DORA – ניווט בנוף החוסן המבצעי של האיחוד האירופי

DORA – ניווט בנוף החוסן המבצעי של האיחוד האירופי

חותמת זמן: 10 באפריל 2024 12:52
DORA – ניווט ב- Operational Resilience Landscape PlatoBlockchain Data Intelligence של האיחוד האירופי. חיפוש אנכי. איי.

DORA - חיזוק והרמוניה של חוסן תפעולי ברחבי האיחוד האירופי. 

ראה מאמר מלא בכתובת https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

DORA של האיחוד האירופי היא בלתי נמנעת ותהיה לה השפעות אדוות מעבר לאיחוד. הוא מחליף הנחיות קודמות לחוסן תפעולי ספציפי לתעשייה ומתגבר על פערים לאומיים, תוך הרמוניה של קווים מנחים עבור תחומי מיקוד מרכזיים בכל הפיננסיים
שרשרת ערך תעשייתית להקמת מסגרת משותפת ברחבי האיגוד. תובנה זו חוקרת את השפעות המאקרו של DORA, ומסכמת חלקים מרכזיים בטקסט המלא של DORA להגדרה:

  1. מהי DORA וחמשת אזורי המיקוד שלה?
  2. מדוע DORA חשובה?
  3. למי פונה DORA?
  4. ציות של DORA לעומת אי ציות.

טכנולוגיות דיגיטליות מהוות חשיבות מכרעת עבור חברות פיננסיות ושוק ההון העולמיות לתמיכה במערכות מורכבות, היא קריטית למתן פונקציות עסקיות טיפוסיות ופעילויות מניבות הכנסות. הדיגיטליזציה והקישוריות הנובעת מכך
לאפשר יעילות רבה יותר וחיסכון בעלויות אך גם להגביר את סיכוני טכנולוגיית המידע והתקשורת (ICT) ולהגביר את פגיעות המערכת הפיננסית לאיומי סייבר או שיבושים.

למרות מדיניות ויוזמות חקיקה ממוקדות ברמה הלאומית, האיחוד האירופי (האיחוד האירופי) מכיר בצורך הקריטי להרמוניה ולחזק את החוסן התפעולי בין המדינות החברות בו כדי להגן על שלמות ויעילות הפנים הפנימיות.
בשוק, במיוחד בהתחשב באיומי סייבר הסלמה1 והפרעה
תקריות2. תצוגה שהדהדה לאחרונה על ידי Liquidnet3:

"התעשייה חזקה רק כמו החוליה החלשה שלה […] 2024 לא רק תייצג בדיקה רגולטורית גדולה יותר של תאימות, סיכונים ובקרות, כמו גם יכולת פעולה הדדית טכנולוגית, אלא אחריות אינדיבידואלית בהפיכת המערכת האקולוגית לתפקוד מיטבי."

בהתמודדות עם אתגרי החוסן המתמשכים, האיחוד האירופי הציג את חוק החוסן התפעולי הדיגיטלי (DORA) כדי לחזק את אבטחת ה-ICT ואת החוסן התפעולי עבור גופים פיננסיים.

מהי DORA וחמשת אזורי המיקוד שלה?

DORA אומצה על ידי הפרלמנט האירופי והמועצה ב-14 בדצמבר 2022, תוך עמידה הנדרשת עד 17 בינואר 2025. הרגולציה נועדה לגבש ולשפר את החוסן התפעולי הדיגיטלי על פני הנוף הפיננסי שיש,
עד לנקודה זו, טופלו בנפרד בפעולות משפטיות שונות של האיחוד באמצעות מסגרת משותפת4 לחוסן התפעולי הדיגיטלי
של גופים פיננסיים כדי לעמוד טוב יותר ולהתאושש מהפרות ואירועי ICT.

5 תחומי המיקוד של DORA:

  1. ניהול סיכוני ICT.
  2. ניהול, סיווג ודיווח של אירועים הקשורים לתקשוב.
  3. בדיקת חוסן תפעולי דיגיטלי.
  4. ניהול סיכונים של צד שלישי ICT.
  5. הסדרי שיתוף מידע.

מדוע DORA חשובה?

DORA מתבססת ומחליפה הנחיות קודמות ספציפיות לתעשייה כדי להתגבר על פערים ומאחדת באופן עקבי קווים מנחים לתחומי מפתח בכל שרשרת הערך. זה ייחודי מכיוון שהוא מציג מסגרת פיקוח משותפת ברמת האיגוד על
ספקי ICT קריטיים של צד שלישי, כפי שהוגדרו על ידי רשויות הפיקוח האירופיות (ESA)5.

