ב-24 בספטמבר 2020, הנציבות האירופית פרסמה את ההצעה המנוסחת הראשונה לחוק חוסן תפעולי דיגיטלי (DORA) כחלק מחבילת הפיננסים הדיגיטליים (DFP). המטרה היא להדריך מוסדות פיננסיים דרך המורכבות של הקריפטו
נכסים, טכנולוגיית בלוקצ'יין וחוסן תפעולי דיגיטלי, כמו גם ייעוץ לגבי אסטרטגיית תשלום קמעונאית מחודשת. למרות היתרונות שיביאו DORA, עבור עסקים רבים, יהיה זה אתגר לנווט בשינויים הנדרשים.
להלן חמש נקודות מפתח שיש לקחת בחשבון בעת הבטחת ציות לפי החוק.
1. מהו ה-DORA, ולמה הוא חשוב?
החוק החדש יספק לשחקנים פיננסיים גדולים באירופה את אמצעי ההגנה הדרושים כדי לצמצם התקפות סייבר וסיכונים אחרים הקשורים ל-ICT או מבוססי IT.
ה-DORA יהווה בקרוב חוק מחייב המכסה כל אחת מהמדינות החברות באיחוד האירופי, ומוסדות שירותים פיננסיים הפועלים בתוכם. אז למה זה משנה לבריטניה?
למרות שאינה חברה עוד באיחוד האירופי, בריטניה נותרה אחד מהמרכזים הפיננסיים הבסיסיים באירופה. ארגוני שירותים פיננסיים בבריטניה העוסקים בשוק האירופי - פרטי או ציבורי - הפועלים בתוך האיחוד האירופי יצטרכו בקרוב לציית לאלו
תקנות - מה שהופך את ה-DORA למרכיב חיוני בכל שיטות עסקיות בבריטניה.
2. משקלה החקיקתי של DORA
המשקל החקיקתי החמור שנושא החוק האירופי החדש הזה הוא סיבה חשובה נוספת לכך שארגוני שירותים פיננסיים בבריטניה צריכים להתחיל לחשוב על ציות. רשות השירותים הפיננסיים של כל מדינה אירופאית תיקח את תפקיד הציות
לפקח ולאכוף את הרגולציה לפי הצורך. קנסות נרחבים יונפקו לאותם מוסדות שלא יעמדו בתקנות החדשות, שיובילו לפגיעה ברווחים ולפגיעה אפשרית במוניטין.
המשמעות היא שהמפקח הראשי יכול להטיל עונשים משמעותיים על אי ציות. קנסות משמעותיים אלו יהיו בצורת תשלום קנסות תקופתי של 1% מהמחזור הממוצע היומי העולמי של הארגון בעסק הקודם
שָׁנָה. זה ייושם על ידי המפקח הראשי מדי יום עד להשגת ציות לתקופה של שישה חודשים לכל היותר.
3. הבן את מצב הפגיעות שלך
כשמדובר בסיכון סייבר וחוסן, רק "ביטוח סייבר" לבדו אינו מספיק - מידע מתמיד על מצב הסיכון הוא גם חיוני. נוכחות הטכנולוגיה בפעילות העסקים של היום, והקישוריות שלה, משתרעת על פני התקן
משאבים טכנולוגיים פיזיים העומדים על הפעילות היומיומית: מ-ICT, כספומטים, מחשבים ניידים, מצלמות חדרי ישיבות, ועד לכל התחומים הווירטואליים של הענן, על היסוד, AI וחידושים קוונטיים.
החוק מסייע לבעלי עניין ומקבלי החלטות לבנות הבנה עמוקה יותר של המצב הפנימי של הסיכונים והפגיעות מהם סובלות החברות שלהם. באחרונה שלו
דוח עסקי החוסן, אישרה ממשלת בריטניה כי פער ההגנה על הביטוח נותר גבוה בכל הנוגע לסייבר - '90% מכלל הפסדי הסייבר נשארים לא מבוטחים'.
