DORA – Navigointi EU:n operatiivisen kestävyyden maisemassa

DORA – Navigointi EU:n operatiivisen kestävyyden maisemassa

Aikaleima: 10. huhtikuuta 2024 12
DORA – Navigointi EU:n operatiivisen kestävyyden maisemassa PlatoBlockchain Data Intelligencessä. Pystysuuntainen haku. Ai.

DORA – Operatiivisen kestävyyden vahvistaminen ja yhdenmukaistaminen kaikkialla EU:ssa. 

Katso koko artikkeli osoitteessa https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

EU:n DORA on väistämätön, ja sillä on hälinää unionin ulkopuolella. Se korvaa aiemmat toimialakohtaiset toiminnan kestävyyttä koskevat suuntaviivat ja poistaa kansalliset erot yhdenmukaistaen ohjeet keskeisille painopistealueille koko talousalueella.
alan arvoketjun luomaan yhteiset puitteet koko unionissa. Tämä oivallus tutkii DORAn makrovaikutuksia ja tekee yhteenvedon DORAn koko tekstin tärkeimmistä osista määritelläkseen:

  1. Mikä on DORA ja sen 5 painopistealuetta?
  2. Miksi DORA on tärkeä?
  3. Kenelle DORA koskee?
  4. DORA-vaatimustenmukaisuus vs. noudattamatta jättäminen.

Digitaaliset teknologiat ovat avainasemassa globaaleille rahoitus- ja pääomamarkkinayrityksille monimutkaisten järjestelmien tukemisessa, ja se on kriittinen tyypillisten liiketoimintatoimintojen ja tuloja tuottavien toimintojen toteuttamisessa. Digitalisaatio ja siitä johtuva yhteenliitettävyys
mahdollistavat tehokkuuden ja kustannussäästöt, mutta myös lisäävät tieto- ja viestintätekniikan (ICT) riskejä ja lisäävät rahoitusjärjestelmän haavoittuvuutta kyberuhkille tai -häiriöille.

Huolimatta kansallisen tason kohdistetuista poliittisista ja lainsäädäntöaloitteista Euroopan unioni (EU) tunnustaa kriittisen tarpeen harmonisoida ja vahvistaa toiminnan kestävyyttä kaikissa jäsenvaltioissa, jotta voidaan suojella sisäisten järjestelmien eheyttä ja tehokkuutta.
markkinoilla, erityisesti kun otetaan huomioon lisääntyvät kyberuhat1 ja häiriö
vaaratilanteiden2. Liquidnetin äskettäin toistama näkemys3:

"Teollisuus on vain niin vahva kuin sen heikoin lenkki […] Vuosi 2024 ei edusta ainoastaan ​​laajempaa vaatimustenmukaisuuden, riskien ja valvonnan valvontaa sekä teknologian yhteentoimivuutta, vaan myös yksilöllistä vastuuta ekosysteemin toimivuudesta optimaalisesti."

Vastatakseen jatkuviin resilienssihaasteisiin EU otti käyttöön Digital Operational Resilience Act (DORA) -lain vahvistaakseen ICT-turvallisuutta ja toiminnan kestävyyttä rahoitusyksiköissä.

Mikä on DORA ja sen 5 painopistealuetta?

Euroopan parlamentti ja neuvosto hyväksyivät DORAn 14. joulukuuta 2022, ja sen noudattaminen on edellytetty 17. tammikuuta 2025 mennessä. Asetuksen tavoitteena on lujittaa ja parantaa digitaalisen toiminnan joustavuutta koko finanssimaailmassa, joka on
tähän asti niitä on käsitelty erikseen useissa unionin säädöksissä yhteisen kehyksen kautta4 digitaalisen toiminnan kestävyyden vuoksi
kestämään paremmin tietomurtoja ja tieto- ja viestintätekniikkatapauksia ja toipumaan niistä.

