ב-11 במאי 2022, האיחוד האירופי (האיחוד האירופי) הגיע להסכמה זמנית על חוק החוסן המבצעי הדיגיטלי החדש (DORA). למרות הניסוח, אין שום דבר "זמני" ב-DORA. למעשה, אחת מתקנות אבטחת הסייבר מרחיקות הלכת בעולם לשירותים פיננסיים ושרשרת האספקה שלהם היא בעיקרה עסקה גמורה.
כל מה שנותר לפני האימוץ הרשמי, הצפוי מתישהו באוקטובר הקרוב, כרוך בעיקר בקומץ של שינויים טכניים ותרגום ל-24 השפות הרשמיות של המדינות החברות באיחוד האירופי.
DORA מייצגת את תגובת האיחוד האירופי למספר ההולך וגדל של מתקפות סייבר נגד מוסדות פיננסיים. הוא נועד לחזק את הביטחון של חברות פיננסיות באיחוד האירופי, כגון בנקים, חברות ביטוח, חברות השקעות ועוד, על ידי הטלת דרישות חוסן והסדרת שרשרת האספקה. אבל, כפי שציינתי ב-an פוסט מוקדם יותר, עקרונותיה של DORA משתרעים הרבה מעבר לאיחוד האירופי ולמגזר הפיננסי שלו.
הדרישות האחידות של DORA לאבטחת רשת ומערכות מידע מקיפות לא רק ארגונים במגזר הפיננסי אלא גם ספקי צד שלישי קריטיים המספקים שירותים הקשורים לטכנולוגיות מידע ותקשורת למגזר הפיננסי, כגון פלטפורמות ענן וניתוח נתונים.
ואכן, טווח ההגעה של DORA מגיע למעשה לכל ארגון המציע שירותי טכנולוגיית מידע ותקשורת (ICT) הנחשבים קריטיים לשרשרת האספקה התומכת במגזר הפיננסי האירופי - ללא קשר אם הארגון או השירות הזה מבוססים בתוך האיחוד האירופי או לא. למעשה, במסגרת DORA, המורכבות של שרשרת האספקה או היעדר נוכחות של האיחוד האירופי נחשבים שניהם גורמי סיכון.
מחייב נקודות מבט רגולטוריות חדשות
DORA ייחודית בכך שהיא מביאה רמה חדשה ושונה של בדיקה רגולטורית למגוון רחב של ארגונים גלובליים. הדרישות של DORA מנדט - לא רק להציע - ציות להוראותיו. לא פחות חשוב, ההשפעה של רמה חדשה זו של בדיקה רגולטורית שונה בהתאם לנקודת המבט של הארגון.
מוסדות פיננסיים הרגילים לסביבה רגולטורית שנועדה בעיקר להעריך סיכונים פיננסיים ויציבות יצטרכו כעת לקחת את הסיכון הפוטנציאלי הכרוך בפעילות ה-ICT שלהם באותה רצינות. מוסדות פיננסיים רגילים לטפל בסיכון בצורה של דרישות הון. DORA נוקטת בגישה שונה על ידי מחייב התנהגות ספציפית ודרישות מבוססות ביצועים. מנקודת המבט של מוסדות פיננסיים, לעלייה בסיכון יש השלכות על פני היבטים מרובים של העסק שלהם, כמו האופן שבו הם צורכים טכנולוגיה וכיצד הם משנים את העסק שלהם על ידי מעבר לטכנולוגיות חדשות כמו מחשוב ענן. זה כולל אסטרטגיות ויכולות כוללות של ניהול סיכונים, אבטחת שרשרת האספקה, ואיוש ומדיניות ארגונית להבטחת הערכת סיכונים ותאימות של ICT נאותים.
DORA משנה גם את נקודת המבט הרגולטורית של ארגוני ICT. עד כה, הם הוסדרו בעיקר בנושאים הקשורים לנתונים, כגון פרטיות נתונים והודעות על הפרת נתונים, בהתבסס על דאגות לגבי נתונים אישיים ויעדים פוליטיים כמו ריבונות דיגיטלית. כללים פורצי דרך, כמו תקנת הגנת המידע הכללית (GDPR) באירופה, וחוק הפרטיות הצרכנית של קליפורניה העדכנית יותר (CCPA) בארצות הברית, עולים בראש.