ה-DORA תסייע למוסדות פיננסיים בבריטניה להתגבר על האתגר הרחב יותר של מתן גישה לבעלי עניין ומקבלי החלטות אחראיים את הנראות הנכונה לגבי מצב הנכסים והנכסים הקריטיים, המגדירים את האמינות והיעילות של
השירותים שלהם.
4. מה נכנס לתחום של החוק?
עם סיום החוק, יחול החוק על מגוון רחב של גופים פיננסיים, לרבות מוסדות אשראי, מוסדות כסף אלקטרוני, חברות השקעות, חברות ביטוח וחברות ביטוח משנה. אבל זה לא רק מוסדות שירותים פיננסיים
שמושפעים. על פי ה-DORA, 'ספקי צד שלישי של ICT קריטיים' (CTPPs), כולל ספקי שירותי ענן (CSPs), ייכנסו למסגרת הרגולטורית של תקנים כלל האיחוד האירופי לבדיקות חוסן תפעולי דיגיטלי.
מרכיב נוסף של חידוש, הוא סטנדרטיזציה של הנחיות ניהול סיכונים ב-ICT, סיווג אירועים ודיווח בין מגזרי השירותים הפיננסיים. הרמוניה בין הנכסים הקריטיים הללו פותחת את הדלת לגופים פיננסיים להתבסס
בתוך הגבולות המאובטחים של מרכז האיחוד האירופי מאוחד נגד איומי סייבר.
כל ישויות בבריטניה הפועלות בשוק הפיננסי האירופי, יצטרכו לציית לחוק כפרירוגטיבה בסיסית כדי להבטיח נראות בתוך השוק וכאמצעי לגיטימציה להתחיל שותפויות בתוכו.
5. כלים מומחים שיכולים לסייע לך בהקמה של תוכנית DORA
ארגונים מסוימים עדיין משתמשים בתהליכים ידניים ובגיליונות אלקטרוניים כדי ללכוד, לנהל ולדווח על תאימות תאגידית, ניהול סיכונים ושינויים רגולטוריים ברחבי העסק. גיליונות אלקטרוניים סטטיים אלה מתפרקים במהירות בכל הנוגע לניהול ומעקב
כל מאמצי הממשל, הסיכונים והציות המורכבים בתוך ארגון.
מוסדות צריכים להבטיח ציות קפדני ל-DORA, ולכן עשויים לדרוש סיוע הולם מכלי IT מיוחדים המסוגלים לתמוך באיתור, תיעוד, ניהול וסיווג נכסים תוך הערכת רמות הסיכון של נכסים הנכללים במסגרת
היקף.
פלטפורמות אבטחה מיוחדות יכולות להיות הפתרון החסכוני ביותר להתמודדות עם בעיות אלו תוך ציות לנוף הפיננסי הרגולטורי המתפתח. פלטפורמות מומחים אלו עוזרות לזהות סוגים חדשים של נקודות קצה (כגון מצלמות בחדר ישיבות)
ויכול להתממשק עם כלים קיימים, היכן שהם קיימים, כדי לספק רישום נכסים מדויק. המטרה העיקרית של הפלטפורמות הללו היא לצמצם בצורה חלקה כל נקודות עיוורות לחוסן תפעולי ולהגן על כוח העבודה מול אירועים מבצעיים שליליים
על ידי ציפייה, מניעה והסתגלות לאירועים כאלה.
לסיכום
לכן, לסיכום, מוסדות פיננסיים צריכים להבטיח שהם יעמדו בדרישות של DORA אחרת הם מסתכנים בתשלומי קנסות תקופתיים לא מבוטלים. כדי לעמוד בדרישות, ארגונים צריכים לזהות את כל הנכסים הקיימים כעת
סיכון לתהליכי מפתח. לאחר מכן, ארגונים צריכים להבין את רמת הסיכון שכל נכס מציג על מנת להבטיח שההפחתה תישקל. ישנם כלים מומחים בשוק שיכולים לעזור לארגונים למצוא, לתעד, לנהל ולסווג
הנכסים שלהם. דבר עם מומחה IT כדי לראות כיצד הוא יכול לעזור לארגון שלך בכל זה.