DORA:n 5 painopistealuetta:

  1. ICT-riskinhallinta.
  2. ICT:hen liittyvä tapaustenhallinta, luokittelu ja raportointi.
  3. Digitaalinen käyttökestävyystestaus.
  4. Kolmannen osapuolen ICT-riskinhallinta.
  5. Tiedonjakojärjestelyt.

Miksi DORA on tärkeä?

DORA rakentaa ja korvaa aikaisemmat toimialakohtaiset ohjeet erojen poistamiseksi ja konsolidoi johdonmukaisesti avainalueita koskevia ohjeita koko arvoketjussa. Se on ainutlaatuinen, koska siinä otetaan käyttöön ammattiliittotasolla yhteinen valvontakehys
kriittiset kolmannen osapuolen tieto- ja viestintätekniikan toimittajat Euroopan valvontaviranomaisten (ESA) nimeämällä5.

Kun finanssisektori on riippuvainen digitaalisista ICT-järjestelmistä ja yhteenliitettävyyden kasvaessa, ICT-riskeillä ja haavoittuvuuksilla on yhä enemmän häiritseviä rajat ylittäviä vaikutuksia koko unionissa, mikä voimistaa toimintahäiriöiden ja kyberin vaikutusta.
uhkauksia rahoitusyhtiöissä. DORA myöntää, että digitalisaatio kattaa nyt kriittiset taloudelliset toiminnot6 pitää
maksut, arvopaperien selvitys, algoritminen kaupankäynti ja back-office-operaatiot. Sen tavoitteena on vahvistaa näiden toimintojen toiminnan kestävyyttä yleisen rahoitusvakauden ylläpitämiseksi ja kuluttajien luottamuksen suojelemiseksi sisämarkkinoilla. DORA pyrkii säilyttämään
markkinoiden luottamusta varmistamalla rahoituspalvelujen saumattoman tarjonnan myös haastavissa tilanteissa.

Kenelle DORA koskee?

DORA koskee kaikkia EU:n rahoituslaitoksia ja niitä tukevia palveluja tarjoavia kolmannen osapuolen ICT-palveluntarjoajia. Tuore oivallus10 osoitettu
Tämä. EU:n DORA-asetus asettaa erityisiä ja ohjeellisia vaatimuksia kaikille rahoitusmarkkinoiden toimijoille.

DORA – rahoitusyksiköt

DORAa noudattaakseen rahoituslaitosten on parannettava ICT-riskien hallintakäytäntöjä, joihin kuuluu digitaaliseen toimintaan liittyvien riskien tunnistaminen, arviointi ja vähentäminen. DORA ottaa käyttöön myös ICT-tapahtumien nopean raportoinnin velvoitteen
toimivaltaisille viranomaisille kriittisten toimintojen häiriöiden vuoksi. Lisäksi laitosten on säännöllisesti simuloitava erilaisia ​​häiriöitä testatakseen toiminnan kestävyyttä ja palautumiskykyä.

Erityisesti DORA korostaa, että rahoituslaitosten on arvioitava ja hallittava palveluntarjoajiensa kolmannen osapuolen ICT-riski ja varmistettava, että sopimusjärjestelyt koskevat toiminnan kestävyyttä. Tämä liittyy riskin keskittymiseen (DORA-lain 29 artikla11)
ja seuraa tapauksia, kuten OPRA-katkos12ja kriittisiin toimittajiin kohdistuva tietoverkkorikollisuus
rahoitusalan toimitusketjussa, kuten Ion Groupin hakkerointi viime vuonna13 or
pilvipalveluiden toimittajat14, missä
yksittäinen tapahtuma voi vaikuttaa useisiin rahoitusyksiköihin.

On huomattava, että sähkökatkojen vaikutukset eivät rajoitu yrityksiin ja loppukäyttäjiin, vaan vaikutukset voivat tunkeutua henkilökohtaiseen talouteen, kuten DBS-pankki on osoittanut.15 aikaisemmin
tänä vuonna.

