Vào ngày 11 tháng 2022 năm XNUMX, Liên minh Châu Âu (EU) đã đạt được thỏa thuận tạm thời về Đạo luật mới về khả năng phục hồi hoạt động kỹ thuật số (DORA). Bất chấp cách diễn đạt, không có gì “tạm thời” về DORA. Trên thực tế, một trong những quy định an ninh mạng sâu rộng nhất thế giới đối với các dịch vụ tài chính và chuỗi cung ứng của họ hầu hết là một thỏa thuận đã được thực hiện.
Tất cả những gì còn lại trước khi được áp dụng chính thức, dự kiến vào khoảng tháng 24 này, chủ yếu liên quan đến một số thay đổi kỹ thuật và dịch thuật sang XNUMX ngôn ngữ chính thức của các quốc gia thành viên EU.
DORA đại diện cho phản ứng của EU đối với số lượng các cuộc tấn công mạng ngày càng tăng nhằm vào các tổ chức tài chính. Nó được thiết kế để tăng cường an ninh cho các công ty tài chính EU, như ngân hàng, công ty bảo hiểm, công ty đầu tư, v.v., bằng cách áp đặt các yêu cầu về khả năng phục hồi và điều tiết chuỗi cung ứng. Nhưng, như tôi đã lưu ý trong một bài trước, các nguyên lý của DORA vượt xa EU và khu vực tài chính của khối này.
Các yêu cầu thống nhất của DORA về bảo mật mạng và hệ thống thông tin không chỉ bao gồm các doanh nghiệp trong lĩnh vực tài chính mà còn cả các nhà cung cấp bên thứ ba quan trọng cung cấp các dịch vụ liên quan đến công nghệ thông tin và truyền thông cho lĩnh vực tài chính, chẳng hạn như nền tảng đám mây và phân tích dữ liệu.
Thật vậy, phạm vi tiếp cận của DORA về cơ bản mở rộng đến bất kỳ doanh nghiệp nào cung cấp dịch vụ công nghệ thông tin và truyền thông (ICT) được coi là quan trọng đối với chuỗi cung ứng hỗ trợ khu vực tài chính châu Âu - bất kể doanh nghiệp hoặc dịch vụ đó có trụ sở bên trong EU hay không. Trên thực tế, theo DORA, sự phức tạp của chuỗi cung ứng hoặc việc thiếu sự hiện diện của EU đều được coi là yếu tố rủi ro.
Bắt buộc các quan điểm pháp lý mới
DORA độc đáo ở chỗ nó mang đến một mức độ giám sát pháp lý mới và khác biệt cho nhiều doanh nghiệp toàn cầu. Yêu cầu của DORA Nhiệm vụ — không chỉ đơn thuần là gợi ý — tuân thủ các quy định của nó. Điều quan trọng không kém là tác động của mức độ giám sát quy định mới này sẽ khác nhau tùy thuộc vào quan điểm của doanh nghiệp.
Các tổ chức tài chính đã quen với môi trường pháp lý được thiết kế chủ yếu để đánh giá rủi ro tài chính và sự ổn định giờ đây sẽ phải đối mặt với rủi ro tiềm ẩn do hoạt động CNTT-TT của họ gây ra một cách nghiêm túc. Các tổ chức tài chính đã quen với việc giải quyết rủi ro dưới dạng yêu cầu về vốn. DORA thực hiện một cách tiếp cận khác bằng cách yêu cầu các hành vi cụ thể và các yêu cầu dựa trên hiệu suất. Từ quan điểm của các tổ chức tài chính, việc gia tăng rủi ro sẽ gây ra hậu quả trên nhiều khía cạnh trong hoạt động kinh doanh của họ, chẳng hạn như cách họ tiêu thụ công nghệ và cách họ chuyển đổi hoạt động kinh doanh bằng cách chuyển đổi sang các công nghệ mới như điện toán đám mây. Điều này bao gồm các chiến lược và khả năng quản lý rủi ro tổng thể, an ninh chuỗi cung ứng, nhân sự của tổ chức và các chính sách để đảm bảo tuân thủ và đánh giá rủi ro CNTT phù hợp.
DORA cũng thay đổi quan điểm quản lý của các tổ chức CNTT. Cho đến nay, chúng được quản lý chủ yếu về các vấn đề liên quan đến dữ liệu, chẳng hạn như quyền riêng tư dữ liệu và thông báo vi phạm dữ liệu, dựa trên những lo ngại về dữ liệu cá nhân và các mục tiêu chính trị như chủ quyền kỹ thuật số. Các quy tắc mang tính đột phá, chẳng hạn như Quy định chung về bảo vệ dữ liệu (GDPR) ở Châu Âu và Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) gần đây hơn ở Hoa Kỳ, sẽ xuất hiện trong tâm trí bạn.