כאשר המגזר הפיננסי מסתמך על מערכות ICT דיגיטליות וככל שהקישוריות ההדדית תגדל, לסיכוני ICT ולפגיעויות תהיה השפעה חוצה גבולות משבשת יותר ויותר ברחבי האיגוד, מה שמגביר את ההשפעה של שיבושים תפעוליים וסייבר
איומים על חברות פיננסיות. DORA מכירה בכך שהדיגיטליזציה כוללת כעת פונקציות פיננסיות קריטיות6 כמו
תשלומים, סליקת ניירות ערך, מסחר אלגוריתמי ופעולות אחוריות. המטרה היא לחזק את החוסן התפעולי של פונקציות אלה כדי לשמור על יציבות פיננסית כוללת ולהגן על אמון הצרכנים בשווקים הפנימיים. DORA שואפת לשמר
אמון בשוק על ידי הבטחת אספקה ​​חלקה של שירותים פיננסיים גם בתרחישים מאתגרים.

למי פונה DORA?

DORA חלה על כל המוסדות הפיננסיים באיחוד האירופי ועל ספקי שירותי ICT של צד שלישי המספקים שירותים לתמיכה בהם. תובנה עדכנית10 ממוען
זֶה. תקנת DORA של האיחוד האירופי מציגה דרישות ספציפיות ותקניות לכל משתתפי השוק הפיננסי.

DORA – גופים פיננסיים

כדי לציית ל-DORA, גופים פיננסיים חייבים לשפר את שיטות הניהול הקשורות לסיכוני ICT, הכוללות זיהוי, הערכה והפחתת סיכונים הקשורים לפעילות דיגיטלית. DORA גם מציגה חובות דיווח מהיר של אירועי ICT ל-
הרשויות הרלוונטיות לשיבושי תפקוד קריטיים. כמו כן, על המוסדות לדמות באופן קבוע שיבושים שונים כדי לבחון את החוסן התפעולי וההתאוששות.

יש לציין כי DORA מדגישה שגופים פיננסיים חייבים להעריך ולנהל את סיכון ה-ICT של צד שלישי של ספקי השירותים שלהם ולהבטיח שהסדרים חוזיים מתייחסים לחוסן תפעולי. זה מתייחס לריכוז הסיכון (סעיף 29 של DORA11)
ועוקב אחר תקריות כמו הפסקת OPRA12, ופשעי סייבר המכוונים לספקים קריטיים
בשרשרת האספקה ​​הפיננסית כמו פריצת יון גרופ בשנה שעברה13 or
ספקי מחשוב ענן14, היכן ש
אירוע בודד עשוי להשפיע על מספר גופים פיננסיים.

יש לציין כי ההשפעה של הפסקות אינה מוגבלת לחברות ומשתמשי קצה, עם השלכות שעלולות להסתבך על כספים אישיים כפי שהוכיח בנק DBS15 מוקדם יותר
השנה.

DORA – תלות של צד שלישי וחוסן תפעולי

גופים פיננסיים הסתמכו יותר ויותר על ספקי צד שלישי כדי לספק חלקים קריטיים מהפעילות והשירותים שלהם, לאחר מכן, DORA משפיעה באופן משמעותי גם על התלות של צד שלישי. צדדים שלישיים אלה כוללים ספקי שירותי ענן,
ספקי נתונים, מפתחי תוכנה ושותפים טכנולוגיים אחרים. מיקור חוץ של פונקציות מסוימות יכול לשפר את היעילות ולהפחית עלויות, אבל כפי שראינו עם Ion, זה גם מציג סיכונים חדשים. הרשויות חייבות כעת להסתכל מעבר לחוסן של פיקוח אישי
חברות ולהעריך את החוסן התפעולי הרחב של המגזר.

DORA מדגישה את החשיבות של שיטות ניהול סיכונים חזקות עבור תלות של צד שלישי במטרה לחזק את החוסן הכולל של המגזר הפיננסי בעידן הדיגיטלי. אלו כוללים:

  1. היקף רחב של סיכון ICT של צד שלישי - כדי לשפר את החוסן התפעולי במגזר השירותים הפיננסיים DORA מטילה רשת רחבה להגדרת סיכון ICT של צד שלישי. לדוגמה, DORA סעיף 3 (18)16 מגדיר
    סיכון ICT של צד שלישי ככל סיכון ICT - סעיף 3 (5)17 - שעלולים להיווצר עבור גוף פיננסי הנובע משימוש בשירותי תקשוב הניתנים
    על ידי ספק שירות צד שלישי, קבלני משנה או הסדרי מיקור חוץ.
  2. שיטות ניהול סיכונים עבור ספקי צד שלישי – DORA מחייבת שיטות ניהול סיכונים מתאימות לספקי צד שלישי כדי להפחית סיכונים תפעוליים הקשורים ליחסי צד שלישי ולהבטיח חוסן. היא גם שואפת ליישם הרמוניה
    מסגרת רגולטורית לניהול סיכונים של ספקי צד שלישי ברחבי האיחוד האירופי (סעיף 1518).
  3. ספקי ICT קריטיים של צד ג' – DORA מכירה בתפקיד הקריטי של ספקי שירותי ICT בשירותים פיננסיים. אם צד שלישי נחשב קריטי, כמו CJC במקרים מסוימים, עליהם לעמוד בדרישות של DORA. במיוחד, צדדים שלישיים קריטיים
    מחוץ לאיחוד האירופי נדרשים להקים חברת בת בתוך האיחוד האירופי - סעיף 31 (12)19 - למרות ההקדמה (82)20 הערות
    הדרישה "לא אמורה למנוע מספק שירותי ICT קריטי של צד שלישי לספק שירותי ICT ותמיכה טכנית קשורה ממתקנים ותשתיות הממוקמים מחוץ לאיחוד".

