DORA – Điều hướng bối cảnh khả năng phục hồi hoạt động của EU

DORA - Củng cố và hài hòa khả năng phục hồi hoạt động trên toàn EU. 

Xem toàn bộ bài viết tại https://cjcit.com/insight/dora-navigating-the-eus-operal-resilience-landscape/

DORA của EU là không thể tránh khỏi và sẽ có tác động lan tỏa ra ngoài liên minh. Nó thay thế các hướng dẫn về khả năng phục hồi hoạt động dành riêng cho từng ngành trước đây và khắc phục sự chênh lệch giữa các quốc gia, hài hòa các hướng dẫn cho các lĩnh vực trọng tâm chính trong toàn bộ nền tài chính.
chuỗi giá trị ngành để thiết lập một khuôn khổ chung trên toàn liên minh. Thông tin chuyên sâu này khám phá các tác động vĩ mô của DORA, tóm tắt các phần chính trong toàn văn của DORA để xác định:

1. DORA là gì và 5 lĩnh vực trọng tâm của nó?
2. Tại sao DORA lại quan trọng?
3. DORA nộp đơn cho ai?
4. Tuân thủ DORA và Không tuân thủ.

Công nghệ kỹ thuật số có vai trò then chốt để các công ty thị trường vốn và tài chính toàn cầu hỗ trợ các hệ thống phức tạp, điều này rất quan trọng trong việc cung cấp các chức năng kinh doanh điển hình và các hoạt động tạo doanh thu. Số hóa và kết quả kết nối
cho phép tiết kiệm chi phí và hiệu quả cao hơn nhưng cũng làm tăng rủi ro về công nghệ thông tin và truyền thông (ICT) và tăng tính dễ bị tổn thương của hệ thống tài chính trước các mối đe dọa hoặc gián đoạn trên mạng.

Bất chấp các sáng kiến ​​lập pháp và chính sách có mục tiêu ở cấp quốc gia, Liên minh Châu Âu (EU) nhận thấy nhu cầu cấp thiết phải hài hòa và tăng cường khả năng phục hồi hoạt động giữa các quốc gia thành viên để bảo vệ tính toàn vẹn và hiệu quả của hệ thống nội bộ.
thị trường, đặc biệt xem xét các mối đe dọa mạng ngày càng gia tăng1 và sự gián đoạn
sự cố2. Một quan điểm gần đây được lặp lại bởi Liquidnet3:

“Ngành này chỉ mạnh bằng liên kết yếu nhất của nó […] Năm 2024 sẽ không chỉ thể hiện sự giám sát chặt chẽ hơn về mặt pháp lý đối với việc tuân thủ, rủi ro và kiểm soát cũng như khả năng tương tác công nghệ mà còn là trách nhiệm của cá nhân trong việc làm cho hệ sinh thái hoạt động tối ưu.”

Để giải quyết những thách thức về khả năng phục hồi đang diễn ra, EU đã đưa ra Đạo luật về khả năng phục hồi hoạt động kỹ thuật số (DORA) để tăng cường bảo mật CNTT và khả năng hoạt động mạnh mẽ cho các tổ chức tài chính.

DORA là gì và 5 lĩnh vực trọng tâm của nó?

DORA đã được Nghị viện và Hội đồng Châu Âu thông qua vào ngày 14 tháng 2022 năm 17, với yêu cầu tuân thủ trước ngày 2025 tháng XNUMX năm XNUMX. Quy định này nhằm mục đích củng cố và nâng cao khả năng phục hồi hoạt động kỹ thuật số trong bối cảnh tài chính vốn có,
cho đến thời điểm này, đã được giải quyết riêng biệt trong các đạo luật pháp lý khác nhau của Liên minh thông qua một khuôn khổ chung4 cho khả năng phục hồi hoạt động kỹ thuật số
của các tổ chức tài chính để chống chịu và phục hồi tốt hơn sau các vi phạm và sự cố CNTT.

