DORA – Poruszanie się po obszarze odporności operacyjnej UE

DORA – Poruszanie się po obszarze odporności operacyjnej UE

Znacznik czasu: 10 kwietnia 2024 12:52
DORA – Nawigacja po krajobrazie odporności operacyjnej UE PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

DORA – wzmacnianie i harmonizacja odporności operacyjnej w całej UE. 

Zobacz cały artykuł na https://cjcit.com/insight/dora-navigating-the-eus-operative-resilience-landscape/

Unijna dyrektywa DORA jest nieunikniona i będzie miała daleko idące skutki poza Unią. Zastępuje poprzednie wytyczne dotyczące odporności operacyjnej specyficzne dla branży i przezwycięża rozbieżności krajowe, harmonizując wytyczne dla kluczowych obszarów zainteresowania w całym systemie finansowym
branżowego łańcucha wartości w celu ustanowienia wspólnych ram w całej Unii. W tym spostrzeżeniu zbadano wpływ DORA w skali makro, podsumowując kluczowe sekcje pełnego tekstu DORA w celu zdefiniowania:

  1. Czym jest DORA i jej 5 obszarów zainteresowań?
  2. Dlaczego DORA jest ważna?
  3. Do kogo stosuje się DORA?
  4. Zgodność z przepisami DORA a nieprzestrzeganie przepisów.

Technologie cyfrowe mają kluczowe znaczenie dla globalnych firm z rynków finansowych i kapitałowych we wspieraniu złożonych systemów, mają kluczowe znaczenie dla realizacji typowych funkcji biznesowych i działań generujących przychody. Cyfryzacja i wynikająca z niej łączność
umożliwiają większą wydajność i oszczędności kosztów, ale także zwiększają ryzyko związane z technologiami informacyjno-komunikacyjnymi (ICT) i zwiększają podatność systemu finansowego na zagrożenia lub zakłócenia cybernetyczne.

Pomimo ukierunkowanych inicjatyw politycznych i legislacyjnych na poziomie krajowym Unia Europejska (UE) uznaje krytyczną potrzebę harmonizacji i wzmocnienia odporności operacyjnej we wszystkich swoich państwach członkowskich, aby chronić integralność i skuteczność struktury wewnętrznej
rynku, szczególnie biorąc pod uwagę eskalację zagrożeń cybernetycznych1 i zakłócenia
incydenty2. Pogląd niedawno powtórzony przez Liquidnet3:

„Branża jest tak silna, jak jej najsłabsze ogniwo […] Rok 2024 będzie oznaczać nie tylko większą kontrolę regulacyjną dotyczącą zgodności, ryzyka i kontroli, a także interoperacyjności technologii, ale także indywidualną odpowiedzialność za zapewnienie optymalnego funkcjonowania ekosystemu”.

Aby sprostać bieżącym wyzwaniom w zakresie odporności, UE wprowadziła ustawę o cyfrowej odporności operacyjnej (DORA), aby zwiększyć bezpieczeństwo ICT i solidność operacyjną podmiotów finansowych.

Czym jest DORA i jej 5 obszarów zainteresowań?

DORA została przyjęta przez Parlament Europejski i Radę w dniu 14 grudnia 2022 r., z zachowaniem zgodności wymaganej do 17 stycznia 2025 r. Rozporządzenie ma na celu skonsolidowanie i zwiększenie cyfrowej odporności operacyjnej w całym krajobrazie finansowym, który:
do tego momentu były rozpatrywane oddzielnie w różnych unijnych aktach prawnych za pośrednictwem wspólnych ram4 dla cyfrowej odporności operacyjnej
podmiotów finansowych, aby lepiej przeciwstawiały się naruszeniom i incydentom ICT oraz odbudowywały je.

5 obszarów zainteresowania DORA:

  1. Zarządzanie ryzykiem ICT.
  2. Zarządzanie incydentami związanymi z ICT, klasyfikacja i raportowanie.
  3. Cyfrowe testowanie odporności operacyjnej.
  4. Zarządzanie ryzykiem stron trzecich ICT.
  5. Ustalenia dotyczące udostępniania informacji.

Dlaczego DORA jest ważna?

DORA opiera się na wcześniejszych wytycznych specyficznych dla danej branży i je zastępuje, aby przezwyciężyć rozbieżności i konsekwentnie konsoliduje wytyczne dla kluczowych obszarów w całym łańcuchu wartości. Jest on wyjątkowy, ponieważ wprowadza wspólne ramy nadzoru na szczeblu unijnym
krytyczni zewnętrzni dostawcy ICT wyznaczeni przez Europejskie Urzędy Nadzoru (ESA)5.