לארגוני ICT עשויים להיות גם חובות רגולטוריות אחרות בנושא אבטחה, או שסווגו כתשתית קריטית, בהתאם למקום שבו הם ממוקמים, כגון תחת הוראת אבטחת רשת ומידע (ש"ח) באירופה, ה חוק אבטחת סייבר 2018 בסינגפור, או חקיקה ספציפית עבור תעשיות מיוחדות, כגון טלקום בארצות הברית.
כעת, אם חברות ICT נותנות שירות למוסדות פיננסיים באיחוד האירופי, סביר להניח שגם הן יהיו כפופות ל-DORA. אז בנוסף למסגרות הרגולטוריות הקודמות שלהם, אותם ספקי ICT שיועדו כמציעים שירות קריטי יוסדרו לפתע תחת DORA באופן שמרגיש מאוד כאילו הם הופכים להיות סיומות מהמוסדות הפיננסיים של האיחוד האירופי שהם משרתים. לא משנה איך מסתכלים על זה, זה שינוי דרמטי - הן עבור מוסדות פיננסיים והן עבור ספקי ICT.
אבל זה לא הכל. DORA משנה את נקודת המבט של הממסד הרגולטורי של האיחוד האירופי. הרגולטורים המומחים בציות למוסדות פיננסיים חייבים כעת להרחיב את היקפם לכלול ספקי ICT המציעים שירותים קריטיים, כגון ספקי ענן, שירותי ניתוח נתונים ועסקים אחרים שאינם פיננסיים. במדינות עם מבנים רגולטוריים מורכבים, יהיה צורך גם בשיתוף פעולה עם גופים אחרים המופקדים על הסדרת סוגים נוספים אלה של תעשיות לא פיננסיות.
לעמוד באתגרים
DORA דורשת מהמוסדות הפיננסיים של האיחוד האירופי להעריך את בשלות אבטחת הסייבר וניהול הסיכונים שלהם. הבנה וניהול של ביצועי הסיכון שלהם בשרשרת האספקה יהיו מרכזיים במאמץ זה.
באופן כללי, מוסדות פיננסיים מיומנים במבחני קיצון לקביעת ביטחון ויציבות פיננסית. זה אתגר אחר להרחיב מבחנים מסוג זה לארגונים אחרים. לכן, עבור המגזר הפיננסי של האיחוד האירופי, כיצד לנהל ספקים, ניהול סיכונים ויכולות תפעוליות בשרשרת אספקה מורכבת ומורחבת יותר ויותר מהווה את הפאזל הגדול ביותר.
לדוגמה, מוסד פיננסי יכול להיות שבסיסו באירופה אבל כל פעילויות התמיכה שלו מועברות למיקור חוץ לעסקים שבסיסם בהודו. ייתכן ששירותי תמיכה אלו אינם מוסדות פיננסיים מבחינה טכנית. אבל DORA תדרוש מהמוסד הפיננסי להעריך אם הספק קריטי לפעילותו וליישם את דרישות DORA הרלוונטיות על מערכת היחסים הזו.
עבור ארגונים שאינם מבוססים באיחוד האירופי, שאלת המפתח היא שאלה של סמכות שיפוט וגישה לשוק. מוסדות פיננסיים או ספקי ICT הפועלים מחוץ לאיחוד האירופי אינם מושפעים. אבל אם הארגון הוא מוסד פיננסי או ספק שירותי ICT המשרת את מגזר הפיננסים של האיחוד האירופי בכל דרך שהיא, סביר להניח שהוא יהיה כפוף ל-DORA - במישרין או בעקיפין.
ספירה לאחור עד 2024
אלא אם כן ישתנה משהו בטקסט הסופי, DORA תיכנס לתוקף 24 חודשים לאחר אימוצה הרשמי. באופן מציאותי, זה צפוי להיות איפשהו קרוב לסוף 2024. החדשות הטובות הן שזה מספק לארגונים הרבה זמן להתכונן לציות. והכי חשוב, אין זמן רב מדי להיכלל במחזור תקציבי ארגוני טיפוסי.
אבל לפני שהדד-ליין הזה יתגנב אליכם, התחילו להתכונן עַכשָׁיו. להלן חמישה שלבים מרכזיים:
- נצלו את הזמן עד 2024 בחוכמה.
- תבין איפה אתה נמצא. חפש, מצא וזהה את פערי התאימות שלך.
- קבע מה אתה צריך כדי לתקן את הפערים שלך.
- למד וקבל רכישה מההנהלה הבכירה.
- תקציב ל-24 חודשים.
השעון מתקתק.