5 lĩnh vực trọng tâm của DORA:

1. Quản lý rủi ro CNTT.
2. Quản lý, phân loại và báo cáo sự cố liên quan đến CNTT.
3. Kiểm tra khả năng phục hồi hoạt động kỹ thuật số.
4. Quản lý rủi ro của bên thứ ba về CNTT-TT.
5. Thỏa thuận chia sẻ thông tin.

Tại sao DORA lại quan trọng?

DORA xây dựng dựa trên và thay thế các hướng dẫn dành riêng cho từng ngành trước đó để khắc phục sự chênh lệch và củng cố nhất quán các hướng dẫn cho các lĩnh vực chính trong toàn bộ chuỗi giá trị. Nó độc đáo vì nó giới thiệu một khuôn khổ giám sát chung ở cấp công đoàn về
các nhà cung cấp bên thứ ba về CNTT-TT quan trọng, theo chỉ định của Cơ quan Giám sát Châu Âu (ESA)5.

Với việc lĩnh vực tài chính phụ thuộc vào các hệ thống CNTT-TT kỹ thuật số và khi khả năng kết nối ngày càng tăng, các rủi ro và lỗ hổng CNTT-TT sẽ có tác động xuyên biên giới ngày càng mang tính đột phá trong toàn liên minh, làm tăng tác động của sự gián đoạn hoạt động và an ninh mạng.
mối đe dọa tại các công ty tài chính. DORA thừa nhận rằng số hóa hiện bao gồm các chức năng tài chính quan trọng6 Lượt thích
thanh toán, thanh toán bù trừ chứng khoán, giao dịch thuật toán và hoạt động hỗ trợ. Nó nhằm mục đích tăng cường khả năng phục hồi hoạt động của các chức năng này để duy trì sự ổn định tài chính tổng thể và bảo vệ niềm tin của người tiêu dùng trong thị trường nội địa. DORA nhằm mục đích bảo tồn
niềm tin của thị trường bằng cách đảm bảo cung cấp liền mạch các dịch vụ tài chính ngay cả trong những tình huống đầy thách thức.

DORA nộp đơn cho ai?

DORA áp dụng cho tất cả các tổ chức tài chính ở EU và các nhà cung cấp dịch vụ bên thứ ba về CNTT-TT cung cấp dịch vụ để hỗ trợ họ. Một cái nhìn sâu sắc gần đây10 giải quyết
cái này. Quy định DORA của EU đưa ra các yêu cầu cụ thể và mang tính quy định đối với tất cả những người tham gia thị trường tài chính.

DORA – Tổ chức tài chính

Để tuân thủ DORA, các tổ chức tài chính phải tăng cường các biện pháp quản lý liên quan đến rủi ro CNTT, bao gồm xác định, đánh giá và giảm thiểu rủi ro liên quan đến hoạt động kỹ thuật số. DORA cũng đưa ra nghĩa vụ báo cáo sự cố CNTT nhanh chóng cho
cơ quan có liên quan về sự gián đoạn chức năng quan trọng. Ngoài ra, các tổ chức phải thường xuyên mô phỏng các tình trạng gián đoạn khác nhau để kiểm tra khả năng phục hồi và khả năng phục hồi hoạt động.

Đáng chú ý, DORA nhấn mạnh rằng các tổ chức tài chính phải đánh giá và quản lý rủi ro CNTT-TT của bên thứ ba đối với các nhà cung cấp dịch vụ của họ và đảm bảo các thỏa thuận hợp đồng giải quyết được khả năng phục hồi hoạt động. Điều này liên quan đến mức độ tập trung rủi ro (Điều 29 của DORA11)
và theo dõi các sự cố như sự cố ngừng hoạt động của OPRA12và tội phạm mạng nhắm vào các nhà cung cấp quan trọng
trong chuỗi cung ứng tài chính như vụ hack Ion Group năm ngoái13 or
nhà cung cấp điện toán đám mây14, nơi một
một sự cố có thể ảnh hưởng đến nhiều tổ chức tài chính.

Cần lưu ý rằng tác động của việc ngừng hoạt động không chỉ giới hạn ở các công ty và người dùng cuối, mà những hậu quả có thể ảnh hưởng đến tài chính cá nhân như ngân hàng DBS đã chứng minh15 sớm hơn
năm nay.

