DORA - การนำทางภูมิทัศน์ความยืดหยุ่นในการดำเนินงานของสหภาพยุโรป

DORA - การสนับสนุนและการประสานความยืดหยุ่นในการปฏิบัติงานทั่วทั้งสหภาพยุโรป 

ดูบทความเต็มได้ที่ https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

DORA ของสหภาพยุโรปเป็นสิ่งที่หลีกเลี่ยงไม่ได้และจะมีผลกระทบที่กระเพื่อมนอกเหนือจากสหภาพ โดยเข้ามาแทนที่แนวทางปฏิบัติด้านความยืดหยุ่นในการดำเนินงานเฉพาะอุตสาหกรรมก่อนหน้านี้ และเอาชนะความแตกต่างระดับชาติ โดยประสานแนวทางสำหรับประเด็นที่มุ่งเน้นหลักทั่วทั้งการเงิน
ห่วงโซ่คุณค่าอุตสาหกรรมเพื่อสร้างกรอบการทำงานร่วมกันทั่วทั้งสหภาพ ข้อมูลเชิงลึกนี้จะสำรวจผลกระทบมหภาคของ DORA โดยสรุปส่วนสำคัญของข้อความเต็มของ DORA เพื่อกำหนด:

1. DORA และ 5 จุดโฟกัสคืออะไร?
2. เหตุใดดอร่าจึงมีความสำคัญ?
3. DORA สมัครงานกับใครบ้าง?
4. การปฏิบัติตาม DORA กับการไม่ปฏิบัติตาม

เทคโนโลยีดิจิทัลถือเป็นส่วนสำคัญสำหรับบริษัททางการเงินและตลาดทุนระดับโลกในการสนับสนุนระบบที่ซับซ้อน ซึ่งมีความสำคัญอย่างยิ่งต่อการส่งมอบฟังก์ชันทางธุรกิจโดยทั่วไปและกิจกรรมสร้างรายได้ การแปลงเป็นดิจิทัลและผลการเชื่อมต่อระหว่างกัน
ช่วยให้มีประสิทธิภาพมากขึ้นและประหยัดต้นทุน แต่ยังขยายความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) และเพิ่มความเสี่ยงของระบบการเงินต่อภัยคุกคามหรือการหยุดชะงักทางไซเบอร์

แม้จะมีการกำหนดเป้าหมายนโยบายและความคิดริเริ่มด้านกฎหมายในระดับชาติ สหภาพยุโรป (EU) ตระหนักถึงความจำเป็นที่สำคัญในการประสานและสนับสนุนความยืดหยุ่นในการดำเนินงานทั่วทั้งประเทศสมาชิก เพื่อปกป้องความสมบูรณ์และประสิทธิภาพของระบบภายใน
โดยเฉพาะการพิจารณาถึงภัยคุกคามทางไซเบอร์ที่เพิ่มมากขึ้น1 และการหยุดชะงัก
เหตุการณ์ที่เกิดขึ้น2- มุมมองที่เพิ่งสะท้อนโดย Liquidnet3:

“อุตสาหกรรมนี้แข็งแกร่งพอๆ กับจุดอ่อนที่สุด […] ปี 2024 จะไม่เพียงแต่แสดงถึงการตรวจสอบการปฏิบัติตามกฎระเบียบ ความเสี่ยง และการควบคุมที่มากขึ้น รวมถึงความสามารถในการทำงานร่วมกันของเทคโนโลยีเท่านั้น แต่ยังรวมถึงความรับผิดชอบส่วนบุคคลในการทำให้ระบบนิเวศทำหน้าที่ได้อย่างเหมาะสมที่สุด”

สหภาพยุโรปได้ออกกฎหมาย Digital Operational Resilience Act (DORA) เพื่อจัดการกับความท้าทายด้านความยืดหยุ่นในการดำเนินงานที่กำลังดำเนินอยู่ เพื่อเสริมสร้างความปลอดภัยด้าน ICT และความแข็งแกร่งในการปฏิบัติงานสำหรับหน่วยงานทางการเงิน

DORA และ 5 จุดโฟกัสคืออะไร?

DORA ได้รับการรับรองโดยรัฐสภายุโรปและสภาเมื่อวันที่ 14 ธันวาคม พ.ศ. 2022 โดยต้องปฏิบัติตามข้อกำหนดภายในวันที่ 17 มกราคม พ.ศ. 2025 กฎระเบียบดังกล่าวมีจุดมุ่งหมายเพื่อรวบรวมและเพิ่มความยืดหยุ่นในการดำเนินงานด้านดิจิทัลทั่วทั้งภูมิทัศน์ทางการเงินที่มี
จนถึงจุดนี้ ได้รับการแก้ไขแยกกันในกฎหมายต่างๆ ของสหภาพผ่านกรอบการทำงานทั่วไป4 เพื่อความยืดหยุ่นในการปฏิบัติงานด้านดิจิทัล
ของหน่วยงานทางการเงินเพื่อให้สามารถต้านทานและฟื้นตัวจากการละเมิดและเหตุการณ์ ICT ได้ดีขึ้น

ประเด็นสำคัญ 5 ประการของ DORA:

1. การจัดการความเสี่ยงด้านไอซีที
2. การจัดการเหตุการณ์ที่เกี่ยวข้องกับ ICT การจำแนกประเภทและการรายงาน
3. การทดสอบความยืดหยุ่นในการปฏิบัติงานแบบดิจิทัล
4. การจัดการความเสี่ยงบุคคลที่สามด้าน ICT
5. การจัดการแบ่งปันข้อมูล

เหตุใดดอร่าจึงมีความสำคัญ?

DORA สร้างและแทนที่แนวทางเฉพาะอุตสาหกรรมก่อนหน้านี้เพื่อเอาชนะความแตกต่างและรวบรวมแนวทางสำหรับประเด็นสำคัญทั่วทั้งห่วงโซ่คุณค่าทั้งหมดอย่างสม่ำเสมอ เป็นเอกลักษณ์เฉพาะเนื่องจากแนะนำกรอบการกำกับดูแลทั่วไประดับสหภาพแรงงาน
ผู้ให้บริการบุคคลที่สามด้าน ICT ที่สำคัญ ตามที่กำหนดโดย European Supervisory Authorities (ESAs)5.

เนื่องจากภาคการเงินต้องพึ่งพาระบบ ICT แบบดิจิทัล และในขณะที่การเชื่อมต่อระหว่างกันเติบโตขึ้น ความเสี่ยงและช่องโหว่ด้าน ICT จะมีผลกระทบข้ามพรมแดนที่ก่อกวนมากขึ้นทั่วทั้งสหภาพ ซึ่งจะขยายผลกระทบของการหยุดชะงักในการปฏิบัติงานและในโลกไซเบอร์
ภัยคุกคามต่อบริษัททางการเงิน DORA ยอมรับว่าขณะนี้การแปลงเป็นดิจิทัลครอบคลุมฟังก์ชันทางการเงินที่สำคัญ6 กดไลก์
การชำระเงิน การหักบัญชีหลักทรัพย์ การซื้อขายอัลกอริทึม และการดำเนินการหลังบ้าน โดยมีจุดมุ่งหมายเพื่อสนับสนุนความยืดหยุ่นในการปฏิบัติงานของฟังก์ชันเหล่านี้ เพื่อรักษาเสถียรภาพทางการเงินโดยรวม และปกป้องความไว้วางใจของผู้บริโภคภายในตลาดภายใน DORA มุ่งหวังที่จะอนุรักษ์
ความเชื่อมั่นของตลาดโดยรับประกันการให้บริการทางการเงินที่ราบรื่นแม้ในสถานการณ์ที่ท้าทาย

DORA สมัครงานกับใครบ้าง?

DORA ใช้กับสถาบันการเงินทุกแห่งในสหภาพยุโรปและผู้ให้บริการบุคคลที่สามด้าน ICT ที่ให้บริการเพื่อสนับสนุนพวกเขา ข้อมูลเชิงลึกล่าสุด10 จ่าหน้า
นี้. กฎระเบียบ DORA ของสหภาพยุโรปแนะนำข้อกำหนดเฉพาะและกำหนดไว้สำหรับผู้เข้าร่วมตลาดการเงินทั้งหมด

