραστηριότητες των σημερινών επιχειρήσεων και η συνδεσιμότητα της, εκτείνεται σε όλο το πρότυπο
φυσικοί τεχνολογικοί πόροι που καλύπτουν τις καθημερινές λειτουργίες: από ΤΠΕ, ΑΤΜ, φορητούς υπολογιστές, κάμερες αιθουσών συνεδριάσεων, σε όλους τους εικονικούς τομείς του cloud, με βάση την τεχνητή νοημοσύνη και τις κβαντικές καινοτομίες.

 Ο νόμος βοηθά τα ενδιαφερόμενα μέρη και τους υπεύθυνους λήψης αποφάσεων να οικοδομήσουν μια βαθύτερη κατανόηση της εσωτερικής κατάστασης των κινδύνων και της ευπάθειας που υφίστανται οι εταιρείες τους. Στην πιο πρόσφατη του

έκθεση επιχειρηματικής ανθεκτικότητας, η κυβέρνηση του Ηνωμένου Βασιλείου επιβεβαίωσε ότι το χάσμα ασφαλιστικής προστασίας παραμένει υψηλό όσον αφορά τον κυβερνοχώρο – «το 90% όλων των απωλειών στον κυβερνοχώρο παραμένει ανασφάλιστο».

 Η DORA θα βοηθήσει τα χρηματοπιστωτικά ιδρύματα του Ηνωμένου Βασιλείου να ξεπεράσουν την ευρύτερη πρόκληση της παροχής στους ενδιαφερόμενους και στους υπεύθυνους λήπτες αποφάσεων τη σωστή ορατότητα σχετικά με τα κρίσιμα περιουσιακά στοιχεία και τη στάση των περιουσιακών στοιχείων, τα οποία καθορίζουν την αξιοπιστία και την αποτελεσματικότητα του
τις υπηρεσίες τους.

 4.       Τι εμπίπτει στο πεδίο εφαρμογής του νόμου;

 Όταν οριστικοποιηθεί, ο νόμος θα εφαρμόζεται σε ένα ευρύ φάσμα χρηματοπιστωτικών οντοτήτων, συμπεριλαμβανομένων πιστωτικών ιδρυμάτων, ιδρυμάτων ηλεκτρονικού χρήματος, εταιρειών επενδύσεων, ασφαλιστικών επιχειρήσεων και αντασφαλιστικών επιχειρήσεων. Αλλά δεν είναι μόνο τα ιδρύματα χρηματοπιστωτικών υπηρεσιών
που επηρεάζονται. Σύμφωνα με την DORA, οι «κρίσιμοι πάροχοι ΤΠΕ τρίτων» (CTPP), συμπεριλαμβανομένων των παρόχων υπηρεσιών cloud (CSP), θα εμπίπτουν στη ρυθμιστική περίμετρο των προτύπων σε επίπεδο ΕΕ για ψηφιακές δοκιμές λειτουργικής ανθεκτικότητας.

 Ένα άλλο στοιχείο καινοτομίας είναι η τυποποίηση των κατευθυντήριων γραμμών διαχείρισης κινδύνου ΤΠΕ, η ταξινόμηση συμβάντων και η αναφορά σε όλους τους τομείς χρηματοοικονομικών υπηρεσιών. Η εναρμόνιση μεταξύ αυτών των κρίσιμων περιουσιακών στοιχείων ανοίγει την πόρτα στις χρηματοπιστωτικές οντότητες να εδραιωθούν
εντός των ασφαλών συνόρων ενός ενιαίου κόμβου της ΕΕ κατά των απειλών στον κυβερνοχώρο.

 Οποιεσδήποτε οντότητες του ΗΒ που δραστηριοποιούνται εντός της ευρωπαϊκής χρηματοπιστωτικής αγοράς, θα πρέπει να συμμορφωθούν με τον Νόμο ως θεμελιώδες προνόμιο για τη διεκδίκηση της προβολής στην αγορά και ως μέσο νομιμότητας για την έναρξη εταιρικών σχέσεων εντός αυτής.

