डोरा प्लेटोब्लॉकचेन डेटा इंटेलिजेंस की उलटी गिनती। लंबवत खोज. ऐ.

डोरा की उलटी गिनती

टाइम स्टैम्प: 28 सितंबर, 2022 शाम 1:00 बजे

11 मई, 2022 को यूरोपीय संघ (ईयू) नए डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (डीओआरए) पर अनंतिम समझौते पर पहुंचा। वाक्यांश के बावजूद, डोरा के बारे में कुछ भी "अनंतिम" नहीं है। वास्तव में, वित्तीय सेवाओं और उनकी आपूर्ति श्रृंखलाओं के लिए दुनिया के सबसे दूरगामी साइबर सुरक्षा नियमों में से एक ज्यादातर एक सौदा हो चुका है।

इस अक्टूबर में किसी समय अपेक्षित औपचारिक अंगीकरण से पहले जो कुछ बचा है, उसमें मुख्य रूप से कुछ तकनीकी परिवर्तन और यूरोपीय संघ के सदस्य देशों की 24 आधिकारिक भाषाओं में अनुवाद शामिल है।

DORA वित्तीय संस्थानों के खिलाफ साइबर हमलों की बढ़ती संख्या के प्रति यूरोपीय संघ की प्रतिक्रिया का प्रतिनिधित्व करता है। इसे लचीलेपन की आवश्यकताओं को लागू करके और आपूर्ति श्रृंखला को विनियमित करके यूरोपीय संघ की वित्तीय फर्मों, जैसे बैंकों, बीमा कंपनियों, निवेश फर्मों और अन्य की सुरक्षा को मजबूत करने के लिए डिज़ाइन किया गया है। लेकिन, जैसा कि मैंने एक में उल्लेख किया है पहले पोस्टDORA के सिद्धांत यूरोपीय संघ और उसके वित्तीय क्षेत्र से कहीं आगे तक फैले हुए हैं।

नेटवर्क और सूचना प्रणालियों की सुरक्षा के लिए DORA की समान आवश्यकताओं में न केवल वित्तीय क्षेत्र के उद्यम शामिल हैं, बल्कि वित्तीय क्षेत्र में क्लाउड प्लेटफ़ॉर्म और डेटा एनालिटिक्स जैसी सूचना और संचार प्रौद्योगिकी-संबंधित सेवाएं प्रदान करने वाले महत्वपूर्ण तृतीय-पक्ष विक्रेता भी शामिल हैं।

दरअसल, DORA की पहुंच मूल रूप से सूचना और संचार प्रौद्योगिकी (ICT) सेवाओं की पेशकश करने वाले किसी भी उद्यम तक फैली हुई है, जिसे यूरोपीय वित्तीय क्षेत्र का समर्थन करने वाली आपूर्ति श्रृंखला के लिए महत्वपूर्ण माना जाता है - भले ही वह उद्यम या सेवा EU के अंदर स्थित हो या नहीं। वास्तव में, DORA के तहत, आपूर्ति श्रृंखला की जटिलता या EU की उपस्थिति की कमी दोनों को जोखिम कारक माना जाता है।

नए नियामक परिप्रेक्ष्य को अनिवार्य बनाना

डोरा इस मायने में अद्वितीय है कि यह विभिन्न प्रकार के वैश्विक उद्यमों के लिए नियामक जांच का एक नया और अलग स्तर लाता है। डोरा की आवश्यकताएँ अधिदेश - केवल सुझाव ही नहीं - इसके प्रावधानों का अनुपालन। उतना ही महत्वपूर्ण, नियामक जांच के इस नए स्तर का प्रभाव उद्यम के दृष्टिकोण के आधार पर भिन्न होता है।