Các tổ chức CNTT cũng có thể có các nghĩa vụ pháp lý khác về bảo mật hoặc được phân loại là cơ sở hạ tầng quan trọng, tùy thuộc vào vị trí của chúng, chẳng hạn như theo Chỉ thị về An ninh Mạng và Thông tin (NIS) ở Châu Âu, Đạo luật An ninh mạng 2018 ở Singapore, hoặc luật cụ thể của ngành cho các ngành công nghiệp chuyên biệt, chẳng hạn như viễn thông ở Hoa Kỳ.
Giờ đây, nếu các công ty CNTT đang phục vụ các tổ chức tài chính ở EU, rất có thể họ cũng sẽ phải tuân theo DORA. Vì vậy, ngoài các khuôn khổ pháp lý trước đây của họ, những nhà cung cấp CNTT-TT được chỉ định cung cấp dịch vụ quan trọng sẽ đột nhiên bị quản lý theo DORA theo cách mà rất có cảm giác như thể họ đang trở thành mở rộng của các tổ chức tài chính EU mà họ đang phục vụ. Bất kể người ta nhìn nó như thế nào, đó là một sự thay đổi đáng kể - đối với cả các tổ chức tài chính và nhà cung cấp CNTT.
Nhưng đó không phải là tất cả. DORA thay đổi quan điểm của cơ quan quản lý của EU. Các cơ quan quản lý là chuyên gia về tuân thủ của tổ chức tài chính giờ đây phải mở rộng phạm vi của mình để bao gồm các nhà cung cấp CNTT cung cấp các dịch vụ quan trọng, chẳng hạn như nhà cung cấp đám mây, dịch vụ phân tích dữ liệu và các doanh nghiệp phi tài chính khác. Ở các quốc gia có cơ cấu quản lý phức tạp, cũng sẽ cần phải hợp tác với các cơ quan khác có nhiệm vụ quản lý các loại ngành phi tài chính bổ sung này.
Đáp ứng những thách thức
DORA yêu cầu các tổ chức tài chính EU đánh giá mức độ trưởng thành về an ninh mạng và quản lý rủi ro của chính họ. Hiểu và quản lý hiệu suất rủi ro chuỗi cung ứng của họ sẽ là trọng tâm của nỗ lực này.
Nhìn chung, các tổ chức tài chính rất thành thạo trong việc thực hiện các bài kiểm tra sức chịu đựng để xác định mức độ an toàn và ổn định tài chính. Việc mở rộng những loại thử nghiệm đó sang các tổ chức khác là một thách thức khác. Vì vậy, đối với lĩnh vực tài chính của EU, làm thế nào để quản lý nhà cung cấp, quản lý rủi ro và khả năng vận hành trong chuỗi cung ứng ngày càng phức tạp và mở rộng đặt ra câu hỏi lớn nhất.
Ví dụ: một tổ chức tài chính có thể có trụ sở chính ở Châu Âu nhưng tất cả các hoạt động hỗ trợ của nó đều được gia công cho các doanh nghiệp có trụ sở tại Ấn Độ. Các dịch vụ hỗ trợ này về mặt kỹ thuật có thể không phải là tổ chức tài chính. Nhưng DORA sẽ yêu cầu tổ chức tài chính đánh giá xem nhà cung cấp có quan trọng đối với hoạt động của mình hay không và áp dụng các yêu cầu DORA liên quan cho mối quan hệ đó.
Đối với các doanh nghiệp không có trụ sở tại EU, câu hỏi quan trọng là quyền tài phán và khả năng tiếp cận thị trường. Các tổ chức tài chính hoặc nhà cung cấp CNTT hoạt động bên ngoài EU không bị ảnh hưởng. Nhưng nếu doanh nghiệp là một tổ chức tài chính hoặc nhà cung cấp dịch vụ CNTT phục vụ khu vực tài chính EU dưới bất kỳ hình thức nào thì rất có thể doanh nghiệp đó sẽ phải tuân theo DORA - trực tiếp hoặc gián tiếp.
Đếm ngược đến năm 2024
Trừ khi có điều gì đó thay đổi trong văn bản cuối cùng, DORA sẽ có hiệu lực sau 24 tháng kể từ khi được thông qua chính thức. Trên thực tế, điều đó có thể xảy ra vào khoảng gần cuối năm 2024. Tin tốt là điều này mang lại nhiều thời gian cho các tổ chức chuẩn bị cho việc tuân thủ. Quan trọng nhất là không quá dài để đưa vào một chu kỳ ngân sách doanh nghiệp thông thường.
Nhưng trước khi thời hạn đó đến với bạn, hãy bắt đầu chuẩn bị tại. Dưới đây là năm bước chính:
- Hãy sử dụng thời gian đến năm 2024 một cách khôn ngoan.
- Hiểu bạn đang ở đâu. Tìm kiếm và xác định những lỗ hổng tuân thủ của bạn.
- Xác định những gì bạn cần để khắc phục những thiếu sót của mình.
- Đào tạo và nhận được sự ủng hộ từ quản lý cấp cao.
- Ngân sách trong 24 tháng.
Đồng hồ đang kêu tích tắc.
