Οι εταιρείες χρηματοπιστωτικών υπηρεσιών και οι προμηθευτές ψηφιακής τεχνολογίας τους δέχονται έντονες πιέσεις για να επιτύχουν συμμόρφωση με τους νέους αυστηρούς κανόνες της ΕΕ που τους επιβάλλουν να ενισχύσουν την ανθεκτικότητά τους στον κυβερνοχώρο.
Μέχρι τις αρχές του επόμενου έτους, οι εταιρείες χρηματοπιστωτικών υπηρεσιών και οι προμηθευτές τεχνολογίας τους θα πρέπει να διασφαλίσουν ότι συμμορφώνονται με έναν νέο νόμο από την Ευρωπαϊκή Ένωση, γνωστό ως DORA ή Digital Operational Resilience Act.
Τι είναι το DORA
Το DORA απαιτεί από τις τράπεζες, τις ασφαλιστικές εταιρείες και τις επενδύσεις να ενισχύσουν την ασφάλεια των τμημάτων πληροφορικής. Ο κανονισμός της ΕΕ επιδιώκει επίσης να διασφαλίσει ότι ο κλάδος των χρηματοπιστωτικών υπηρεσιών είναι ανθεκτικός σε περίπτωση σοβαρής διαταραχής των λειτουργιών.
Τέτοιες διαταραχές θα μπορούσαν να περιλαμβάνουν μια επίθεση ransomware που προκαλεί τη διακοπή λειτουργίας των υπολογιστών μιας χρηματοπιστωτικής εταιρείας ή μια επίθεση DDOS (κατανεμημένη άρνηση παροχής υπηρεσιών) που αναγκάζει τον ιστότοπο μιας εταιρείας να τεθεί εκτός λειτουργίας.
Ο κανονισμός επιδιώκει επίσης να βοηθήσει τις επιχειρήσεις να αποφύγουν σημαντικά γεγονότα διακοπής λειτουργίας, όπως η κατάρρευση που προκάλεσε η εταιρεία κυβερνοχώρου CrowdStrike, όταν μια απλή ενημέρωση λογισμικού που εξέδωσε η εταιρεία ανάγκασε το λειτουργικό σύστημα Windows της Microsoft να καταρρεύσει.
Πολλές τράπεζες, εταιρείες πληρωμών και επενδυτικές εταιρείες - από την JPMorgan Chase και τη Santander μέχρι τη Visa και την Charles Schwab - δεν μπόρεσαν να παρέχουν υπηρεσίες λόγω της διακοπής λειτουργίας. Οι εταιρείες αυτές χρειάστηκαν αρκετές ώρες για να αποκαταστήσουν την εξυπηρέτηση των καταναλωτών. Στο μέλλον, ένα τέτοιο συμβάν θα εμπίπτει στον τύπο της διακοπής υπηρεσιών που θα αντιμετωπίσει έλεγχο βάσει των επερχόμενων κανόνων της ΕΕ.
Ο Μ. Σλέιτχολμ, μιλώντας στο CNBC, πρόεδρος της εταιρείας fintech Broadridge International, σημειώνει ότι ένας σημαντικός παράγοντας του DORA είναι ότι δεν εστιάζει μόνο στο τι κάνουν οι τράπεζες για να διασφαλίσουν την ανθεκτικότητα - εξετάζει επίσης προσεκτικά τους προμηθευτές τεχνολογίας των εταιρειών.
Σύμφωνα με το DORA, οι τράπεζες θα πρέπει να αναλάβουν αυστηρή διαχείριση κινδύνων που προέρχονται από τον κυβερνοχώρο, διαχείριση περιστατικών, ταξινόμηση και υποβολή εκθέσεων, δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, ανταλλαγή πληροφοριών και πληροφοριών σε σχέση με απειλές και ευπάθειες στον κυβερνοχώρο, καθώς και μέτρα για τη διαχείριση κινδύνων τρίτων.
Οι επιχειρήσεις θα πρέπει να διενεργούν αξιολογήσεις του «κινδύνου συγκέντρωσης» που σχετίζεται με την εξωτερική ανάθεση κρίσιμων ή σημαντικών επιχειρησιακών λειτουργιών σε εξωτερικές εταιρείες.
Πότε εφαρμόζεται ο νόμος
Ο νόμος DORA τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, αλλά οι κανόνες δεν θα εφαρμοστούν από τα κράτη μέλη της ΕΕ μέχρι τις 17 Ιανουαρίου 2025.
Η ΕΕ έδωσε προτεραιότητα στις μεταρρυθμίσεις αυτές λόγω του τρόπου με τον οποίο ο χρηματοπιστωτικός τομέας εξαρτάται όλο και περισσότερο από την τεχνολογία και τις εταιρείες τεχνολογίας για την παροχή ζωτικών υπηρεσιών. Αυτό έχει καταστήσει τις τράπεζες και άλλους παρόχους χρηματοπιστωτικών υπηρεσιών πιο ευάλωτους σε κυβερνοεπιθέσεις και άλλα περιστατικά.
Πολλές μεταρρυθμίσεις της ψηφιακής πολιτικής της ΕΕ τα τελευταία χρόνια τείνουν να επικεντρώνονται στις υποχρεώσεις των ίδιων των εταιρειών να διασφαλίζουν ότι τα συστήματα και τα πλαίσιά τους είναι αρκετά ισχυρά ώστε να προστατεύονται από επιζήμια γεγονότα όπως η απώλεια δεδομένων από χάκερ ή μη εξουσιοδοτημένα άτομα και οντότητες.
Για τις χρηματοπιστωτικές επιχειρήσεις που παραβαίνουν τους νέους κανόνες, οι αρχές της ΕΕ θα έχουν την εξουσία να επιβάλλουν πρόστιμα ύψους έως και 2% των ετήσιων παγκόσμιων εσόδων τους.
Τα μεμονωμένα διευθυντικά στελέχη μπορούν επίσης να θεωρηθούν υπεύθυνα για παραβάσεις. Οι κυρώσεις σε άτομα εντός χρηματοπιστωτικών οντοτήτων θα μπορούσαν να φτάσουν το 1 εκατομμύριο ευρώ.
Ακολουθήστε το Business Daily στο Google news 
