Η αντίστροφη μέτρηση για τη Ντόρα

Στις 11 Μαΐου 2022, η Ευρωπαϊκή Ένωση (ΕΕ) κατέληξε σε προσωρινή συμφωνία για τον νέο νόμο για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA). Παρά τη φράση, δεν υπάρχει τίποτα «προσωρινό» για τη DORA. Στην πραγματικότητα, ένας από τους πιο εκτεταμένους κανονισμούς κυβερνοασφάλειας στον κόσμο για τις χρηματοπιστωτικές υπηρεσίες και τις αλυσίδες εφοδιασμού τους είναι ως επί το πλείστον τελειωμένη υπόθεση.

Το μόνο που απομένει πριν από την επίσημη έγκριση, που αναμένεται κάποια στιγμή αυτόν τον Οκτώβριο, περιλαμβάνει κυρίως μια χούφτα τεχνικές αλλαγές και μετάφραση στις 24 επίσημες γλώσσες των κρατών μελών της ΕΕ.

Το DORA αντιπροσωπεύει την απάντηση της ΕΕ στον ολοένα αυξανόμενο αριθμό κυβερνοεπιθέσεων κατά χρηματοπιστωτικών ιδρυμάτων. Έχει σχεδιαστεί για να ενισχύσει την ασφάλεια των χρηματοπιστωτικών εταιρειών της ΕΕ, όπως τράπεζες, ασφαλιστικές εταιρείες, εταιρείες επενδύσεων και πολλά άλλα, επιβάλλοντας απαιτήσεις ανθεκτικότητας και ρυθμίζοντας την αλυσίδα εφοδιασμού. Όμως, όπως σημείωσα σε ένα προηγούμενη ανάρτηση, οι αρχές της DORA εκτείνονται πολύ πέρα ​​από την ΕΕ και τον χρηματοπιστωτικό της τομέα.

Οι ενιαίες απαιτήσεις της DORA για την ασφάλεια δικτύων και συστημάτων πληροφοριών καλύπτουν όχι μόνο επιχειρήσεις του χρηματοοικονομικού τομέα αλλά και σημαντικούς τρίτους προμηθευτές που παρέχουν υπηρεσίες σχετικές με την τεχνολογία πληροφοριών και επικοινωνιών στον χρηματοπιστωτικό τομέα, όπως πλατφόρμες cloud και ανάλυση δεδομένων.

Πράγματι, η εμβέλεια της DORA εκτείνεται ουσιαστικά σε κάθε επιχείρηση που προσφέρει υπηρεσίες τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ) που θεωρείται κρίσιμης σημασίας για την αλυσίδα εφοδιασμού που υποστηρίζει τον ευρωπαϊκό χρηματοπιστωτικό τομέα — ανεξάρτητα από το εάν η εν λόγω επιχείρηση ή υπηρεσία εδρεύει ή όχι εντός της ΕΕ. Στην πραγματικότητα, στο πλαίσιο της DORA, η πολυπλοκότητα της αλυσίδας εφοδιασμού ή η έλλειψη παρουσίας της ΕΕ θεωρούνται και οι δύο παράγοντες κινδύνου.

Εντολή νέων ρυθμιστικών προοπτικών

Η DORA είναι μοναδική στο ότι φέρνει ένα νέο και διαφορετικό επίπεδο ρυθμιστικού ελέγχου σε μια μεγάλη ποικιλία παγκόσμιων επιχειρήσεων. Οι απαιτήσεις της DORA Εντολή — όχι απλώς προτείνουν — τη συμμόρφωση με τις διατάξεις του. Εξίσου σημαντικό, ο αντίκτυπος αυτού του νέου επιπέδου ρυθμιστικού ελέγχου διαφέρει ανάλογα με την άποψη της επιχείρησης.