 5.       Εξειδικευμένα εργαλεία που μπορούν να σας βοηθήσουν να δημιουργήσετε ένα σχέδιο DORA

 Ορισμένοι οργανισμοί εξακολουθούν να χρησιμοποιούν μη αυτόματες διαδικασίες και υπολογιστικά φύλλα για να καταγράφουν, να διαχειρίζονται και να αναφέρουν την εταιρική συμμόρφωση, τη διαχείριση κινδύνου και τις ρυθμιστικές αλλαγές σε ολόκληρη την επιχείρηση. Αυτά τα στατικά υπολογιστικά φύλλα καταρρέουν γρήγορα όταν πρόκειται για τη διαχείριση και την παρακολούθηση
όλες οι πολύπλοκες προσπάθειες διακυβέρνησης, κινδύνου και συμμόρφωσης μέσα σε έναν οργανισμό.

 Τα ιδρύματα πρέπει να διασφαλίζουν αυστηρή συμμόρφωση με το DORA και, ως εκ τούτου, μπορεί να απαιτούν επαρκή βοήθεια από εξειδικευμένα εργαλεία πληροφορικής ικανά να υποστηρίξουν την εύρεση, την τεκμηρίωση, τη διαχείριση και την ταξινόμηση περιουσιακών στοιχείων, ενώ αξιολογούν τα επίπεδα κινδύνου περιουσιακών στοιχείων που εμπίπτουν
πεδίο εφαρμογής.

 Οι εξειδικευμένες πλατφόρμες ασφαλείας μπορούν να είναι η πιο οικονομική λύση για την αντιμετώπιση αυτών των ζητημάτων, τηρώντας παράλληλα το εξελισσόμενο οικονομικό τοπίο. Αυτές οι εξειδικευμένες πλατφόρμες βοηθούν στον εντοπισμό νέων τύπων τελικών σημείων (όπως κάμερες αιθουσών συνεδριάσεων)
και μπορεί να διασυνδέεται με υπάρχοντα εργαλεία, όπου υπάρχουν, για να παρέχει ένα ακριβές μητρώο περιουσιακών στοιχείων. Ο πρωταρχικός στόχος αυτών των πλατφορμών είναι να μειώσουν απρόσκοπτα τυχόν τυφλά σημεία λειτουργικής ανθεκτικότητας και να προστατεύσουν το εργατικό δυναμικό έναντι δυσμενών επιχειρησιακών συμβάντων
με την πρόβλεψη, την πρόληψη και την προσαρμογή σε τέτοια γεγονότα.

 Εν κατακλείδι

 Έτσι, για να συνοψίσουμε, τα χρηματοπιστωτικά ιδρύματα πρέπει να διασφαλίσουν ότι θα συμμορφώνονται με το DORA, διαφορετικά κινδυνεύουν με όχι ασήμαντες περιοδικές χρηματικές ποινές. Για να συμμορφωθούν, οι οργανισμοί πρέπει να προσδιορίσουν όλα τα περιουσιακά στοιχεία που υπάρχουν επί του παρόντος
κίνδυνος για βασικές διαδικασίες. Στη συνέχεια, οι οργανισμοί πρέπει να κατανοήσουν το επίπεδο κινδύνου που παρουσιάζει κάθε περιουσιακό στοιχείο, προκειμένου να διασφαλιστεί ότι λαμβάνονται υπόψη οι μετριασμούς. Υπάρχουν εξειδικευμένα εργαλεία στην αγορά που μπορούν να βοηθήσουν τους οργανισμούς να βρουν, να τεκμηριώσουν, να διαχειριστούν και να ταξινομήσουν
τα περιουσιακά τους στοιχεία. Μιλήστε με έναν ειδικό πληροφορικής για να δείτε πώς μπορεί να βοηθήσει τον οργανισμό σας με όλα αυτά.