Ponieważ sektor finansowy jest uzależniony od cyfrowych systemów ICT i w miarę wzrostu wzajemnych połączeń, zagrożenia i słabe punkty ICT będą miały coraz bardziej destrukcyjny wpływ transgraniczny w całej Unii, co wzmacnia skutki zakłóceń operacyjnych i cyberbezpieczeństwa
zagrożeń w firmach finansowych. DORA przyznaje, że cyfryzacja obejmuje obecnie krytyczne funkcje finansowe6 lubić
płatności, rozliczenia papierów wartościowych, handel algorytmiczny i operacje back-office. Ma na celu wzmocnienie odporności operacyjnej tych funkcji, aby utrzymać ogólną stabilność finansową i chronić zaufanie konsumentów na rynkach wewnętrznych. DORA ma na celu zachowanie
zaufanie rynku poprzez zapewnienie płynnego świadczenia usług finansowych nawet w trudnych scenariuszach.

Do kogo stosuje się DORA?

DORA ma zastosowanie do wszystkich instytucji finansowych w UE oraz zewnętrznych dostawców usług ICT świadczących usługi ich wsparcia. Niedawne spostrzeżenie10 zaadresowany
Ten. Unijne rozporządzenie DORA wprowadza szczegółowe i nakazowe wymogi dla wszystkich uczestników rynku finansowego.

DORA – Podmioty Finansowe

Aby zachować zgodność z DORA, podmioty finansowe muszą ulepszyć praktyki zarządzania ryzykiem ICT, które obejmują identyfikację, ocenę i ograniczanie ryzyka związanego z operacjami cyfrowymi. DORA wprowadza również obowiązki szybkiego zgłaszania incydentów ICT do
odpowiednie władze w przypadku zakłóceń funkcji krytycznych. Instytucje muszą także regularnie symulować różne zakłócenia, aby przetestować odporność operacyjną i możliwości naprawy.

W szczególności DORA podkreśla, że ​​podmioty finansowe muszą oceniać ryzyko ICT stron trzecich ponoszone przez swoich dostawców usług i zarządzać nim, a także dopilnować, aby ustalenia umowne uwzględniały odporność operacyjną. Wiąże się to z koncentracją ryzyka (art. 29 DORA).11)
i następuje po incydentach takich jak awaria OPRA12oraz cyberprzestępczość wymierzona w kluczowych dostawców
w finansowym łańcuchu dostaw, jak w zeszłym roku hack Ion Group13 or
dostawców rozwiązań chmurowych14Gdzie
pojedynczy incydent może mieć wpływ na wiele podmiotów finansowych.

Należy zauważyć, że wpływ przestojów nie ogranicza się do firm i użytkowników końcowych, a ich konsekwencje mogą potencjalnie przełożyć się na finanse osobiste, jak wykazał bank DBS15 wcześniej
w tym roku.

DORA – Zależności od stron trzecich i odporność operacyjna

Podmioty finansowe w coraz większym stopniu polegają na dostawcach zewnętrznych w zakresie dostarczania kluczowych części swojej działalności i usług, w związku z czym DORA znacząco wpływa również na zależności od stron trzecich. Do stron trzecich zaliczają się dostawcy usług w chmurze,
dostawcy danych, twórcy oprogramowania i inni partnerzy technologiczni. Outsourcing niektórych funkcji może zwiększyć efektywność i obniżyć koszty, ale jak widzieliśmy w przypadku Ion, wprowadza także nowe ryzyko. Władze muszą teraz wyjść poza odporność jednostek podlegających regulacjom
przedsiębiorstw i ocenić szerszą odporność operacyjną sektora.

DORA podkreśla znaczenie solidnych praktyk zarządzania ryzykiem w przypadku zależności od stron trzecich, których celem jest wzmocnienie ogólnej odporności sektora finansowego w epoce cyfrowej. Obejmują one:

  1. Szeroki zakres ryzyka stron trzecich ICT – w celu zwiększenia odporności operacyjnej w całym sektorze usług finansowych DORA rzuca szeroką siatkę w celu zdefiniowania ryzyka stron trzecich ICT. Na przykład DORA Artykuł 3 (18)16 definiuje
    Ryzyko osób trzecich ICT jako każde ryzyko ICT – art. 3 ust. 517 – jakie mogą powstać dla podmiotu finansowego w związku z korzystaniem ze świadczonych usług teleinformatycznych
    przez zewnętrznego usługodawcę, podwykonawców lub umowy outsourcingowe.
  2. Praktyki zarządzania ryzykiem dla dostawców zewnętrznych – DORA zaleca odpowiednie praktyki zarządzania ryzykiem dla dostawców zewnętrznych w celu ograniczenia ryzyka operacyjnego związanego z relacjami ze stronami trzecimi i zapewnienia odporności. Ma także na celu wdrożenie zharmonizowanego
    ramy regulacyjne dotyczące zarządzania ryzykiem dostawców zewnętrznych w całej UE (art. 1518).
  3. Krytyczni zewnętrzni dostawcy ICT – DORA uznaje kluczową rolę dostawców usług ICT w usługach finansowych. Jeśli osoba trzecia zostanie uznana za krytyczną, jak w niektórych przypadkach CJC, musi ona spełnić wymagania DORA. W szczególności krytyczne strony trzecie
    spoza UE są zobowiązane do utworzenia spółki zależnej na terenie UE – art. 31 ust. 1219 – chociaż preambuła (82)20 zauważa
    wymóg „nie powinien uniemożliwiać kluczowemu zewnętrznemu dostawcy usług ICT świadczenia usług ICT i powiązanego wsparcia technicznego z obiektów i infrastruktury zlokalizowanej poza Unią”.

Mówiąc o odporności operacyjnej i zgodności z DORA, Gina Wee, dyrektor ds. informatyki w CJC, powiedziała: „Od wdrożenia solidnego szyfrowania i ścisłej kontroli dostępu po przeprowadzanie regularnych audytów, CJC utrzymuje wysoki poziom zgodności, aby zapewnić bezpieczeństwo danych
bezpieczeństwo. W połączeniu z proaktywnym planowaniem, procedurami adaptacyjnymi i kulturą ciągłego doskonalenia zapewniamy naszym klientom nieprzerwane usługi. Mamy nadzieję, że nasze zaangażowanie w bezpieczeństwo informacji, odporność operacyjną i odpowiedzialność zapewni nam
spokój ducha klientów i zaufanie do naszych usług zarządzanych.”

Zgodność z przepisami DORA a nieprzestrzeganie przepisów

Ryzyko niezgodności

Nieprzestrzeganie DORA może prowadzić do szkody dla reputacji, strat finansowych i kar regulacyjnych. Firmy, które nie spełniają wymagań DORA, ryzykują zakłóceniami operacyjnymi, niezadowoleniem klientów i potencjalnymi konsekwencjami prawnymi.

Zgodność z DORA – 3 uwagi i najlepsze praktyki

Aby zachować zgodność z DORA, instytucje finansowe muszą kompleksowo mapować istniejące zależności od stron trzecich i obejmować zrozumienie usług zlecanych na zewnątrz funkcji w celu zidentyfikowania krytycznych zależności. Krok 2 ocenia odporność mapowanych zależności
do oceny możliwości operacyjnych, środków bezpieczeństwa i planów odzyskiwania danych po awarii dostawcy usług. Wreszcie porozumienia umowne ze stronami trzecimi powinny szczegółowo uwzględniać wymogi dotyczące odporności operacyjnej. Obejmuje to rezerwy na wypadek incydentów
raportowanie, ciągłość działania i cele związane z czasem odzyskiwania danych.

Aby zachować zgodność, instytucje finansowe mogą podjąć kilka kroków w celu wdrożenia najlepszych praktyk w celu zapewnienia ciągłej zgodności z DORA. Obejmują one:

  1. Należyta staranność – wybierając zewnętrznych dostawców, należy zachować należytą staranność, biorąc pod uwagę ich osiągnięcia, stabilność finansową i odporność operacyjną.
  2. Testowanie scenariuszy — symuluj różne scenariusze z udziałem stron trzecich, aby przetestować skuteczność planów odzyskiwania. Powinno to obejmować cyberataki, awarie systemów i klęski żywiołowe.
  3. Ciągłe monitorowanie — regularnie monitoruj wydajność i zgodność stron trzecich, będąc przygotowanym na dostosowanie się w przypadku zmiany postawy odporności.

Ostatnie słowa:

DORA to nie tylko rozporządzenie; jest to strategiczna szansa na zwiększenie odporności operacyjnej i budowanie zaufania w epoce cyfrowej. Jako wiodący dostawca usług doradczych i usług w zakresie technologii danych rynkowych dla globalnych rynków finansowych, CJC traktuje swoją pozycję
poważnie traktować jako kluczowego zewnętrznego dostawcę usług zarządzania danymi rynkowymi dla społeczności rynków kapitałowych. Bez względu na poziom usług, standardy i przejrzystość zgodne z DORA są gotowe do użycia w firmie CJC, która zapewnia wielokrotnie nagradzane doradztwo,
usługi zarządzane, rozwiązania w chmurze, obserwowalność i profesjonalne usługi zarządzania komercyjnego dla systemów danych rynkowych o znaczeniu krytycznym. CJC jest neutralna wobec dostawców i posiada certyfikat ISO 27001, co zapewnia partnerom CJC swobodę skupienia się na swojej podstawowej działalności.

Znak czasu:

Więcej z Fintextra