เมื่อวันที่ 11 พฤษภาคม 2022 สหภาพยุโรป (EU) บรรลุข้อตกลงชั่วคราวเกี่ยวกับกฎหมาย Digital Operational Resilience Act (DORA) ฉบับใหม่ แม้จะมีการใช้ถ้อยคำ แต่ก็ไม่มีอะไร "ชั่วคราว" เกี่ยวกับ DORA ในความเป็นจริง กฎข้อบังคับด้านความปลอดภัยทางไซเบอร์ที่กว้างขวางที่สุดข้อหนึ่งของโลกสำหรับบริการทางการเงินและห่วงโซ่อุปทานนั้นส่วนใหญ่เป็นข้อตกลงที่เสร็จสิ้นแล้ว
สิ่งที่เหลืออยู่ก่อนที่จะมีการรับเลี้ยงบุตรบุญธรรมอย่างเป็นทางการ ซึ่งคาดว่าจะเกิดขึ้นในช่วงเดือนตุลาคมนี้ โดยหลักๆ จะเกี่ยวข้องกับการเปลี่ยนแปลงทางเทคนิคและการแปลเป็นภาษาทางการ 24 ภาษาของประเทศสมาชิกของสหภาพยุโรป
DORA แสดงถึงการตอบสนองของสหภาพยุโรปต่อการโจมตีทางไซเบอร์ต่อสถาบันการเงินที่เพิ่มมากขึ้น ได้รับการออกแบบมาเพื่อเสริมสร้างความปลอดภัยของบริษัททางการเงินในสหภาพยุโรป เช่น ธนาคาร บริษัทประกันภัย บริษัทการลงทุน และอื่นๆ โดยกำหนดข้อกำหนดด้านความยืดหยุ่นและควบคุมห่วงโซ่อุปทาน แต่อย่างที่ผมได้กล่าวไว้ใน โพสต์ก่อนหน้านี้หลักการของ DORA ขยายไปไกลเกินกว่าสหภาพยุโรปและภาคการเงิน
ข้อกำหนดเดียวกันของ DORA สำหรับการรักษาความปลอดภัยเครือข่ายและระบบข้อมูลไม่เพียงแต่ครอบคลุมถึงองค์กรในภาคการเงินเท่านั้น แต่ยังรวมถึงผู้จำหน่ายบุคคลที่สามที่สำคัญที่ให้บริการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศและการสื่อสารแก่ภาคการเงิน เช่น แพลตฟอร์มคลาวด์และการวิเคราะห์ข้อมูล
แท้จริงแล้ว การเข้าถึงของ DORA ขยายไปถึงโดยพื้นฐานแล้วองค์กรที่นำเสนอบริการเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ซึ่งถือว่ามีความสำคัญต่อห่วงโซ่อุปทานที่สนับสนุนภาคการเงินของยุโรป ไม่ว่าองค์กรหรือบริการนั้นจะตั้งอยู่ในสหภาพยุโรปหรือไม่ก็ตาม ในความเป็นจริง ภายใต้ DORA ความซับซ้อนของห่วงโซ่อุปทานหรือการไม่มีสหภาพยุโรปถือเป็นปัจจัยเสี่ยงทั้งคู่
การบังคับใช้มุมมองด้านกฎระเบียบใหม่
DORA มีความโดดเด่นตรงที่นำการตรวจสอบด้านกฎระเบียบในระดับใหม่และแตกต่างมาสู่องค์กรระดับโลกที่หลากหลาย ข้อกำหนดของ DORA อาณัติ — ไม่ใช่แค่แนะนำ — ปฏิบัติตามบทบัญญัติของมัน สิ่งสำคัญไม่แพ้กันคือผลกระทบของการตรวจสอบด้านกฎระเบียบในระดับใหม่นี้จะแตกต่างกันไปขึ้นอยู่กับมุมมองขององค์กร
