DORA – Navigálás az EU operatív ellenálló képességi táján

DORA – Navigálás az EU operatív ellenálló képességi táján

Időbélyeg: 10. április 2024. 12:52
DORA – Navigálás az EU operatív rugalmassági tájképében, a PlatoBlockchain adatintelligenciában. Függőleges keresés. Ai.

DORA – Az operatív reziliencia megerősítése és harmonizálása az EU-ban. 

Tekintse meg a teljes cikket: https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

Az EU DORA elkerülhetetlen, és az unión túl is hullámzó hatásai lesznek. Felváltja a korábbi iparág-specifikus működési rugalmassági iránymutatásokat, és áthidalja a nemzeti különbségeket, harmonizálva a kulcsfontosságú területekre vonatkozó iránymutatásokat a teljes pénzügyi területen.
ipari értékláncot, hogy közös keretet hozzanak létre az unióban. Ez a betekintés a DORA makrohatásait tárja fel, és összefoglalja a DORA teljes szövegének kulcsfontosságú részeit, és meghatározza:

  1. Mi az a DORA és 5 fókuszterülete?
  2. Miért fontos a DORA?
  3. Kire vonatkozik a DORA?
  4. DORA megfelelőség vs. nem megfelelőség.

A digitális technológiák kulcsfontosságúak a globális pénzügyi és tőkepiaci cégek számára az összetett rendszerek támogatásában, létfontosságúak a tipikus üzleti funkciók és bevételtermelő tevékenységek ellátásához. A digitalizáció és az ebből fakadó összekapcsolhatóság
nagyobb hatékonyságot és költségmegtakarítást tesz lehetővé, ugyanakkor felerősíti az információs és kommunikációs technológiai (IKT) kockázatokat, és növeli a pénzügyi rendszer sebezhetőségét a kiberfenyegetésekkel vagy zavarokkal szemben.

A nemzeti szintű célzott szakpolitikai és jogalkotási kezdeményezések ellenére az Európai Unió (EU) felismeri, hogy rendkívül fontos a tagállamaiban harmonizálni és megerősíteni a működési rugalmasságot a belső integritásának és hatékonyságának védelme érdekében.
piacán, különös tekintettel a növekvő kiberfenyegetésekre1 és zavar
események2. Egy nézet, amelyet a Liquidnet nemrég visszhangzott3:

„Az iparág csak annyira erős, amennyire a leggyengébb láncszeme […] 2024 nemcsak a megfelelőség, a kockázatok és az ellenőrzések, valamint a technológiai interoperabilitás fokozottabb szabályozási ellenőrzését jelenti majd, hanem az egyéni felelősséget is az ökoszisztéma optimális működéséért.”

A folyamatban lévő rugalmassági kihívások megoldása érdekében az EU bevezette a Digital Operational Resilience Act (DORA) törvényt, hogy megerősítse a pénzügyi szervezetek IKT-biztonságát és működési robusztusságát.

Mi az a DORA és 5 fókuszterülete?

A DORA-t az Európai Parlament és a Tanács 14. december 2022-én fogadta el, a 17. január 2025-ig megkövetelt megfeleléssel. A rendelet célja, hogy megszilárdítsa és fokozza a digitális működési rugalmasságot a pénzügyi környezetben,
idáig a különböző uniós jogi aktusok külön-külön foglalkoztak egy közös kereten keresztül4 a digitális működési rugalmasság érdekében
a pénzügyi szervezeteknek, hogy jobban ellenálljanak a jogsértéseknek és az IKT-incidenseknek, és felépüljenek azokból.

A DORA 5 fókuszpontja:

  1. IKT kockázatkezelés.
  2. IKT-val kapcsolatos incidenskezelés, osztályozás és jelentés.
  3. Digitális működési ellenálló képesség tesztelése.
  4. IKT harmadik fél kockázatkezelése.
  5. Információmegosztási megállapodások.

Miért fontos a DORA?

A DORA a korábbi iparág-specifikus irányelvekre épít és felülírja az egyenlőtlenségeket, és következetesen konszolidálja a kulcsfontosságú területekre vonatkozó irányelveket a teljes értékláncban. Egyedülálló, mert bevezeti a szakszervezeti szintű közös felügyeleti keretrendszert
az európai felügyeleti hatóságok (ESA) által kijelölt kritikus IKT-szolgáltatók5.