Τα χρηματοπιστωτικά ιδρύματα που είναι συνηθισμένα σε ένα ρυθμιστικό περιβάλλον που έχει σχεδιαστεί κυρίως για την αξιολόγηση του χρηματοοικονομικού κινδύνου και της σταθερότητας θα πρέπει τώρα να λάβουν εξίσου σοβαρά υπόψη τον δυνητικό κίνδυνο που ενέχουν οι δραστηριότητες ΤΠΕ. Τα χρηματοπιστωτικά ιδρύματα έχουν συνηθίσει να αντιμετωπίζουν τον κίνδυνο με τη μορφή κεφαλαιακών απαιτήσεων. Η DORA ακολουθεί μια διαφορετική προσέγγιση επιβάλλοντας συγκεκριμένες απαιτήσεις συμπεριφοράς και απόδοσης. Από την άποψη των χρηματοπιστωτικών ιδρυμάτων, αυτή η αύξηση του κινδύνου έχει συνέπειες σε πολλές πτυχές της επιχείρησής τους, όπως το πώς καταναλώνουν την τεχνολογία και πώς μεταμορφώνουν την επιχείρησή τους με τη μετάβαση σε νέες τεχνολογίες όπως το cloud computing. Αυτό περιλαμβάνει συνολικές στρατηγικές και δυνατότητες διαχείρισης κινδύνου, ασφάλεια της εφοδιαστικής αλυσίδας και οργανωτική στελέχωση και πολιτικές για τη διασφάλιση της σωστής αξιολόγησης και συμμόρφωσης κινδύνου ΤΠΕ.

Η DORA αλλάζει επίσης τη ρυθμιστική προοπτική των οργανισμών ΤΠΕ. Μέχρι τώρα, ρυθμίζονταν κυρίως για ζητήματα που σχετίζονται με δεδομένα, όπως το απόρρητο δεδομένων και η ειδοποίηση παραβίασης δεδομένων, με βάση ανησυχίες για προσωπικά δεδομένα και πολιτικούς στόχους, όπως η ψηφιακή κυριαρχία. Πρωτοποριακούς κανόνες, όπως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) στην Ευρώπη, και ο πιο πρόσφατος νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA) στις Ηνωμένες Πολιτείες, έρχονται στο μυαλό.

Οι οργανισμοί ΤΠΕ μπορεί επίσης να έχουν άλλες ρυθμιστικές υποχρεώσεις για την ασφάλεια ή να έχουν ταξινομηθεί ως υποδομές ζωτικής σημασίας, ανάλογα με το πού βρίσκονται, όπως Οδηγία για την ασφάλεια δικτύων και πληροφοριών (NIS) στην Ευρώπη, το Νόμος για την ασφάλεια στον κυβερνοχώρο του 2018 στη Σιγκαπούρη, ή ειδική τομεακή νομοθεσία για εξειδικευμένους κλάδους, όπως οι τηλεπικοινωνίες στις Ηνωμένες Πολιτείες.

Τώρα, εάν οι εταιρείες ΤΠΕ εξυπηρετούν χρηματοπιστωτικά ιδρύματα στην ΕΕ, πιθανότατα θα υπόκεινται και στο DORA. Έτσι, εκτός από τα προηγούμενα ρυθμιστικά τους πλαίσια, εκείνοι οι πάροχοι ΤΠΕ που έχουν οριστεί ότι προσφέρουν μια κρίσιμη υπηρεσία θα ρυθμιστούν ξαφνικά από την DORA με τρόπο που να φαίνεται σαν να γίνονται επεκτάσεις των χρηματοπιστωτικών ιδρυμάτων της ΕΕ που εξυπηρετούν. Ανεξάρτητα από το πώς το βλέπει κανείς, αυτή είναι μια δραματική αλλαγή — τόσο για τα χρηματοπιστωτικά ιδρύματα όσο και για τους παρόχους ΤΠΕ.

Αλλά δεν είναι μόνο αυτό. Η DORA αλλάζει την προοπτική για το ρυθμιστικό ίδρυμα της ΕΕ. Οι ρυθμιστικές αρχές που είναι ειδικοί στη συμμόρφωση με τα χρηματοπιστωτικά ιδρύματα πρέπει τώρα να επεκτείνουν το πεδίο εφαρμογής τους για να συμπεριλάβουν παρόχους ΤΠΕ που προσφέρουν κρίσιμες υπηρεσίες, όπως παρόχους cloud, υπηρεσίες ανάλυσης δεδομένων και άλλες μη χρηματοοικονομικές επιχειρήσεις. Σε χώρες με πολύπλοκες ρυθμιστικές δομές, θα υπάρξει επίσης η ανάγκη συνεργασίας με άλλους φορείς που είναι επιφορτισμένοι με τη ρύθμιση αυτών των πρόσθετων τύπων μη χρηματοπιστωτικών βιομηχανιών.