สถาบันการเงินที่คุ้นเคยกับสภาพแวดล้อมด้านกฎระเบียบที่ออกแบบมาเพื่อประเมินความเสี่ยงและความมั่นคงทางการเงินเป็นหลัก ในตอนนี้จะต้องรับความเสี่ยงที่อาจเกิดขึ้นจากการดำเนินงานด้าน ICT ของตนอย่างจริงจังเช่นกัน สถาบันการเงินคุ้นเคยกับการจัดการความเสี่ยงในรูปของความต้องการเงินกองทุน DORA ใช้แนวทางที่แตกต่างออกไปโดยกำหนดพฤติกรรมเฉพาะและข้อกำหนดตามประสิทธิภาพ จากมุมมองของสถาบันการเงิน การยกระดับความเสี่ยงนั้นมีผลกระทบต่อหลายแง่มุมของธุรกิจ เช่น วิธีที่พวกเขาใช้เทคโนโลยี และวิธีที่พวกเขาเปลี่ยนแปลงธุรกิจโดยการเปลี่ยนผ่านไปสู่เทคโนโลยีใหม่ เช่น การประมวลผลแบบคลาวด์ ซึ่งรวมถึงกลยุทธ์และความสามารถในการบริหารความเสี่ยงโดยรวม ความปลอดภัยของห่วงโซ่อุปทาน และการจัดพนักงานและนโยบายขององค์กรเพื่อให้มั่นใจว่าการประเมินความเสี่ยงด้าน ICT และการปฏิบัติตามข้อกำหนดเหมาะสม
DORA ยังเปลี่ยนมุมมองด้านกฎระเบียบขององค์กร ICT จนถึงตอนนี้ พวกเขาได้รับการควบคุมในประเด็นที่เกี่ยวข้องกับข้อมูลเป็นหลัก เช่น ความเป็นส่วนตัวของข้อมูล และการแจ้งเตือนการละเมิดข้อมูล โดยอิงจากความกังวลเกี่ยวกับข้อมูลส่วนบุคคลและวัตถุประสงค์ทางการเมือง เช่น อธิปไตยทางดิจิทัล กฎที่แหวกแนว เช่น กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ในยุโรป และกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA) ฉบับล่าสุดในสหรัฐอเมริกา ล้วนอยู่ในใจ
องค์กร ICT อาจมีภาระหน้าที่ด้านกฎระเบียบอื่นๆ เกี่ยวกับการรักษาความปลอดภัย หรือถูกจัดประเภทเป็นโครงสร้างพื้นฐานที่สำคัญ ขึ้นอยู่กับว่าพวกเขาอยู่ที่ไหน เช่น ภายใต้ คำสั่งความปลอดภัยเครือข่ายและข้อมูล (NIS) ในยุโรป พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2018 ในสิงคโปร์หรือ กฎหมายเฉพาะภาค สำหรับอุตสาหกรรมเฉพาะทาง เช่น โทรคมนาคมในสหรัฐอเมริกา
ปัจจุบัน หากบริษัท ICT ให้บริการสถาบันการเงินในสหภาพยุโรป พวกเขามักจะต้องอยู่ภายใต้ DORA เช่นกัน ดังนั้น นอกเหนือจากกรอบการกำกับดูแลก่อนหน้านี้แล้ว ผู้ให้บริการ ICT ที่ได้รับมอบหมายให้เสนอบริการที่สำคัญก็จะได้รับการควบคุมภายใต้ DORA ในลักษณะที่ให้ความรู้สึกราวกับว่าพวกเขากำลังกลายเป็น ส่วนขยาย ของสถาบันการเงินในสหภาพยุโรปที่พวกเขาให้บริการ ไม่ว่าใครจะมองอย่างไร นั่นเป็นการเปลี่ยนแปลงครั้งใหญ่สำหรับทั้งสถาบันการเงินและผู้ให้บริการ ICT
แต่นั่นไม่ใช่ทั้งหมด DORA เปลี่ยนมุมมองของการจัดตั้งกฎระเบียบของสหภาพยุโรป หน่วยงานกำกับดูแลที่เป็นผู้เชี่ยวชาญด้านการปฏิบัติตามกฎระเบียบของสถาบันการเงินจะต้องขยายขอบเขตให้ครอบคลุมผู้ให้บริการ ICT ที่นำเสนอบริการที่สำคัญ เช่น ผู้ให้บริการคลาวด์ บริการวิเคราะห์ข้อมูล และธุรกิจอื่น ๆ ที่ไม่ใช่ทางการเงิน ในประเทศที่มีโครงสร้างการกำกับดูแลที่ซับซ้อน จะต้องร่วมมือกับหน่วยงานอื่นๆ ที่ได้รับมอบหมายให้ควบคุมอุตสาหกรรมที่ไม่ใช่ทางการเงินประเภทเพิ่มเติมเหล่านี้