DORA – Kolmannen osapuolen riippuvuudet ja toiminnan kestävyys

Rahoitusyksiköt ovat yhä enemmän luottaneet kolmansien osapuolien palveluntarjoajiin toimittamaan kriittisiä osia toiminnastaan ​​ja palveluistaan, minkä jälkeen DORA vaikuttaa merkittävästi myös riippuvuuteen kolmansista osapuolista. Näitä kolmansia osapuolia ovat pilvipalveluntarjoajat,
datatoimittajat, ohjelmistokehittäjät ja muut teknologiakumppanit. Tiettyjen toimintojen ulkoistaminen voi parantaa tehokkuutta ja alentaa kustannuksia, mutta kuten totesimme Ionin kohdalla, se tuo mukanaan myös uusia riskejä. Viranomaisten on nyt katsottava yksittäisten säänneltyjen kestävyyden pidemmälle
ja arvioida alan laajempaa toiminnallista joustavuutta.

DORA korostaa vankkojen riskinhallintakäytäntöjen merkitystä kolmansien osapuolien riippuvuuksille, joilla pyritään vahvistamaan rahoitusalan yleistä kestävyyttä digitaaliaikakaudella. Nämä sisältävät:

  1. Laaja kattavuus ICT:n kolmannen osapuolen riskeistä – Parantaakseen toiminnan kestävyyttä rahoituspalvelusektorilla DORA luo laajan verkon määritelläkseen kolmannen osapuolen ICT-riskit. Esimerkiksi DORA 3 artiklan 18 kohta16 määritellään
    Kolmannen osapuolen tieto- ja viestintätekniikan riski kuten mikä tahansa tieto- ja viestintätekniikkariski – 3 artiklan 5 kohta17 – joka voi syntyä toimitettujen ICT-palvelujen käytöstä johdetulle rahoitusyksikölle
    kolmannen osapuolen palveluntarjoajan, alihankkijoiden tai ulkoistusjärjestelyjen toimesta.
  2. Riskienhallintakäytännöt kolmansien osapuolien toimittajille – DORA määrää asianmukaiset riskinhallintakäytännöt kolmansien osapuolien toimittajille, jotta voidaan vähentää kolmansien osapuolten suhteisiin liittyviä operatiivisia riskejä ja varmistaa joustavuus. Sillä pyritään myös toteuttamaan yhdenmukaistettu
    kolmannen osapuolen toimittajien riskienhallinnan sääntelykehys kaikkialla EU:ssa (15 artikla18).
  3. Critical ICT Third-Party Providers – DORA tunnustaa ICT-palveluntarjoajien kriittisen roolin rahoituspalveluissa. Jos kolmas osapuoli katsotaan kriittiseksi, kuten CJC joissakin tapauksissa, sen on noudatettava DORA:n vaatimuksia. Erityisesti kriittiset kolmannet osapuolet
    EU:n ulkopuolella olevien on perustettava tytäryhtiö EU:n alueelle – 31 artiklan 12 kohta19 – vaikka johdanto (82)20 muistiinpanot
    Vaatimus "ei saisi estää kriittistä kolmannen osapuolen ICT-palveluntarjoajaa tarjoamasta tieto- ja viestintätekniikkapalveluita ja niihin liittyvää teknistä tukea unionin ulkopuolella sijaitsevista laitoksista ja infrastruktuurista".

Puhuessaan toiminnan kestävyydestä ja DORA-vaatimustenmukaisuudesta, CJC:n tietojohtaja Gina Wee sanoi: "CJC ylläpitää korkeaa vaatimustenmukaisuuden tasoa varmistaakseen datan vankan salauksen ja tiukan pääsynvalvonnan käyttöönotosta säännöllisiin tarkastuksiin.
turvallisuus. Yhdessä ennakoivan suunnittelun, mukautuvien toimintatapojen ja jatkuvan parantamisen kulttuurin kanssa varmistamme asiakkaillemme keskeytymättömät palvelut. Toivomme, että sitoutumisemme tietoturvaan, toiminnan kestävyyteen ja vastuullisuuteen tuo meille
Asiakkaiden mielenrauhaa ja luottamusta hallinnoituihin palveluihimme."

