La 11 mai 2022, Uniunea Europeană (UE) a ajuns la un acord provizoriu asupra noului Digital Operational Resilience Act (DORA). În ciuda frazei, nu este nimic „provizoriu” la DORA. De fapt, una dintre cele mai ample reglementări de securitate cibernetică din lume pentru serviciile financiare și lanțurile lor de aprovizionare este în mare parte o afacere încheiată.
Tot ceea ce rămâne înainte de adoptarea oficială, așteptată în luna octombrie, implică în primul rând câteva modificări tehnice și traducerea în cele 24 de limbi oficiale ale statelor membre ale UE.
DORA reprezintă răspunsul UE la numărul tot mai mare de atacuri cibernetice împotriva instituțiilor financiare. Este conceput pentru a consolida securitatea firmelor financiare din UE, cum ar fi băncile, companiile de asigurări, firmele de investiții și altele, prin impunerea cerințelor de reziliență și reglementarea lanțului de aprovizionare. Dar, după cum am notat într-un post anterior, principiile DORA se extind cu mult dincolo de UE și sectorul său financiar.
Cerințele uniforme ale DORA pentru securitatea rețelelor și a sistemelor informaționale cuprind nu numai întreprinderile din sectorul financiar, ci și furnizorii terți critici care furnizează servicii legate de tehnologia informației și comunicațiilor sectorului financiar, cum ar fi platformele cloud și analiza datelor.
Într-adevăr, acoperirea DORA se extinde la practic orice întreprindere care oferă servicii de tehnologie a informației și comunicațiilor (TIC) care este considerată esențială pentru lanțul de aprovizionare care sprijină sectorul financiar european – indiferent dacă întreprinderea sau serviciul respectiv are sau nu sediul în UE. De fapt, sub DORA, complexitatea lanțului de aprovizionare sau lipsa prezenței UE sunt considerate ambele factori de risc.
Obligarea unor noi perspective de reglementare
DORA este unică prin faptul că aduce un nivel nou și diferit de control normativ pentru o mare varietate de întreprinderi globale. Cerințele DORA Mandat — nu doar sugerează — respectarea dispozițiilor sale. La fel de important, impactul acestui nou nivel de control al reglementărilor diferă în funcție de punctul de vedere al întreprinderii.
Instituțiile financiare obișnuite cu un mediu de reglementare conceput în primul rând pentru a evalua riscul financiar și stabilitatea vor trebui acum să ia la fel de serios riscul potențial reprezentat de operațiunile lor TIC. Instituțiile financiare sunt obișnuite să abordeze riscul sub formă de cerințe de capital. DORA adoptă o abordare diferită, impunând un comportament specific și cerințe bazate pe performanță. Din punctul de vedere al instituțiilor financiare, această creștere a riscului are consecințe asupra mai multor aspecte ale afacerii lor, cum ar fi modul în care consumă tehnologia și modul în care își transformă afacerea prin tranziția la noi tehnologii precum cloud computing. Aceasta include strategii și capacități generale de gestionare a riscurilor, securitatea lanțului de aprovizionare și personalul și politicile organizaționale pentru asigurarea evaluării și conformității corespunzătoare a riscurilor TIC.
DORA schimbă, de asemenea, perspectiva de reglementare a organizațiilor TIC. Până acum, acestea au fost reglementate în principal pe probleme legate de date, cum ar fi confidențialitatea datelor și notificarea încălcării datelor, pe baza preocupărilor legate de datele personale și de obiective politice precum suveranitatea digitală. Îmi vin în minte reguli inovatoare, cum ar fi Regulamentul general privind protecția datelor (GDPR) în Europa și, mai recent, California Consumer Privacy Act (CCPA) din Statele Unite.
Organizațiile TIC ar putea avea, de asemenea, alte obligații de reglementare privind securitatea sau au fost clasificate drept infrastructură critică, în funcție de locul în care se află, cum ar fi în conformitate cu Directiva privind securitatea rețelelor și a informațiilor (NIS) în Europa, cel Legea privind securitatea cibernetică din 2018 în Singapore, sau legislația sectorială specifică pentru industriile specializate, cum ar fi telecomunicațiile din Statele Unite.
Acum, dacă companiile TIC deservesc instituțiile financiare din UE, cel mai probabil vor fi supuse și ele DORA. Deci, pe lângă cadrele lor de reglementare anterioare, acei furnizori de TIC desemnați ca oferind un serviciu critic vor fi dintr-o dată reglementați prin DORA într-un mod care se simte ca și cum ar deveni extensii a instituțiilor financiare ale UE pe care le deservesc. Indiferent de cum privim, aceasta este o schimbare dramatică – atât pentru instituțiile financiare, cât și pentru furnizorii de TIC.
Dar asta nu este tot. DORA schimbă perspectiva instituției de reglementare a UE. Autoritățile de reglementare care sunt experți în conformitatea instituțiilor financiare trebuie să-și extindă acum domeniul de aplicare pentru a include furnizorii de TIC care oferă servicii critice, cum ar fi furnizorii de cloud, servicii de analiză a datelor și alte afaceri non-financiare. În țările cu structuri de reglementare complexe, va exista și necesitatea de a coopera cu alte organisme însărcinate cu reglementarea acestor tipuri suplimentare de industrii nefinanciare.
Întâmpinarea provocărilor
DORA solicită instituțiilor financiare din UE să își evalueze propria securitate cibernetică și maturitatea gestionării riscurilor. Înțelegerea și gestionarea performanței riscului lanțului de aprovizionare va fi esențială pentru acest efort.
În general, instituțiile financiare sunt adepte la testele de stres pentru a determina securitatea și stabilitatea financiară. Este o altă provocare să extinzi astfel de teste la alte organizații. Așadar, pentru sectorul financiar al UE, modul de gestionare a furnizorilor, gestionarea riscurilor și capacitățile operaționale într-un lanț de aprovizionare din ce în ce mai complex și extins reprezintă cel mai mare puzzle.
De exemplu, o instituție financiară ar putea avea sediul în Europa, dar toate activitățile sale de asistență ar putea fi externalizate către companii cu sediul în India. Este posibil ca aceste servicii de asistență să nu fie din punct de vedere tehnic instituții financiare. Dar DORA va solicita instituției financiare să evalueze dacă vânzătorul este esențial pentru operațiunile sale și să aplice cerințele DORA relevante în relația respectivă.
Pentru întreprinderile care nu au sediul în UE, întrebarea cheie este cea a jurisdicției și a accesului pe piață. Instituțiile financiare sau furnizorii de TIC care operează în afara UE nu sunt afectați. Dar dacă întreprinderea este o instituție financiară sau un furnizor de servicii TIC care deservește sectorul financiar al UE în orice fel, cel mai probabil va fi supusă DORA – direct sau indirect.
Numărătoare inversă până în 2024
Dacă nu se schimbă ceva în textul final, DORA intră în vigoare la 24 de luni de la adoptarea sa oficială. În mod realist, este probabil să fie undeva aproape de sfârșitul anului 2024. Vestea bună este că aceasta oferă mult timp organizațiilor pentru a se pregăti pentru conformitate. Cel mai important, nu este prea lung pentru a fi inclus într-un ciclu tipic al bugetului întreprinderii.
Dar înainte ca termenul limită să vină pe furiș, începeți să vă pregătiți acum. Iată cinci pași cheie:
- Folosește cu înțelepciune timpul până în 2024.
- Înțelegeți unde vă aflați. Căutați, găsiți și identificați lacunele dvs. de conformitate.
- Stabiliți de ce aveți nevoie pentru a vă remedia lacunele.
- Educați și obțineți acceptarea din partea managementului superior.
- Buget pentru cele 24 de luni.
Ceasul ticaie.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