DORA –Sự phụ thuộc của bên thứ ba và khả năng phục hồi hoạt động

Các tổ chức tài chính ngày càng phụ thuộc vào các nhà cung cấp bên thứ ba để cung cấp các phần quan trọng trong hoạt động và dịch vụ của họ, do đó, DORA cũng ảnh hưởng đáng kể đến sự phụ thuộc của bên thứ ba. Các bên thứ ba này bao gồm các nhà cung cấp dịch vụ đám mây,
nhà cung cấp dữ liệu, nhà phát triển phần mềm và các đối tác công nghệ khác. Gia công một số chức năng nhất định có thể nâng cao hiệu quả và giảm chi phí, nhưng như chúng ta đã thấy với Ion, nó cũng gây ra những rủi ro mới. Các nhà chức trách bây giờ phải nhìn xa hơn khả năng phục hồi của cá nhân được quản lý
doanh nghiệp và đánh giá khả năng phục hồi hoạt động rộng hơn của ngành.

DORA nhấn mạnh tầm quan trọng của các biện pháp quản lý rủi ro mạnh mẽ đối với các bên phụ thuộc bên thứ ba nhằm tăng cường khả năng phục hồi tổng thể của khu vực tài chính trong thời đại kỹ thuật số. Bao gồm các:

1. Phạm vi rộng của rủi ro CNTT-TT của bên thứ ba – Để tăng cường khả năng phục hồi hoạt động trong toàn bộ lĩnh vực dịch vụ tài chính, DORA tạo ra một mạng lưới rộng khắp để xác định rủi ro CNTT-TT của bên thứ ba. Ví dụ, DORA Điều 3 (18)16 định nghĩa
   Rủi ro của bên thứ ba về CNTT cũng như bất kỳ rủi ro CNTT nào – Điều 3 (5)17 – có thể phát sinh đối với một tổ chức tài chính bắt nguồn từ việc sử dụng các dịch vụ CNTT được cung cấp
   bởi nhà cung cấp dịch vụ bên thứ ba, nhà thầu phụ hoặc các thỏa thuận thuê ngoài.
2. Các biện pháp quản lý rủi ro dành cho nhà cung cấp bên thứ ba – DORA yêu cầu các biện pháp quản lý rủi ro phù hợp đối với các nhà cung cấp bên thứ ba để giảm thiểu rủi ro hoạt động liên quan đến mối quan hệ với bên thứ ba và đảm bảo khả năng phục hồi. Nó cũng nhằm mục đích thực hiện một cách hài hòa
   khung pháp lý về quản lý rủi ro của nhà cung cấp bên thứ ba trên toàn EU (Điều 1518).
3. Các nhà cung cấp bên thứ ba CNTT quan trọng – DORA công nhận vai trò quan trọng của các nhà cung cấp dịch vụ CNTT trong các dịch vụ tài chính. Nếu bên thứ ba được coi là quan trọng, như CJC trong một số trường hợp, họ phải tuân thủ các yêu cầu của DORA. Đáng chú ý, các bên thứ ba quan trọng
   ngoài EU phải thành lập công ty con trong EU – Điều 31 (12)19 – mặc dù lời mở đầu (82)20 ghi chú
   yêu cầu “không được ngăn cản nhà cung cấp dịch vụ CNTT-TT quan trọng bên thứ ba cung cấp dịch vụ CNTT-TT và hỗ trợ kỹ thuật liên quan từ các cơ sở và cơ sở hạ tầng nằm ngoài Liên minh”.