พบกับความท้าทาย
DORA กำหนดให้สถาบันการเงินในสหภาพยุโรปประเมินความปลอดภัยทางไซเบอร์และการบริหารความเสี่ยงของตนเอง การทำความเข้าใจและการจัดการประสิทธิภาพความเสี่ยงในห่วงโซ่อุปทานจะเป็นหัวใจสำคัญของความพยายามนี้
โดยทั่วไปแล้ว สถาบันการเงินจะเชี่ยวชาญในการทดสอบภาวะวิกฤตเพื่อกำหนดความมั่นคงและเสถียรภาพทางการเงิน การขยายการทดสอบประเภทนี้ไปยังองค์กรอื่นๆ ถือเป็นความท้าทายที่แตกต่างออกไป ดังนั้น สำหรับภาคการเงินของสหภาพยุโรป วิธีการจัดการผู้ขาย การบริหารความเสี่ยง และความสามารถในการปฏิบัติงานในห่วงโซ่อุปทานที่ซับซ้อนและขยายออกไปมากขึ้นเรื่อยๆ ถือเป็นปริศนาที่ยิ่งใหญ่ที่สุด
ตัวอย่างเช่น สถาบันการเงินอาจมีสำนักงานใหญ่ในยุโรป แต่มีกิจกรรมสนับสนุนทั้งหมดที่ได้รับมอบหมายจากภายนอกให้กับธุรกิจที่อยู่ในอินเดีย บริการสนับสนุนเหล่านี้อาจไม่ใช่สถาบันการเงินในทางเทคนิค แต่ DORA จะกำหนดให้สถาบันการเงินประเมินว่าผู้ขายมีความสำคัญต่อการดำเนินงานของตนหรือไม่ และใช้ข้อกำหนด DORA ที่เกี่ยวข้องกับความสัมพันธ์ดังกล่าว
สำหรับองค์กรที่ไม่ได้อยู่ในสหภาพยุโรป คำถามสำคัญคือเขตอำนาจศาลและการเข้าถึงตลาด สถาบันการเงินหรือผู้ให้บริการ ICT ที่ดำเนินงานนอกสหภาพยุโรปจะไม่ได้รับผลกระทบ แต่หากองค์กรเป็นสถาบันการเงินหรือผู้ให้บริการ ICT ที่ให้บริการภาคการเงินของสหภาพยุโรปในทางใดทางหนึ่ง ก็มักจะต้องอยู่ภายใต้ DORA ทั้งทางตรงและทางอ้อม
นับถอยหลังสู่ปี 2024
เว้นแต่จะมีการเปลี่ยนแปลงใดๆ ในข้อความสุดท้าย DORA จะมีผลใช้บังคับภายใน 24 เดือนหลังจากการนำไปใช้อย่างเป็นทางการ ตามความเป็นจริงแล้ว แนวโน้มดังกล่าวน่าจะอยู่ในช่วงใกล้สิ้นปี 2024 ข่าวดีก็คือ การทำเช่นนี้จะทำให้องค์กรมีเวลามากมายในการเตรียมพร้อมสำหรับการปฏิบัติตามข้อกำหนด สิ่งสำคัญที่สุดคือไม่นานเกินไปสำหรับการรวมไว้ในวงจรงบประมาณองค์กรทั่วไป
แต่ก่อนที่เส้นตายนั้นจะแอบเข้ามาหาคุณ จงเริ่มเตรียมตัวเสียก่อน ตอนนี้. ต่อไปนี้เป็นห้าขั้นตอนสำคัญ:
- ใช้เวลาจนถึงปี 2024 อย่างชาญฉลาด
- เข้าใจว่าคุณอยู่ที่ไหน ค้นหา ค้นหา และระบุช่องว่างในการปฏิบัติตามข้อกำหนดของคุณ
- กำหนดสิ่งที่คุณต้องการเพื่อแก้ไขช่องว่างของคุณ
- ให้ความรู้และรับความเห็นชอบจากผู้บริหารระดับสูง
- งบประมาณ 24 เดือน.
นาฬิกากำลังฟ้อง
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