DORA – หน่วยงานทางการเงิน

เพื่อให้สอดคล้องกับ DORA หน่วยงานทางการเงินจะต้องปรับปรุงแนวปฏิบัติการจัดการที่เกี่ยวข้องกับความเสี่ยง ICT ซึ่งรวมถึงการระบุ การประเมิน และการลดความเสี่ยงที่เกี่ยวข้องกับการดำเนินงานดิจิทัล DORA ยังแนะนำภาระหน้าที่ในการรายงานเหตุการณ์ ICT ที่รวดเร็วให้กับ
หน่วยงานที่เกี่ยวข้องสำหรับการหยุดชะงักของฟังก์ชันที่สำคัญ นอกจากนี้ สถาบันต่างๆ จะต้องจำลองการหยุดชะงักต่างๆ เป็นประจำเพื่อทดสอบความยืดหยุ่นในการปฏิบัติงานและความสามารถในการกู้คืน

โดยเฉพาะอย่างยิ่ง DORA เน้นย้ำว่าหน่วยงานทางการเงินจะต้องประเมินและจัดการความเสี่ยงด้าน ICT บุคคลที่สามของผู้ให้บริการของตน และรับรองว่าข้อตกลงตามสัญญาจะตอบสนองต่อความยืดหยุ่นในการปฏิบัติงาน สิ่งนี้เกี่ยวข้องกับการกระจุกตัวของความเสี่ยง (DORA Article 2911)
และติดตามเหตุการณ์ต่างๆ เช่น ไฟดับของ OPRA12และอาชญากรรมไซเบอร์มุ่งเป้าไปที่ซัพพลายเออร์ที่สำคัญ
ในห่วงโซ่อุปทานทางการเงิน เช่น การแฮ็ก Ion Group เมื่อปีที่แล้ว13 or
ผู้จำหน่ายระบบคลาวด์คอมพิวติ้ง14, ที่ไหน
เหตุการณ์เดียวอาจส่งผลกระทบต่อหน่วยงานทางการเงินหลายแห่ง

ควรสังเกตว่าผลกระทบของไฟฟ้าขัดข้องไม่ได้จำกัดอยู่เพียงบริษัทและผู้ใช้ปลายทางเท่านั้น โดยผลกระทบอาจล้นไปสู่การเงินส่วนบุคคลดังที่แสดงโดยธนาคาร DBS15 ก่อน
ในปีนี้

DORA – การพึ่งพาบุคคลที่สามและความยืดหยุ่นในการปฏิบัติงาน

หน่วยงานทางการเงินต้องพึ่งพาผู้ให้บริการบุคคลที่สามมากขึ้นในการส่งมอบส่วนสำคัญของการดำเนินงานและบริการของตน ต่อมา DORA ยังส่งผลกระทบอย่างมากต่อการพึ่งพาบุคคลที่สาม บุคคลที่สามเหล่านี้รวมถึงผู้ให้บริการระบบคลาวด์
ผู้จำหน่ายข้อมูล นักพัฒนาซอฟต์แวร์ และพันธมิตรด้านเทคโนโลยีอื่นๆ การจ้างฟังก์ชันบางอย่างจากภายนอกสามารถเพิ่มประสิทธิภาพและลดต้นทุนได้ แต่ดังที่เราเห็นใน Ion มันยังนำมาซึ่งความเสี่ยงใหม่ๆ อีกด้วย ขณะนี้เจ้าหน้าที่ต้องมองข้ามความยืดหยุ่นของบุคคลที่ได้รับการควบคุม
บริษัทและประเมินความยืดหยุ่นในการดำเนินงานที่กว้างขึ้นของภาคส่วนนี้

DORA เน้นย้ำถึงความสำคัญของแนวทางปฏิบัติในการบริหารความเสี่ยงที่แข็งแกร่งสำหรับการพึ่งพาบุคคลที่สามโดยมีเป้าหมายเพื่อสนับสนุนความยืดหยุ่นโดยรวมของภาคการเงินในยุคดิจิทัล ซึ่งรวมถึง:

1. ขอบเขตที่กว้างขวางของความเสี่ยงของบุคคลที่สามด้าน ICT – เพื่อเพิ่มความยืดหยุ่นในการปฏิบัติงานทั่วทั้งภาคบริการทางการเงิน DORA ได้ใช้เครือข่ายที่กว้างขวางเพื่อกำหนดความเสี่ยงของบุคคลที่สามด้าน ICT ตัวอย่างเช่น DORA มาตรา 3 (18)16 กำหนด
   ความเสี่ยงของบุคคลที่สามด้าน ICT เช่นเดียวกับความเสี่ยงด้าน ICT – บทความ 3 (5)17 – ที่อาจเกิดขึ้นสำหรับองค์กรทางการเงินที่ได้มาจากการใช้บริการ ICT ที่จัดให้
   โดยผู้ให้บริการบุคคลที่สาม ผู้รับเหมาช่วง หรือการจัดการเอาท์ซอร์ส
2. แนวทางปฏิบัติในการบริหารความเสี่ยงสำหรับผู้ขายที่เป็นบุคคลที่สาม – DORA กำหนดแนวทางปฏิบัติในการบริหารความเสี่ยงที่เหมาะสมสำหรับผู้ขายที่เป็นบุคคลที่สาม เพื่อลดความเสี่ยงในการปฏิบัติงานที่เกี่ยวข้องกับความสัมพันธ์ของบุคคลที่สาม และรับประกันความยืดหยุ่น อีกทั้งยังมีจุดมุ่งหมายที่จะนำไปปฏิบัติอย่างกลมกลืน
   กรอบการกำกับดูแลสำหรับการบริหารความเสี่ยงของผู้ขายบุคคลที่สามทั่วสหภาพยุโรป (มาตรา 1518).
3. ผู้ให้บริการบุคคลที่สามด้าน ICT ที่สำคัญ – DORA ตระหนักถึงบทบาทที่สำคัญของผู้ให้บริการ ICT ในการให้บริการทางการเงิน หากถือว่าบุคคลที่สามมีความสำคัญ เช่น CJC ในบางกรณี พวกเขาจะต้องปฏิบัติตามข้อกำหนดของ DORA โดยเฉพาะอย่างยิ่งบุคคลที่สามที่สำคัญ
   ภายนอกสหภาพยุโรปจะต้องจัดตั้งบริษัทในเครือภายในสหภาพยุโรป – มาตรา 31 (12)19 – แม้ว่าคำนำ (82)20 บันทึก
   ข้อกำหนด “ไม่ควรป้องกันผู้ให้บริการบุคคลที่สามด้าน ICT ที่สำคัญจากการจัดหาบริการ ICT และการสนับสนุนด้านเทคนิคที่เกี่ยวข้องจากสิ่งอำนวยความสะดวกและโครงสร้างพื้นฐานที่ตั้งอยู่นอกสหภาพ”

เมื่อพูดถึงความยืดหยุ่นในการปฏิบัติงานและการปฏิบัติตาม DORA Gina Wee ประธานเจ้าหน้าที่ฝ่ายสารสนเทศของ CJC กล่าวว่า “ตั้งแต่การใช้การเข้ารหัสที่แข็งแกร่งและการควบคุมการเข้าถึงที่เข้มงวด ไปจนถึงการดำเนินการตรวจสอบอย่างสม่ำเสมอ CJC สนับสนุนการปฏิบัติตามกฎระเบียบในระดับสูงเพื่อให้มั่นใจในข้อมูล
ความปลอดภัย. เมื่อรวมกับการวางแผนเชิงรุก ขั้นตอนการปรับตัว และวัฒนธรรมของการปรับปรุงอย่างต่อเนื่อง เรารับประกันการบริการแก่ลูกค้าของเราอย่างต่อเนื่อง เราหวังว่าความมุ่งมั่นของเราในเรื่องความปลอดภัยของข้อมูล ความยืดหยุ่นในการปฏิบัติงาน และความรับผิดชอบจะมอบให้กับเรา
ลูกค้าอุ่นใจและมั่นใจในบริการที่ได้รับการจัดการของเรา”

การปฏิบัติตาม DORA กับการไม่ปฏิบัติตาม

ความเสี่ยงจากการไม่ปฏิบัติตามข้อกำหนด

การไม่ปฏิบัติตาม DORA อาจนำไปสู่ความเสียหายต่อชื่อเสียง การสูญเสียทางการเงิน และบทลงโทษตามกฎระเบียบ บริษัทที่ไม่ปฏิบัติตามข้อกำหนดของ DORA อาจเสี่ยงต่อการหยุดชะงักในการดำเนินงาน ความไม่พอใจของลูกค้า และผลทางกฎหมายที่อาจเกิดขึ้น