Αντιμετωπίζοντας τις προκλήσεις

Η DORA απαιτεί από τα χρηματοπιστωτικά ιδρύματα της ΕΕ να αξιολογούν τη δική τους ασφάλεια στον κυβερνοχώρο και την ωριμότητα διαχείρισης κινδύνου. Η κατανόηση και η διαχείριση της απόδοσης κινδύνου της εφοδιαστικής αλυσίδας θα είναι κεντρική σε αυτή την προσπάθεια.

Γενικά, τα χρηματοπιστωτικά ιδρύματα είναι επιδέξια στις προσομοιώσεις ακραίων καταστάσεων για τον προσδιορισμό της ασφάλειας και της χρηματοοικονομικής σταθερότητας. Είναι μια διαφορετική πρόκληση να επεκτείνουμε αυτού του είδους τις δοκιμές σε άλλους οργανισμούς. Έτσι, για τον χρηματοπιστωτικό τομέα της ΕΕ, ο τρόπος διαχείρισης των προμηθευτών, της διαχείρισης κινδύνου και των επιχειρησιακών δυνατοτήτων σε μια ολοένα πιο περίπλοκη και εκτεταμένη αλυσίδα εφοδιασμού αποτελεί το μεγαλύτερο παζλ.

Για παράδειγμα, ένα χρηματοπιστωτικό ίδρυμα μπορεί να έχει την έδρα του στην Ευρώπη, αλλά όλες οι υποστηρικτικές του δραστηριότητες να ανατίθενται σε εξωτερικούς συνεργάτες σε επιχειρήσεις που εδρεύουν στην Ινδία. Αυτές οι υπηρεσίες υποστήριξης ενδέχεται να μην είναι τεχνικά χρηματοπιστωτικά ιδρύματα. Ωστόσο, η DORA θα απαιτήσει από το χρηματοπιστωτικό ίδρυμα να αξιολογήσει εάν ο πωλητής είναι κρίσιμος για τις δραστηριότητές του και να εφαρμόσει τις σχετικές απαιτήσεις DORA σε αυτήν τη σχέση.

Για τις επιχειρήσεις που δεν εδρεύουν στην ΕΕ, το βασικό ερώτημα είναι η δικαιοδοσία και η πρόσβαση στην αγορά. Τα χρηματοπιστωτικά ιδρύματα ή οι πάροχοι ΤΠΕ που δραστηριοποιούνται εκτός της ΕΕ δεν επηρεάζονται. Ωστόσο, εάν η επιχείρηση είναι χρηματοπιστωτικό ίδρυμα ή πάροχος υπηρεσιών ΤΠΕ που εξυπηρετεί τον χρηματοπιστωτικό τομέα της ΕΕ με οποιονδήποτε τρόπο, πιθανότατα θα υπόκειται στο DORA — άμεσα ή έμμεσα.

Αντίστροφη μέτρηση για το 2024

Εάν δεν αλλάξει κάτι στο τελικό κείμενο, η DORA τίθεται σε ισχύ 24 μήνες μετά την επίσημη έγκρισή της. Ρεαλιστικά, αυτό είναι πιθανό να είναι κάπου κοντά στο κλείσιμο του 2024. Τα καλά νέα είναι ότι αυτό παρέχει άφθονο χρόνο στους οργανισμούς να προετοιμαστούν για τη συμμόρφωση. Το πιο σημαντικό είναι ότι δεν χρειάζεται πολύς χρόνος για να συμπεριληφθεί σε έναν τυπικό κύκλο προϋπολογισμού επιχείρησης.

Αλλά προτού αυτή η προθεσμία φτάσει κρυφά πάνω σας, ξεκινήστε την προετοιμασία τώρα. Ακολουθούν πέντε βασικά βήματα:

• Χρησιμοποιήστε το χρόνο μέχρι το 2024 με σύνεση.
• Καταλάβετε πού βρίσκεστε. Αναζητήστε, βρείτε και εντοπίστε τα κενά συμμόρφωσής σας.
• Προσδιορίστε τι χρειάζεστε για να διορθώσετε τα κενά σας.
• Εκπαιδεύστε και κερδίστε από τα ανώτερα στελέχη.
• Προϋπολογισμός 24 μηνών.

Το ρολόι χτυπά.