11. mail 2022 jõudis Euroopa Liit (EL) esialgsele kokkuleppele uue digitaalse töökindluse seaduse (DORA) osas. Hoolimata sõnastusest pole DORAs midagi "ajutist". Tegelikult on üks maailma laiaulatuslikumaid finantsteenuste ja nende tarneahelate küberjulgeolekueeskirju enamasti tehtud tehing.
Kõik, mis jääb alles enne ametlikku vastuvõtmist, mida oodatakse millalgi käesoleva aasta oktoobris, hõlmab peamiselt käputäis tehnilisi muudatusi ja tõlkimist EL-i liikmesriikide 24 ametlikku keelde.
DORA esindab ELi vastust üha suurenevale arvule finantsasutuste vastu suunatud küberrünnakutele. Selle eesmärk on tugevdada ELi finantsettevõtete (nt pangad, kindlustusseltsid, investeerimisühingud ja teised) turvalisust, kehtestades vastupidavusnõuded ja reguleerides tarneahelat. Kuid nagu ma märkisin ühes varasem postitus, ulatuvad DORA põhimõtted EList ja selle finantssektorist palju kaugemale.
DORA ühtsed võrgu- ja infosüsteemide turvanõuded ei hõlma mitte ainult finantssektori ettevõtteid, vaid ka olulisi kolmandatest osapooltest tarnijaid, kes pakuvad finantssektorile info- ja sidetehnoloogiaga seotud teenuseid, nagu pilveplatvormid ja andmeanalüütika.
Tõepoolest, DORA haare laieneb põhimõtteliselt kõikidele info- ja kommunikatsioonitehnoloogia (IKT) teenuseid pakkuvale ettevõttele, mida peetakse Euroopa finantssektorit toetava tarneahela jaoks kriitiliseks – olenemata sellest, kas see ettevõte või teenus asub ELis või mitte. Tegelikult peetakse DORA raames riskiteguriteks nii tarneahela keerukust kui ka ELi kohaloleku puudumist.
Uute regulatiivsete väljavaadete kohustuslikuks muutmine
DORA on ainulaadne selle poolest, et see toob paljudele ülemaailmsetele ettevõtetele uue ja erineva regulatiivse kontrolli taseme. DORA nõuded Mandaat — mitte ainult soovitada — selle sätete järgimist. Sama oluline on see, et selle uue taseme regulatiivse kontrolli mõju erineb sõltuvalt ettevõtte vaatepunktist.
Finantsasutused, kes on harjunud regulatiivse keskkonnaga, mille eesmärk on eelkõige hinnata finantsriski ja stabiilsust, peavad nüüd sama tõsiselt võtma oma IKT-tegevusest tulenevat võimalikku riski. Finantsasutused on harjunud riskima kapitalinõuete vormis. DORA kasutab teistsugust lähenemist, kehtestades konkreetse käitumise ja toimivuspõhised nõuded. Finantsasutuste seisukohast on sellel riski suurenemisel tagajärjed nende äritegevuse mitmele aspektile, näiteks sellele, kuidas nad tehnoloogiat tarbivad ja kuidas nad oma äri ümber muudavad, siirdudes uutele tehnoloogiatele, nagu pilvandmetöötlus. See hõlmab üldiseid riskijuhtimise strateegiaid ja võimalusi, tarneahela turvalisust ning organisatsiooni personali ja poliitikaid, mis tagavad IKT riskide nõuetekohase hindamise ja vastavuse.
DORA muudab ka IKT-organisatsioonide regulatiivset perspektiivi. Siiani on neid reguleeritud peamiselt andmetega seotud küsimustega, nagu andmete privaatsus ja andmerikkumistest teatamine, lähtudes muredest isikuandmete ja poliitiliste eesmärkide, nagu digitaalne suveräänsus, pärast. Meenuvad murrangulised reeglid, nagu Euroopa andmekaitse üldmäärus (GDPR) ja Ameerika Ühendriikides uuem California tarbijate privaatsusseadus (CCPA).
IKT-organisatsioonidel võib olla ka muid turvalisusega seotud regulatiivseid kohustusi või need võivad olla liigitatud kriitiliseks infrastruktuuriks, olenevalt nende asukohast, näiteks Võrgu- ja infoturbe direktiiv (NIS) Euroopas, 2018. aasta küberturvalisuse seadus Singapuris või sektoripõhised õigusaktid spetsialiseeritud tööstusharudele, nagu telekommunikatsioon Ameerika Ühendriikides.
Nüüd, kui IKT-ettevõtted teenindavad ELi finantsasutusi, alluvad nad tõenäoliselt ka DORAle. Seega, lisaks nende varasematele regulatiivsetele raamistikele reguleeritakse neid IKT-teenuse pakkujaid, kes on määratud pakkuma kriitilist teenust, äkitselt DORA alusel viisil, mis tundub, nagu hakkaks nad muutuma. laiendused ELi finantsasutustest, mida nad teenindavad. Olenemata sellest, kuidas seda vaadata, on see dramaatiline muutus – nii finantsasutuste kui ka IKT pakkujate jaoks.
Kuid see pole veel kõik. DORA muudab ELi regulatiivse loomise perspektiivi. Reguleerivad asutused, kes on finantsasutuste nõuetele vastavuse eksperdid, peavad nüüd laiendama oma ulatust, et hõlmata kriitilise tähtsusega teenuseid pakkuvaid IKT pakkujaid, nagu pilveteenuse pakkujad, andmeanalüütikateenused ja muud mittefinantsettevõtted. Keeruliste regulatiivsete struktuuridega riikides tekib vajadus teha koostööd ka teiste asutustega, kelle ülesandeks on reguleerida neid täiendavaid mittefinantssektori liike.
Väljakutsetega kohtumine
DORA nõuab, et ELi finantsasutused hindaksid oma küberturvalisuse ja riskijuhtimise küpsust. Nende tarneahela riskijuhtimise mõistmine ja juhtimine on selle jõupingutuse kesksel kohal.
Üldiselt on finantsasutused osavad stressitestides, et määrata kindlaks turvalisus ja finantsstabiilsus. Seda tüüpi testide laiendamine teistele organisatsioonidele on erinev väljakutse. Seega on ELi finantssektori jaoks suurim mõistatus, kuidas hallata müüjaid, riskijuhtimist ja tegevussuutlikkust üha keerukamas ja laienevas tarneahelas.
Näiteks võib finantsasutuse peakontor olla Euroopas, kuid kõik oma tugitegevused on allhanke korras Indias asuvatele ettevõtetele. Need tugiteenused ei pruugi tehniliselt olla finantsasutused. Kuid DORA nõuab, et finantsasutus hindaks, kas müüja on tema tegevuse jaoks kriitiline, ja kohaldaks selle suhte suhtes asjakohaseid DORA nõudeid.
Ettevõtete puhul, mis ei asu ELis, on võtmeküsimuseks jurisdiktsioon ja turulepääs. Väljaspool ELi tegutsevaid finantsasutusi ega IKT pakkujaid see ei mõjuta. Kui aga ettevõte on finantsasutus või IKT-teenuse pakkuja, kes mingil viisil teenindab EL-i finantssektorit, allub see suure tõenäosusega kas otseselt või kaudselt DORA-le.
Pöördloendus aastani 2024
Kui lõplikus tekstis midagi ei muutu, jõustub DORA 24 kuud pärast selle ametlikku vastuvõtmist. Reaalselt on see tõenäoliselt kuskil 2024. aasta lõpus. Hea uudis on see, et see annab organisatsioonidele piisavalt aega nõuete täitmiseks valmistumiseks. Kõige tähtsam on see, et tavapärasesse ettevõtte eelarvetsüklisse kaasamiseks pole see liiga pikk.
Kuid enne, kui see tähtaeg teile kätte jõuab, alustage ettevalmistusi nüüd. Siin on viis peamist sammu:
- Kasutage 2024. aastani aega targalt.
- Saa aru, kus sa oled. Otsige, leidke ja tuvastage oma nõuetele vastavuse lüngad.
- Tehke kindlaks, mida vajate oma lünkade kõrvaldamiseks.
- Harida ja saada kõrgema juhtkonna sisseostmist.
- Eelarve 24 kuuks.
Kell tiksub.