मुख्य रूप से वित्तीय जोखिम और स्थिरता का आकलन करने के लिए डिज़ाइन किए गए नियामक वातावरण के आदी वित्तीय संस्थानों को अब अपने आईसीटी संचालन से उत्पन्न संभावित जोखिम को उतनी ही गंभीरता से लेना होगा। वित्तीय संस्थान पूंजी आवश्यकताओं के रूप में जोखिम का समाधान करने के आदी हैं। DORA विशिष्ट व्यवहार और प्रदर्शन-आधारित आवश्यकताओं को अनिवार्य करके एक अलग दृष्टिकोण अपनाता है। वित्तीय संस्थानों के दृष्टिकोण से, जोखिम बढ़ने का उनके व्यवसाय के कई पहलुओं पर प्रभाव पड़ता है, जैसे कि वे प्रौद्योगिकी का उपभोग कैसे करते हैं और क्लाउड कंप्यूटिंग जैसी नई तकनीकों में परिवर्तन करके वे अपने व्यवसाय को कैसे बदलते हैं। इसमें समग्र जोखिम प्रबंधन रणनीतियाँ और क्षमताएं, आपूर्ति श्रृंखला सुरक्षा, और उचित आईसीटी जोखिम मूल्यांकन और अनुपालन सुनिश्चित करने के लिए संगठनात्मक स्टाफिंग और नीतियां शामिल हैं।

DORA आईसीटी संगठनों के नियामक परिप्रेक्ष्य को भी बदलता है। अब तक, उन्हें व्यक्तिगत डेटा और डिजिटल संप्रभुता जैसे राजनीतिक उद्देश्यों के बारे में चिंताओं के आधार पर मुख्य रूप से डेटा-संबंधित मुद्दों, जैसे डेटा गोपनीयता और डेटा उल्लंघन अधिसूचना पर विनियमित किया गया है। यूरोप में जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) और संयुक्त राज्य अमेरिका में हाल ही में कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम (सीसीपीए) जैसे अभूतपूर्व नियम दिमाग में आते हैं।

आईसीटी संगठनों के पास सुरक्षा पर अन्य विनियामक दायित्व भी हो सकते हैं, या उन्हें महत्वपूर्ण बुनियादी ढांचे के रूप में वर्गीकृत किया गया है, यह इस बात पर निर्भर करता है कि वे कहाँ स्थित हैं, जैसे कि नेटवर्क और सूचना सुरक्षा निर्देश (एनआईएस) यूरोप में, साइबर सुरक्षा अधिनियम 2018 सिंगापुर में, या क्षेत्र-विशिष्ट विधान संयुक्त राज्य अमेरिका में दूरसंचार जैसे विशिष्ट उद्योगों के लिए।

अब, यदि आईसीटी कंपनियाँ यूरोपीय संघ में वित्तीय संस्थानों को सेवा दे रही हैं, तो संभवतः वे भी DORA के अधीन होंगी। इसलिए, उनके पूर्व नियामक ढांचे के अलावा, महत्वपूर्ण सेवा प्रदान करने के रूप में नामित उन आईसीटी प्रदाताओं को अचानक DORA के तहत इस तरह से विनियमित किया जाएगा कि ऐसा महसूस होगा जैसे कि वे बन रहे हैं एक्सटेंशन यूरोपीय संघ के जिन वित्तीय संस्थानों को वे सेवा दे रहे हैं। भले ही कोई इसे कैसे भी देखे, यह एक नाटकीय बदलाव है - वित्तीय संस्थानों और आईसीटी प्रदाताओं दोनों के लिए।

लेकिन वह सब नहीं है। DORA EU के नियामक प्रतिष्ठान के परिप्रेक्ष्य को बदल देता है। नियामक जो वित्तीय संस्थान अनुपालन के विशेषज्ञ हैं, उन्हें अब क्लाउड प्रदाता, डेटा एनालिटिक्स सेवाओं और अन्य गैर-वित्तीय व्यवसायों जैसी महत्वपूर्ण सेवाएं प्रदान करने वाले आईसीटी प्रदाताओं को शामिल करने के लिए अपना दायरा बढ़ाना चाहिए। जटिल नियामक संरचनाओं वाले देशों में, इन अतिरिक्त प्रकार के गैर-वित्तीय उद्योगों को विनियमित करने का काम करने वाले अन्य निकायों के साथ सहयोग करने की भी आवश्यकता होगी।