DORA-vaatimustenmukaisuus vs. noudattamatta jättäminen

Vaatimusten noudattamatta jättämisen riski

DORA:n noudattamatta jättäminen voi johtaa mainevaurioon, taloudellisiin menetyksiin ja viranomaisoikeudellisiin seuraamuksiin. Yritykset, jotka eivät noudata DORAn vaatimuksia, voivat joutua toimintahäiriöihin, asiakkaiden tyytymättömyyteen ja mahdollisiin oikeudellisiin seurauksiin.

DORA-yhteensopivuus – 3 näkökohtaa ja parasta käytäntöä

DORAa noudattaakseen rahoituslaitosten on kartoitettava kattavasti olemassa olevat kolmannen osapuolen riippuvuudet ja ymmärrettävä ulkoistettujen toimintojen palvelut kriittisten riippuvuuksien tunnistamiseksi. Vaiheessa 2 arvioidaan kartoitettujen riippuvuuksien kestävyyttä
arvioida palveluntarjoajansa toimintakykyä, turvatoimia ja katastrofipalautussuunnitelmia. Lopuksi kolmansien osapuolten kanssa tehdyissä sopimuksissa tulisi erityisesti käsitellä toiminnan kestävyysvaatimuksia. Tämä sisältää säännökset tapahtumasta
raportoinnin, liiketoiminnan jatkuvuuden ja toipumisajan tavoitteet.

Pysyäkseen vaatimusten mukaisina rahoituslaitokset voivat ryhtyä useisiin toimenpiteisiin parhaiden käytäntöjen toteuttamiseksi varmistaakseen jatkuvan DORA:n noudattamisen. Nämä sisältävät:

  1. Due Diligence – Kun valitset kolmannen osapuolen palveluntarjoajia, suorita perusteellinen due diligence ottamalla huomioon heidän saavutukset, taloudellinen vakaus ja toiminnan kestävyys.
  2. Skenaariotestaus – Simuloi erilaisia ​​skenaarioita kolmansien osapuolten kanssa testataksesi elvytyssuunnitelmien tehokkuutta. Tämän pitäisi sisältää kyberhyökkäykset, järjestelmähäiriöt ja luonnonkatastrofit.
  3. Jatkuva seuranta – Tarkkaile säännöllisesti kolmannen osapuolen suorituskykyä ja noudattamista ja ole valmis mukautumaan, jos joustavuusasennot muuttuvat.

Viimeiset sanat:

DORA ei ole vain asetus; Se on strateginen tilaisuus parantaa toiminnan kestävyyttäsi ja rakentaa luottamusta digitaaliaikana. CJC hoitaa asemaansa johtavana markkinatietotekniikan konsulttina ja palveluntarjoajana globaaleille rahoitusmarkkinoille
kriittisenä kolmannen osapuolen toimittajana markkinatietojen hallinnoimien palvelujen pääomamarkkinayhteisölle vakavasti. Palvelutasosta riippumatta DORA-yhteensopivat standardit ja läpinäkyvyys ovat valmiita CJC:ltä, joka tarjoaa useita palkittuja konsultteja,
hallitut palvelut, pilviratkaisut, havainnointi ja ammattimaiset kaupalliset hallintapalvelut kriittisiin markkinatietojärjestelmiin. CJC on toimittajaneutraali ja ISO 27001 -sertifioitu, mikä antaa CJC:n kumppaneille vapauden keskittyä ydinliiketoimintaansa.

Aikaleima:

Lisää aiheesta Fintextra