การปฏิบัติตาม DORA – ข้อควรพิจารณา 3 ข้อและแนวทางปฏิบัติที่ดีที่สุด

เพื่อให้สอดคล้องกับ DORA สถาบันการเงินจะต้องจัดทำแผนที่การพึ่งพาของบุคคลที่สามที่มีอยู่อย่างครอบคลุม และเกี่ยวข้องกับการทำความเข้าใจบริการของฟังก์ชันที่มาจากภายนอกเพื่อระบุการพึ่งพาที่สำคัญ ขั้นตอนที่ 2 ประเมินความยืดหยุ่นของการขึ้นต่อกันที่แมป
เพื่อประเมินความสามารถในการปฏิบัติงาน มาตรการรักษาความปลอดภัย และแผนการกู้คืนความเสียหายของผู้ให้บริการ สุดท้ายนี้ ข้อตกลงตามสัญญากับบุคคลที่สามควรตอบสนองข้อกำหนดด้านความยืดหยุ่นในการปฏิบัติงานโดยเฉพาะ รวมถึงข้อกำหนดสำหรับเหตุการณ์ด้วย
วัตถุประสงค์การรายงาน ความต่อเนื่องทางธุรกิจ และระยะเวลาการกู้คืน

เพื่อให้เป็นไปตามข้อกำหนด สถาบันการเงินสามารถดำเนินการหลายขั้นตอนเพื่อนำแนวทางปฏิบัติที่ดีที่สุดไปใช้เพื่อให้แน่ใจว่ามีการปฏิบัติตาม DORA อย่างต่อเนื่อง ซึ่งรวมถึง:

1. การตรวจสอบสถานะ – เมื่อเลือกผู้ให้บริการบุคคลที่สาม ให้ดำเนินการตรวจสอบสถานะอย่างละเอียดถี่ถ้วนโดยพิจารณาจากบันทึกความสำเร็จ ความมั่นคงทางการเงิน และความสามารถในการฟื้นตัวในการดำเนินงาน
2. การทดสอบสถานการณ์ – จำลองสถานการณ์ต่างๆ กับบุคคลที่สามเพื่อทดสอบประสิทธิภาพของแผนการกู้คืน สิ่งนี้ควรรวมถึงการโจมตีทางไซเบอร์ ความล้มเหลวของระบบ และภัยพิบัติทางธรรมชาติ
3. การตรวจสอบอย่างต่อเนื่อง – ตรวจสอบประสิทธิภาพและการปฏิบัติตามกฎระเบียบของบุคคลที่สามเป็นประจำ โดยเตรียมพร้อมที่จะปรับตัวหากท่าทีความยืดหยุ่นเปลี่ยนแปลง

คำสุดท้าย:

DORA ไม่ได้เป็นเพียงกฎระเบียบเท่านั้น เป็นโอกาสเชิงกลยุทธ์ในการเพิ่มความยืดหยุ่นในการปฏิบัติงานและสร้างความไว้วางใจในยุคดิจิทัล ในฐานะผู้ให้คำปรึกษาด้านเทคโนโลยีข้อมูลการตลาดชั้นนำและผู้ให้บริการสำหรับตลาดการเงินทั่วโลก CJC ปฏิบัติต่อจุดยืนของตน
ในฐานะซัพพลายเออร์บุคคลที่สามที่สำคัญในการให้บริการจัดการข้อมูลตลาดแก่ชุมชนตลาดทุนอย่างจริงจัง ไม่ว่าระดับการบริการจะเป็นอย่างไร มาตรฐานและความโปร่งใสที่เป็นไปตาม DORA นั้นเป็นสิ่งที่ CJC นำเสนอให้คำปรึกษาที่ได้รับรางวัลมากมาย
บริการที่มีการจัดการ โซลูชันคลาวด์ ความสามารถในการสังเกต และบริการการจัดการเชิงพาณิชย์ระดับมืออาชีพสำหรับระบบข้อมูลตลาดที่มีภารกิจสำคัญ CJC เป็นผู้จำหน่ายที่เป็นกลางและได้รับการรับรองมาตรฐาน ISO 27001 ช่วยให้พันธมิตรของ CJC มีอิสระในการมุ่งเน้นไปที่ธุรกิจหลักของตน

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs