Pada 11 Mei 2022, Uni Eropa (UE) mencapai kesepakatan sementara atas Digital Operational Resilience Act (DORA) yang baru. Terlepas dari ungkapan tersebut, tidak ada yang โsementaraโ tentang DORA. Faktanya, salah satu peraturan keamanan dunia maya yang paling luas jangkauannya di dunia untuk layanan keuangan dan rantai pasokannya sebagian besar adalah kesepakatan yang sudah selesai.
Semua yang tersisa sebelum pengadopsian formal, yang diharapkan sekitar bulan Oktober ini, terutama melibatkan beberapa perubahan teknis dan terjemahan ke dalam 24 bahasa resmi negara anggota UE.
DORA mewakili tanggapan UE terhadap jumlah serangan siber yang terus meningkat terhadap lembaga keuangan. Ini dirancang untuk memperkuat keamanan perusahaan keuangan UE, seperti bank, perusahaan asuransi, perusahaan investasi, dan lainnya, dengan memberlakukan persyaratan ketahanan dan mengatur rantai pasokan. Tapi, seperti yang saya catat dalam sebuah posting sebelumnya, prinsip DORA jauh melampaui UE dan sektor keuangannya.
Persyaratan seragam DORA untuk keamanan jaringan dan sistem informasi tidak hanya mencakup perusahaan di sektor keuangan tetapi juga vendor pihak ketiga yang menyediakan layanan terkait teknologi informasi dan komunikasi ke sektor keuangan, seperti platform cloud dan analitik data.
Memang, jangkauan DORA pada dasarnya mencakup semua perusahaan yang menawarkan layanan teknologi informasi dan komunikasi (TIK) yang dianggap penting bagi rantai pasokan yang mendukung sektor keuangan Eropa โ terlepas dari apakah perusahaan atau layanan tersebut berbasis di dalam UE atau tidak. Faktanya, di bawah DORA, kompleksitas rantai pasokan atau kurangnya kehadiran UE dianggap sebagai faktor risiko.
Memandatkan Perspektif Regulasi Baru
DORA unik karena membawa tingkat pengawasan peraturan yang baru dan berbeda ke berbagai perusahaan global. kebutuhan DORA Mandat โ tidak sekedar menyarankan โ sesuai dengan ketentuannya. Sama pentingnya, dampak dari pengawasan peraturan tingkat baru ini berbeda tergantung pada sudut pandang perusahaan.
Lembaga keuangan yang terbiasa dengan lingkungan peraturan yang terutama dirancang untuk menilai risiko keuangan dan stabilitas sekarang harus mengambil potensi risiko yang ditimbulkan oleh operasi TIK mereka dengan sama seriusnya. Lembaga keuangan terbiasa menangani risiko dalam bentuk persyaratan modal. DORA mengambil pendekatan yang berbeda dengan mengamanatkan perilaku spesifik dan persyaratan berbasis kinerja. Dari sudut pandang lembaga keuangan, peningkatan risiko tersebut memiliki konsekuensi di berbagai aspek bisnis mereka, seperti cara mereka mengonsumsi teknologi dan cara mereka mengubah bisnis dengan beralih ke teknologi baru seperti komputasi awan. Ini termasuk strategi dan kemampuan manajemen risiko secara keseluruhan, keamanan rantai pasokan, dan staf dan kebijakan organisasi untuk memastikan penilaian dan kepatuhan risiko TIK yang tepat.
DORA juga mengubah perspektif regulasi organisasi TIK. Hingga saat ini, mereka telah diatur terutama pada masalah terkait data, seperti privasi data, dan pemberitahuan pelanggaran data, berdasarkan kekhawatiran tentang data pribadi dan tujuan politik seperti kedaulatan digital. Aturan terobosan, seperti Peraturan Perlindungan Data Umum (GDPR) di Eropa, dan Undang-Undang Privasi Konsumen California (CCPA) yang lebih baru di Amerika Serikat, muncul di benak Anda.
Organisasi TIK mungkin juga memiliki kewajiban peraturan lainnya tentang keamanan, atau telah diklasifikasikan sebagai infrastruktur penting, tergantung di mana lokasinya, seperti di bawah Petunjuk Keamanan Jaringan dan Informasi (NIS) di Eropa, UU Keamanan Siber 2018 di Singapura, atau undang-undang khusus sektor untuk industri khusus, seperti telekomunikasi di Amerika Serikat.
Sekarang, jika perusahaan TIK melayani lembaga keuangan di UE, kemungkinan besar mereka juga akan tunduk pada DORA. Jadi, selain kerangka peraturan mereka sebelumnya, penyedia TIK yang ditunjuk sebagai penyedia layanan penting tiba-tiba akan diatur di bawah DORA sedemikian rupa sehingga terasa seolah-olah mereka menjadi ekstensi lembaga keuangan UE yang mereka layani. Terlepas dari bagaimana orang melihatnya, itu adalah perubahan dramatis โ baik untuk lembaga keuangan maupun penyedia TIK.
Tapi itu belum semuanya. DORA mengubah perspektif pembentukan peraturan UE. Regulator yang ahli dalam kepatuhan lembaga keuangan sekarang harus memperluas cakupannya untuk menyertakan penyedia TIK yang menawarkan layanan penting, seperti penyedia cloud, layanan analitik data, dan bisnis non-keuangan lainnya. Di negara-negara dengan struktur peraturan yang rumit, juga akan ada kebutuhan untuk bekerja sama dengan badan-badan lain yang bertugas mengatur jenis industri non-keuangan tambahan ini.
Memenuhi Tantangan
DORA mewajibkan lembaga keuangan UE untuk menilai keamanan siber dan kematangan manajemen risiko mereka sendiri. Memahami dan mengelola kinerja risiko rantai pasokan mereka akan menjadi inti dari upaya ini.
Secara umum, lembaga keuangan mahir melakukan stress test untuk menentukan keamanan dan stabilitas keuangan. Ini tantangan yang berbeda untuk memperluas tes semacam itu ke organisasi lain. Jadi, untuk sektor keuangan UE, bagaimana mengelola vendor, manajemen risiko, dan kemampuan operasional dalam rantai pasokan yang semakin kompleks dan panjang menimbulkan teka-teki terbesar.
Misalnya, lembaga keuangan mungkin berkantor pusat di Eropa tetapi semua aktivitas pendukungnya dialihdayakan ke bisnis yang berbasis di India. Layanan dukungan ini mungkin secara teknis bukan lembaga keuangan. Tetapi DORA akan meminta lembaga keuangan untuk menilai apakah vendor sangat penting untuk operasinya dan menerapkan persyaratan DORA yang relevan untuk hubungan tersebut.
Untuk perusahaan yang tidak berbasis di UE, pertanyaan kuncinya adalah yurisdiksi dan akses pasar. Lembaga keuangan atau penyedia TIK yang beroperasi di luar UE tidak terpengaruh. Tetapi jika perusahaan tersebut adalah lembaga keuangan atau penyedia layanan TIK yang melayani sektor keuangan UE dengan cara apa pun, kemungkinan besar akan dikenakan DORA โ secara langsung atau tidak langsung.
Hitung mundur ke 2024
Kecuali ada perubahan dalam teks akhir, DORA mulai berlaku 24 bulan setelah adopsi resminya. Secara realistis, hal itu kemungkinan besar terjadi menjelang akhir tahun 2024. Kabar baiknya adalah hal ini memberikan banyak waktu bagi organisasi untuk mempersiapkan kepatuhan. Yang paling penting, tidak terlalu lama untuk dimasukkan dalam siklus anggaran perusahaan pada umumnya.
Tetapi sebelum tenggat waktu itu menghampiri Anda, mulailah bersiap sekarang. Berikut adalah lima langkah utama:
- Gunakan waktu hingga 2024 dengan bijak.
- Pahami di mana Anda berada. Telusuri, temukan, dan identifikasi kesenjangan kepatuhan Anda.
- Tentukan apa yang Anda butuhkan untuk memulihkan kesenjangan Anda.
- Didik dan dapatkan dukungan dari manajemen senior.
- Anggaran untuk 24 bulan.
Jam terus berdetak.