מדברת על חוסן תפעולי ותאימות DORA, ג'ינה ווי, מנהלת מידע ראשית ב-CJC אמרה, "מהטמעת הצפנה חזקה ובקרת גישה קפדנית ועד ביצוע ביקורות סדירות, CJC מקיים רמות גבוהות של תאימות כדי להבטיח נתונים
בִּטָחוֹן. בשילוב עם תכנון פרואקטיבי, נהלים אדפטיביים ותרבות של שיפור מתמיד, אנו מבטיחים שירותים ללא הפרעה ללקוחותינו. אנו מקווים שהמחויבות שלנו לאבטחת מידע, חוסן תפעולי ואחריות מספקת את שלנו
לקוחות שקט נפשי וביטחון בשירותים המנוהלים שלנו."

ציות של DORA לעומת אי ציות

הסיכון של אי ציות

אי ציות ל-DORA עלול להוביל לפגיעה במוניטין, להפסדים כספיים ולעונשים רגולטוריים. חברות שלא עומדות בדרישות של DORA מסתכנות בשיבושים תפעוליים, חוסר שביעות רצון של לקוחות והשלכות משפטיות אפשריות.

תאימות DORA – 3 שיקולים ושיטות עבודה מומלצות

כדי לציית ל-DORA, מוסדות פיננסיים חייבים למפות באופן מקיף תלות קיימות של צד שלישי ולערוך הבנת השירותים של פונקציות במיקור חוץ כדי לזהות תלות קריטית. שלב 2 מעריך את החוסן של התלות הממופת
להעריך את היכולות התפעוליות של ספק השירות, אמצעי האבטחה ותוכניות ההתאוששות מאסון. לבסוף, הסכמים חוזיים עם צדדים שלישיים צריכים להתייחס ספציפית לדרישות החוסן התפעולי. זה כולל הוראות לאירוע
יעדי דיווח, המשכיות עסקית וזמן התאוששות.

כדי לשמור על תאימות, מוסדות פיננסיים יכולים לנקוט במספר צעדים ליישום שיטות עבודה מומלצות כדי להבטיח ציות מתמשך ל-DORA. אלו כוללים:

  1. בדיקת נאותות - בעת בחירת ספקי צד שלישי, ערכו בדיקת נאותות יסודית על ידי התחשבות בהישגיהם, היציבות הפיננסית והחוסן התפעולי שלהם.
  2. בדיקת תרחישים - הדמיית תרחישים שונים עם צדדים שלישיים כדי לבדוק את היעילות של תוכניות הבראה. זה צריך לכלול התקפות סייבר, כשלים במערכת ואסונות טבע.
  3. ניטור רציף - עקוב אחר ביצועים ותאימות של צד שלישי באופן קבוע, מוכן להסתגל במקרה של שינוי תנוחות החוסן.

מילים אחרונות:

DORA היא לא רק תקנה; זוהי הזדמנות אסטרטגית לשפר את החוסן התפעולי שלך ולבנות אמון בעידן הדיגיטלי. כספקית הייעוץ והשירותים המובילה לטכנולוגיות נתונים בשוק לשווקים פיננסיים גלובליים, CJC מתייחסת למעמדה
כספק צד שלישי קריטי של שירותים מנוהלים בנתוני שוק לקהילת שוק ההון ברצינות. לא משנה רמת השירות, התקנים והשקיפות התואמים את DORA הינם מחוץ לקופסה של CJC, המספקת ייעוץ עטור פרסים,
שירותים מנוהלים, פתרונות ענן, צפייה ושירותי ניהול מסחרי מקצועי עבור מערכות נתוני שוק קריטיות למשימה. CJC הוא נטרלי של ספקים ומוסמך ISO 27001, מה שמאפשר לשותפי CJC את החופש להתמקד בעסק הליבה שלהם.

בול זמן:

עוד מ פינקסטרה