Mivel a pénzügyi szektor a digitális IKT-rendszerekre támaszkodik, és az összekapcsolhatóság növekedésével az IKT-kockázatok és sebezhetőségek egyre zavaróbb, határokon átnyúló hatást fognak gyakorolni az unióban, ami felerősíti a működési zavarok és a kibernetikai problémák hatását.
fenyegetések a pénzügyi cégeknél. A DORA elismeri, hogy a digitalizáció ma már kritikus pénzügyi funkciókat is magában foglal6 mint
fizetések, értékpapír-elszámolás, algoritmikus kereskedés és back-office műveletek. Célja, hogy megerősítse e funkciók működési rugalmasságát az általános pénzügyi stabilitás fenntartása és a fogyasztók belső piacokon belüli bizalmának védelme érdekében. A DORA célja a megőrzés
piaci bizalom a pénzügyi szolgáltatások zökkenőmentes biztosításával még kihívásokkal teli forgatókönyvek esetén is.

Kire vonatkozik a DORA?

A DORA az EU összes pénzintézetére és az őket támogató szolgáltatásokat nyújtó IKT-szolgáltatókra vonatkozik. Egy friss betekintés10 címzett
ez. Az EU DORA rendelete konkrét és előíró követelményeket vezet be minden pénzügyi piaci szereplő számára.

DORA – Pénzügyi entitások

A DORA-nak való megfelelés érdekében a pénzügyi szervezeteknek javítaniuk kell az IKT-val kapcsolatos kockázatkezelési gyakorlatukat, amelyek magukban foglalják a digitális műveletekkel kapcsolatos kockázatok azonosítását, értékelését és mérséklését. A DORA azonnali IKT-események bejelentési kötelezettséget is bevezet a
illetékes hatóságokat a kritikus funkciózavarok miatt. Ezenkívül az intézményeknek rendszeresen szimulálniuk kell a különféle zavarokat, hogy teszteljék a működési rugalmasságot és a helyreállítási képességeket.

A DORA különösen hangsúlyozza, hogy a pénzügyi szervezeteknek fel kell mérniük és kezelniük kell szolgáltatóik harmadik fél IKT-kockázatát, és biztosítaniuk kell, hogy a szerződéses megállapodások foglalkozzanak a működési rugalmassággal. Ez a kockázat koncentrációjára vonatkozik (DORA 29. cikk).11)
és követi az olyan eseményeket, mint az OPRA leállás12és a kritikus beszállítókat célzó kiberbűnözés
a pénzügyi ellátási láncban, mint az Ion Group tavalyi hackelése13 or
számítási felhő szállítók14, hol egy
egyetlen incidens több pénzügyi szervezetet is érinthet.

Meg kell jegyezni, hogy a kimaradások hatása nem korlátozódik a cégekre és a végfelhasználókra, és a következmények potenciálisan túlcsordulhatnak a személyes pénzügyekre, amint azt a DBS bank kimutatta.15 korábban
ebben az évben.

DORA – Harmadik féltől származó függőségek és működési rugalmasság

A pénzügyi szervezetek egyre inkább külső szolgáltatókra hagyatkoznak működésük és szolgáltatásaik kritikus részeinek teljesítésében, ezt követően a DORA jelentősen befolyásolja a harmadik felektől való függőséget is. E harmadik felek közé tartoznak a felhőszolgáltatók,
adatszolgáltatók, szoftverfejlesztők és más technológiai partnerek. Egyes funkciók kiszervezése növelheti a hatékonyságot és csökkentheti a költségeket, de ahogy az Ionnál láttuk, új kockázatokat is rejt magában. A hatóságoknak most túl kell tekinteniük az egyéni szabályozott rugalmasságon
és értékelje az ágazat szélesebb körű működési rugalmasságát.

A DORA hangsúlyozza a robusztus kockázatkezelési gyakorlatok fontosságát a harmadik felektől való függőség esetén, amelyek célja a pénzügyi szektor általános rugalmasságának erősítése a digitális korban. Ezek tartalmazzák:

  1. Az IKT harmadik felekkel kapcsolatos kockázatainak széles köre – A pénzügyi szolgáltatási szektorban a működési rugalmasság fokozása érdekében a DORA széles hálót vet fel a harmadik fél IKT-kockázatának meghatározására. Például a DORA 3. cikkének (18) bekezdése16 határozza meg
    Az IKT harmadik fél kockázata, mint bármely IKT-kockázat – 3. cikk (5)17 – amely a nyújtott IKT-szolgáltatások igénybevételéből származó pénzügyi szervezetnél felmerülhet
    harmadik fél szolgáltató, alvállalkozók vagy kiszervezési megállapodások.
  2. Kockázatkezelési gyakorlatok külső szállítók számára – A DORA megfelelő kockázatkezelési gyakorlatot ír elő a külső szállítók számára, hogy csökkentse a harmadik felekkel kapcsolatos kapcsolatokhoz kapcsolódó működési kockázatokat és biztosítsa a rugalmasságot. Célja továbbá egy harmonizált
    a harmadik felek eladói kockázatkezelésének szabályozási kerete az EU-ban (15. cikk18).
  3. Kritikus ICT harmadik fél szolgáltatók – A DORA elismeri az IKT-szolgáltatók kritikus szerepét a pénzügyi szolgáltatásokban. Ha egy harmadik felet kritikusnak ítélnek meg, például bizonyos esetekben a CJC-t, akkor meg kell felelnie a DORA követelményeinek. Nevezetesen a kritikus harmadik felek
    az EU-n kívülieknek leányvállalatot kell alapítaniuk az EU-n belül – 31. cikk (12)19 – bár preambulum (82)20 megjegyzi,
    a követelmény „nem akadályozhatja meg, hogy a kritikus IKT-szolgáltató harmadik fél IKT-szolgáltatásokat és kapcsolódó műszaki támogatást nyújtson az Unión kívül található létesítményekből és infrastruktúrából”.

A működési rugalmasságról és a DORA-megfelelőségről szólva Gina Wee, a CJC információs igazgatója azt mondta: „A robusztus titkosítástól és a szigorú hozzáférés-ellenőrzéstől a rendszeres auditok elvégzéséig a CJC magas szintű megfelelőséget biztosít az adatok biztosítása érdekében.
Biztonság. A proaktív tervezéssel, az adaptív eljárásokkal és a folyamatos fejlesztés kultúrájával kombinálva zavartalan szolgáltatást biztosítunk ügyfeleink számára. Reméljük, hogy az információbiztonság, a működési rugalmasság és az elszámoltathatóság iránti elkötelezettségünk biztosítja számunkra
ügyfeleink nyugalmat és bizalmat a kezelt szolgáltatásainkban.”

DORA megfelelőség vs. nem megfelelőség

A meg nem felelés kockázata

A DORA be nem tartása jó hírnév károsodásához, pénzügyi veszteségekhez és hatósági szankciókhoz vezethet. Azok a cégek, amelyek nem tesznek eleget a DORA követelményeinek, működési zavarokkal, az ügyfelek elégedetlenségével és esetleges jogi következményekkel számolhatnak.

DORA megfelelőség – 3 szempont és bevált gyakorlat

A DORA-nak való megfelelés érdekében a pénzügyi intézményeknek átfogóan fel kell térképeniük a meglévő, harmadik féltől származó függőségeket, és meg kell érteniük a kiszervezett funkciók szolgáltatásait a kritikus függőségek azonosítása érdekében. A 2. lépés felméri a leképezett függőségek rugalmasságát
hogy értékeljék szolgáltatójuk működési képességeit, biztonsági intézkedéseit és katasztrófa-helyreállítási terveit. Végül a harmadik felekkel kötött szerződéses megállapodásoknak kifejezetten foglalkozniuk kell a működési rugalmasság követelményeivel. Ez magában foglalja az eseményekre vonatkozó rendelkezéseket
jelentéskészítés, üzletmenet-folytonosság és helyreállítási idő célkitűzései.

A megfelelőség megőrzése érdekében a pénzügyi intézmények több lépést is megtehetnek a legjobb gyakorlatok bevezetése érdekében, hogy biztosítsák a DORA-nak való folyamatos megfelelést. Ezek tartalmazzák:

  1. Due Diligence – Harmadik fél szolgáltatók kiválasztásakor végezzen alapos átvilágítást, figyelembe véve teljesítményüket, pénzügyi stabilitásukat és működési rugalmasságukat.
  2. Forgatókönyvek tesztelése – Szimuláljon különböző forgatókönyveket harmadik felekkel a helyreállítási tervek hatékonyságának tesztelése érdekében. Ide tartoznak a kibertámadások, a rendszerhibák és a természeti katasztrófák.
  3. Folyamatos felügyelet – Rendszeresen kövesse nyomon a harmadik felek teljesítményét és megfelelését, és készüljön fel arra, hogy alkalmazkodni tudjon a rugalmassági testhelyzetek megváltozásához.

Záró szavak:

A DORA nem csupán szabályozás; ez egy stratégiai lehetőség a működési rugalmasság növelésére és a bizalom építésére a digitális korban. A CJC a globális pénzügyi piacok vezető piaci adattechnológiai tanácsadójaként és szolgáltatójaként kezeli pozícióját
mint a tőkepiaci közösség kritikus, harmadik fél piaci adatkezelésű szolgáltatója. Nem számít a szolgáltatási szint, a DORA-kompatibilis szabványok és az átláthatóság a CJC-től, amely többszörösen díjnyertes tanácsadást nyújt,
felügyelt szolgáltatások, felhőmegoldások, megfigyelhetőség és professzionális kereskedelmi menedzsment szolgáltatások kritikus piaci adatrendszerekhez. A CJC szállító-semleges és ISO 27001 tanúsítvánnyal rendelkezik, ami lehetővé teszi a CJC partnerei számára, hogy az alaptevékenységükre összpontosítsanak.

Időbélyeg:

Még több Fintextra