चुनौतियों का सामना करना

DORA को यूरोपीय संघ के वित्तीय संस्थानों को अपनी साइबर सुरक्षा और जोखिम प्रबंधन परिपक्वता का आकलन करने की आवश्यकता है। उनकी आपूर्ति श्रृंखला जोखिम प्रदर्शन को समझना और प्रबंधित करना इस प्रयास के केंद्र में होगा।

सामान्य तौर पर, वित्तीय संस्थान सुरक्षा और वित्तीय स्थिरता निर्धारित करने के लिए तनाव परीक्षणों में माहिर होते हैं। इस प्रकार के परीक्षणों को अन्य संगठनों तक विस्तारित करना एक अलग चुनौती है। इसलिए, यूरोपीय संघ के वित्तीय क्षेत्र के लिए, अधिक जटिल और विस्तारित आपूर्ति श्रृंखला में विक्रेताओं, जोखिम प्रबंधन और परिचालन क्षमताओं का प्रबंधन कैसे किया जाए, यह सबसे बड़ी पहेली है।

उदाहरण के लिए, एक वित्तीय संस्थान का मुख्यालय यूरोप में हो सकता है लेकिन उसकी सभी सहायता गतिविधियाँ भारत में स्थित व्यवसायों के लिए आउटसोर्स की गई हैं। ये सहायता सेवाएँ तकनीकी रूप से वित्तीय संस्थान नहीं हो सकती हैं। लेकिन DORA को वित्तीय संस्थान को यह आकलन करने की आवश्यकता होगी कि विक्रेता उसके संचालन के लिए महत्वपूर्ण है या नहीं और उस रिश्ते के लिए प्रासंगिक DORA आवश्यकताओं को लागू करें।

यूरोपीय संघ में स्थित उद्यमों के लिए, मुख्य प्रश्न अधिकार क्षेत्र और बाजार पहुंच में से एक है। यूरोपीय संघ के बाहर काम करने वाले वित्तीय संस्थान या आईसीटी प्रदाता प्रभावित नहीं होंगे। लेकिन यदि उद्यम एक वित्तीय संस्थान या आईसीटी सेवा प्रदाता है जो किसी भी तरह से यूरोपीय संघ के वित्त क्षेत्र को सेवा प्रदान करता है, तो यह संभवतः प्रत्यक्ष या अप्रत्यक्ष रूप से DORA के अधीन होगा।

2024 की उलटी गिनती

जब तक अंतिम पाठ में कुछ बदलाव नहीं होता, DORA आधिकारिक रूप से अपनाए जाने के 24 महीने बाद प्रभावी हो जाता है। वास्तविक रूप से, यह 2024 के करीब होने की संभावना है। अच्छी खबर यह है कि इससे संगठनों को अनुपालन की तैयारी के लिए काफी समय मिलता है। सबसे महत्वपूर्ण बात यह है कि इसे सामान्य उद्यम बजट चक्र में शामिल करने के लिए बहुत लंबा समय नहीं है।

लेकिन इससे पहले कि वह समय सीमा आपके सामने आ जाए, तैयारी शुरू कर दें अभी. यहां पांच प्रमुख चरण दिए गए हैं:

  • 2024 तक के समय का बुद्धिमानी से उपयोग करें।
  • समझें कि आप कहां हैं. अपने अनुपालन अंतरालों को खोजें, ढूंढ़ें और पहचानें।
  • निर्धारित करें कि आपको अपनी कमियाँ दूर करने के लिए क्या चाहिए।
  • शिक्षित करें और वरिष्ठ प्रबंधन से लाभ प्राप्त करें।
  • 24 महीने का बजट.

घड़ी चल रही है।

समय टिकट:

से अधिक डार्क रीडिंग