Nói về khả năng phục hồi hoạt động và tuân thủ DORA, Gina Wee, Giám đốc Thông tin tại CJC cho biết: “Từ việc triển khai mã hóa mạnh mẽ và kiểm soát truy cập nghiêm ngặt đến tiến hành kiểm tra thường xuyên, CJC duy trì mức độ tuân thủ cao để đảm bảo dữ liệu
bảo vệ. Kết hợp với việc lập kế hoạch chủ động, quy trình thích ứng và văn hóa cải tiến liên tục, chúng tôi đảm bảo các dịch vụ không bị gián đoạn cho khách hàng của mình. Chúng tôi hy vọng cam kết của chúng tôi về bảo mật thông tin, khả năng phục hồi hoạt động và trách nhiệm giải trình sẽ mang lại cho chúng tôi
khách hàng yên tâm và tin tưởng vào các dịch vụ được quản lý của chúng tôi.”

Tuân thủ DORA và không tuân thủ

Rủi ro không tuân thủ

Việc không tuân thủ DORA có thể dẫn đến thiệt hại về danh tiếng, tổn thất tài chính và các hình phạt theo quy định. Các công ty không tuân thủ các yêu cầu của DORA có nguy cơ bị gián đoạn hoạt động, khách hàng không hài lòng và các hậu quả pháp lý tiềm ẩn.

Tuân thủ DORA - 3 điều cần cân nhắc & thực tiễn tốt nhất

Để tuân thủ DORA, các tổ chức tài chính phải lập bản đồ toàn diện các phần phụ thuộc hiện có của bên thứ ba và liên quan đến việc hiểu rõ các dịch vụ của các chức năng thuê ngoài để xác định các phần phụ thuộc quan trọng. Bước 2 đánh giá khả năng phục hồi của các phần phụ thuộc được ánh xạ
để đánh giá khả năng hoạt động, các biện pháp bảo mật và kế hoạch khắc phục thảm họa của nhà cung cấp dịch vụ của họ. Cuối cùng, các thỏa thuận hợp đồng với bên thứ ba cần giải quyết cụ thể các yêu cầu về khả năng phục hồi hoạt động. Điều này bao gồm các quy định cho sự cố
mục tiêu về báo cáo, tính liên tục trong kinh doanh và thời gian phục hồi.

Để luôn tuân thủ, các tổ chức tài chính có thể thực hiện một số bước để triển khai các phương pháp hay nhất nhằm đảm bảo tuân thủ liên tục với DORA. Bao gồm các:

1. Thẩm định chi tiết – Khi lựa chọn nhà cung cấp bên thứ ba, hãy tiến hành thẩm định kỹ lưỡng bằng cách xem xét hồ sơ thành tích, sự ổn định tài chính và khả năng phục hồi hoạt động của họ.
2. Thử nghiệm kịch bản – Mô phỏng các kịch bản khác nhau với các bên thứ ba để kiểm tra tính hiệu quả của các kế hoạch khôi phục. Điều này bao gồm các cuộc tấn công mạng, lỗi hệ thống và thiên tai.
3. Giám sát liên tục – Thường xuyên giám sát hiệu suất và sự tuân thủ của bên thứ ba, sẵn sàng thích ứng nếu tình hình phục hồi thay đổi.

Từ cuối cùng:

DORA không chỉ là một quy định; đó là cơ hội chiến lược để nâng cao khả năng phục hồi hoạt động của bạn và xây dựng niềm tin trong thời đại kỹ thuật số. Là nhà cung cấp dịch vụ và tư vấn công nghệ dữ liệu thị trường hàng đầu cho thị trường tài chính toàn cầu, CJC coi trọng vị thế của mình
với tư cách là nhà cung cấp bên thứ ba quan trọng các dịch vụ quản lý dữ liệu thị trường cho cộng đồng thị trường vốn một cách nghiêm túc. Bất kể cấp độ dịch vụ, các tiêu chuẩn và tính minh bạch tuân thủ DORA đều vượt trội so với CJC, nơi cung cấp dịch vụ tư vấn đã giành được nhiều giải thưởng,
dịch vụ được quản lý, giải pháp đám mây, khả năng quan sát và dịch vụ quản lý thương mại chuyên nghiệp cho các hệ thống dữ liệu thị trường quan trọng. CJC là nhà cung cấp trung lập và được chứng nhận ISO 27001, cho phép các đối tác của CJC tự do tập trung vào hoạt động kinh doanh cốt lõi của họ.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs