DORA - پیمایش در چشم انداز انعطاف پذیری عملیاتی اتحادیه اروپا

DORA - تقویت و هماهنگ سازی انعطاف پذیری عملیاتی در سراسر اتحادیه اروپا. 

مقاله کامل را در https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/ ببینید

DORA اتحادیه اروپا اجتناب ناپذیر است و اثرات موجی فراتر از اتحادیه خواهد داشت. این دستورالعمل جایگزین دستورالعمل‌های انعطاف‌پذیری عملیاتی خاص صنعت قبلی می‌شود و بر نابرابری‌های ملی غلبه می‌کند و دستورالعمل‌ها را برای حوزه‌های تمرکز کلیدی در کل مالی هماهنگ می‌کند.
زنجیره ارزش صنعت برای ایجاد یک چارچوب مشترک در سراسر اتحادیه. این بینش تأثیرات کلان DORA را بررسی می‌کند و بخش‌های کلیدی متن کامل DORA را خلاصه می‌کند تا تعریف شود:

1. DORA و 5 ناحیه فوکوس آن چیست؟
2. چرا DORA مهم است؟
3. DORA برای چه کسانی درخواست می کند؟
4. DORA Compliance در مقابل Non Compliance.

فن‌آوری‌های دیجیتال برای شرکت‌های مالی و بازار سرمایه جهانی برای حمایت از سیستم‌های پیچیده بسیار مهم است، برای ارائه عملکردهای تجاری معمولی و فعالیت‌های درآمدزا حیاتی است. دیجیتالی شدن و ارتباط متقابل ناشی از آن
کارایی بیشتر و صرفه جویی در هزینه را فراهم می کند، اما خطرات فناوری اطلاعات و ارتباطات (ICT) را نیز تقویت می کند و آسیب پذیری سیستم مالی را در برابر تهدیدات یا اختلالات سایبری افزایش می دهد.

با وجود سیاست های هدفمند و ابتکارات قانونی در سطح ملی، اتحادیه اروپا (EU) نیاز حیاتی به هماهنگ سازی و تقویت انعطاف پذیری عملیاتی در سراسر کشورهای عضو خود را برای محافظت از یکپارچگی و کارایی داخلی تشخیص می دهد.
بازار، به ویژه با توجه به افزایش تهدیدات سایبری1 و اختلال
حوادث2. دیدگاهی که اخیرا توسط Liquidnet تکرار شده است3:

این صنعت به اندازه ضعیف ترین حلقه آن قوی است […] سال 2024 نه تنها نمایانگر بررسی نظارتی بیشتر در مورد انطباق، خطرات، و کنترل ها و همچنین قابلیت همکاری فناوری است، بلکه مسئولیت فردی در عملکرد بهینه اکوسیستم را نشان می دهد.

اتحادیه اروپا با پرداختن به چالش‌های انعطاف‌پذیری مداوم، قانون مقاومت عملیاتی دیجیتال (DORA) را برای تقویت امنیت فناوری اطلاعات و ارتباطات و استحکام عملیاتی برای نهادهای مالی معرفی کرد.

DORA و 5 ناحیه فوکوس آن چیست؟

DORA در 14 دسامبر 2022 توسط پارلمان اروپا و شورا با رعایت الزامات تا 17 ژانویه 2025 به تصویب رسید.
تا این مرحله، به طور جداگانه در قوانین مختلف اتحادیه از طریق یک چارچوب مشترک به آن پرداخته شده است4 برای انعطاف پذیری عملیاتی دیجیتال
از نهادهای مالی برای مقاومت و بازیابی بهتر از نقض ها و حوادث ICT.

5 حوزه تمرکز DORA:

1. مدیریت ریسک فناوری اطلاعات و ارتباطات
2. مدیریت حوادث مرتبط با ICT، طبقه بندی و گزارش.
3. تست انعطاف پذیری عملیاتی دیجیتال.
4. مدیریت ریسک شخص ثالث ICT.
5. ترتیبات به اشتراک گذاری اطلاعات

چرا DORA مهم است؟

DORA برای غلبه بر نابرابری‌ها بر اساس دستورالعمل‌های خاص صنعت قبلی استوار شده و جایگزین آن می‌شود و به طور مداوم دستورالعمل‌ها را برای حوزه‌های کلیدی در کل زنجیره ارزش یکپارچه می‌کند. این منحصر به فرد است زیرا یک چارچوب نظارتی مشترک در سطح اتحادیه را معرفی می کند
ارائه دهندگان شخص ثالث ICT حیاتی، که توسط مقامات نظارتی اروپا (ESAs) تعیین شده اند.5.

با اتکای بخش مالی به سیستم‌های دیجیتال ICT و با رشد اتصالات، خطرات و آسیب‌پذیری‌های فناوری اطلاعات و ارتباطات تأثیرات برون مرزی فزاینده‌ای در سراسر اتحادیه خواهند داشت که تأثیر اختلالات عملیاتی و سایبری را تشدید می‌کند.
تهدید در شرکت های مالی DORA تصدیق می‌کند که دیجیتالی‌سازی اکنون عملکردهای مالی حیاتی را در بر می‌گیرد6 پسندیدن
پرداخت ها، تسویه اوراق بهادار، معاملات الگوریتمی، و عملیات پشتیبان. هدف آن تقویت انعطاف پذیری عملیاتی این عملکردها برای حفظ ثبات مالی کلی و محافظت از اعتماد مصرف کننده در بازارهای داخلی است. هدف DORA حفظ است
اطمینان بازار با اطمینان از ارائه یکپارچه خدمات مالی حتی در سناریوهای چالش برانگیز.

DORA برای چه کسانی درخواست می کند؟

DORA برای همه مؤسسات مالی در اتحادیه اروپا و ارائه دهندگان خدمات شخص ثالث ICT که خدمات ارائه می دهند برای حمایت از آنها اعمال می شود. یک بینش اخیر10 خطاب
این. مقررات DORA اتحادیه اروپا الزامات خاص و تجویزی را برای همه فعالان بازار مالی معرفی می کند.

DORA - نهادهای مالی

برای پیروی از DORA، نهادهای مالی باید شیوه‌های مدیریت ریسک مرتبط با فناوری اطلاعات و ارتباطات را که شامل شناسایی، ارزیابی و کاهش ریسک‌های مرتبط با عملیات دیجیتال است، تقویت کنند. DORA همچنین تعهدات گزارش فوری حوادث ICT را به سازمان معرفی می کند
مقامات مربوطه برای اختلالات عملکرد حیاتی. همچنین، موسسات باید به طور منظم اختلالات مختلف را برای آزمایش انعطاف پذیری عملیاتی و قابلیت های بازیابی شبیه سازی کنند.

به طور قابل‌توجه، DORA تأکید می‌کند که نهادهای مالی باید ریسک ICT شخص ثالث ارائه‌دهندگان خدمات خود را ارزیابی و مدیریت کنند و اطمینان حاصل کنند که ترتیبات قراردادی به انعطاف‌پذیری عملیاتی می‌پردازد. این به تمرکز ریسک مربوط می شود (DORA ماده 2911)
و حوادثی مانند قطع OPRA را دنبال می کند12و جرایم سایبری تامین کنندگان مهم را هدف قرار می دهد
در زنجیره تامین مالی مانند هک گروه Ion در سال گذشته13 or
فروشندگان رایانش ابری14، که در آن
یک حادثه واحد به طور بالقوه بر چندین نهاد مالی تأثیر می گذارد.

لازم به ذکر است که تأثیر قطعی ها به شرکت ها و کاربران نهایی محدود نمی شود و پیامدهای آن به طور بالقوه بر امور مالی شخصی سرریز می شود همانطور که بانک DBS نشان داده است.15 زودتر
امسال.

DORA - وابستگی های شخص ثالث و انعطاف پذیری عملیاتی

واحدهای مالی به طور فزاینده ای به ارائه دهندگان شخص ثالث برای ارائه بخش های حیاتی عملیات و خدمات خود متکی هستند، متعاقباً، DORA نیز به طور قابل توجهی بر وابستگی های شخص ثالث تأثیر می گذارد. این اشخاص ثالث شامل ارائه دهندگان خدمات ابری هستند،
فروشندگان داده، توسعه دهندگان نرم افزار و سایر شرکای فناوری. برون سپاری عملکردهای خاص می تواند کارایی را افزایش دهد و هزینه ها را کاهش دهد، اما همانطور که در مورد Ion دیدیم، خطرات جدیدی را نیز به همراه دارد. اکنون مقامات باید به فراتر از انعطاف پذیری افراد تحت نظارت نگاه کنند
شرکت ها و ارزیابی انعطاف پذیری عملیاتی گسترده تر این بخش.

DORA بر اهمیت شیوه‌های مدیریت ریسک قوی برای وابستگی‌های شخص ثالث با هدف تقویت انعطاف‌پذیری کلی بخش مالی در عصر دیجیتال تأکید می‌کند. این شامل:

1. دامنه وسیع ریسک شخص ثالث ICT – برای افزایش انعطاف پذیری عملیاتی در بخش خدمات مالی، DORA شبکه گسترده ای را برای تعریف ریسک شخص ثالث ICT ایجاد می کند. به عنوان مثال، ماده 3 (18) DORA16 تعریف می کند
   ریسک شخص ثالث ICT به عنوان هر خطر ICT - ماده 3 (5)17 - که ممکن است برای یک واحد مالی ناشی از استفاده از خدمات ICT ارائه شده ایجاد شود
   توسط یک ارائه دهنده خدمات شخص ثالث، پیمانکاران فرعی یا ترتیبات برون سپاری.
2. شیوه های مدیریت ریسک برای فروشندگان شخص ثالث - DORA شیوه های مدیریت ریسک مناسب را برای فروشندگان شخص ثالث الزامی می کند تا ریسک های عملیاتی مرتبط با روابط شخص ثالث را کاهش داده و انعطاف پذیری را تضمین کند. همچنین هدف آن اجرای هماهنگ است
   چارچوب نظارتی برای مدیریت ریسک فروشنده شخص ثالث در سراسر اتحادیه اروپا (ماده 1518).
3. ارائه دهندگان شخص ثالث ICT حیاتی - DORA نقش حیاتی ارائه دهندگان خدمات ICT در خدمات مالی را تشخیص می دهد. اگر شخص ثالثی مانند CJC در برخی موارد حیاتی تلقی شود، باید با الزامات DORA مطابقت داشته باشد. قابل توجه، اشخاص ثالث مهم
   خارج از اتحادیه اروپا ملزم به ایجاد یک شرکت فرعی در اتحادیه اروپا هستند - ماده 31 (12)19 - هر چند مقدمه (82)20 یادداشت ها
   این الزام «نباید از ارائه‌دهنده خدمات شخص ثالث ICT و پشتیبانی فنی مرتبط از تأسیسات و زیرساخت‌های خارج از اتحادیه جلوگیری کند».

جینا وی، مدیر ارشد اطلاعات در CJC، در مورد انعطاف‌پذیری عملیاتی و انطباق با DORA گفت: «از اجرای رمزگذاری قوی و کنترل دسترسی دقیق تا انجام ممیزی‌های منظم، CJC سطوح بالایی از انطباق را برای اطمینان از داده‌ها حفظ می‌کند.
امنیت. همراه با برنامه ریزی فعال، رویه های تطبیقی ​​و فرهنگ بهبود مستمر، ما خدمات بی وقفه را به مشتریان خود تضمین می کنیم. ما امیدواریم که تعهد ما به امنیت اطلاعات، انعطاف پذیری عملیاتی و پاسخگویی ما را فراهم کند
آرامش خاطر مشتریان و اعتماد به خدمات مدیریت شده ما.”

DORA Compliance در مقابل Non Compliance

خطر عدم رعایت

عدم رعایت DORA ممکن است منجر به آسیب به شهرت، ضررهای مالی و مجازات های قانونی شود. شرکت‌هایی که از الزامات DORA پیروی نمی‌کنند، در معرض اختلالات عملیاتی، نارضایتی مشتریان و عواقب قانونی احتمالی هستند.

DORA Compliance – 3 ملاحظات و بهترین شیوه ها

برای پیروی از DORA، موسسات مالی باید به طور جامع وابستگی های شخص ثالث موجود را ترسیم کنند و درک خدمات عملکردهای برون سپاری شده را برای شناسایی وابستگی های حیاتی درگیر کنند. مرحله 2 انعطاف پذیری وابستگی های نقشه برداری شده را ارزیابی می کند
برای ارزیابی قابلیت های عملیاتی، اقدامات امنیتی و برنامه های بازیابی فاجعه ارائه دهنده خدمات خود. در نهایت، توافقات قراردادی با اشخاص ثالث باید به طور خاص به الزامات انعطاف پذیری عملیاتی بپردازد. این شامل مقررات مربوط به حادثه است
گزارش، تداوم کسب و کار، و اهداف زمان بازیابی.

برای حفظ سازگاری، موسسات مالی می توانند چندین گام برای اجرای بهترین شیوه ها برای اطمینان از انطباق مداوم با DORA بردارند. این شامل:

1. دقت لازم – هنگام انتخاب ارائه‌دهندگان شخص ثالث، با در نظر گرفتن سابقه موفقیت، ثبات مالی و انعطاف‌پذیری عملیاتی، بررسی لازم را انجام دهید.
2. تست سناریو – شبیه سازی سناریوهای مختلف با اشخاص ثالث برای آزمایش اثربخشی طرح های بازیابی. این باید شامل حملات سایبری، خرابی سیستم و بلایای طبیعی باشد.
3. نظارت مستمر - عملکرد و انطباق شخص ثالث را به طور منظم زیر نظر داشته باشید، در صورت تغییر وضعیت انعطاف پذیری، آمادگی سازگاری را داشته باشید.

کلمات نهایی:

DORA فقط یک مقررات نیست. این یک فرصت استراتژیک برای افزایش انعطاف پذیری عملیاتی شما و ایجاد اعتماد در عصر دیجیتال است. CJC به‌عنوان پیشرو در مشاوره فناوری داده‌های بازار و ارائه‌دهنده خدمات برای بازارهای مالی جهانی، موقعیت خود را مورد توجه قرار می‌دهد
به عنوان یک تامین کننده شخص ثالث حیاتی خدمات مدیریت شده با داده های بازار به جامعه بازار سرمایه به طور جدی. صرف نظر از سطح خدمات، استانداردهای منطبق با DORA و شفافیت خارج از جعبه CJC است، که مشاوره برنده چند جایزه را ارائه می دهد.
خدمات مدیریت شده، راه حل های ابری، قابلیت مشاهده، و خدمات مدیریت تجاری حرفه ای برای سیستم های داده بازار حیاتی. CJC از نظر فروشنده خنثی است و دارای گواهی ISO 27001 است که به شرکای CJC این امکان را می‌دهد تا بر کسب و کار اصلی خود تمرکز کنند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs