Πεδίο εφαρμογής του DORA.
Ο Κανονισμός (ΕE) 2022/2554 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα – Digital Operational Resilience Act (DORA) – Θεσπίζει ενιαίους κανόνες για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των χρηματοπιστωτικών ιδρυμάτων, όπως οι τράπεζες, οι ασφαλιστικές εταιρείες και οι επιχειρήσεις επενδύσεων. Ποιο συγκεκριμένα αφορά:
- πιστωτικά ιδρύματα, ιδρύματα πληρωμών, ιδρύματα ηλεκτρονικού χρήματος και ιδρύματα επαγγελματικών συντάξεων
- παρόχους υπηρεσιών για πληροφορίες λογαριασμού, κρυπτοστοιχεία, αναφορά δεδομένων, συμμετοχική χρηματοδότηση και τρίτους παρόχους υπηρεσιών ΤΠΕ
- επιχειρήσεις επενδύσεων, οργανισμοί εναλλακτικών επενδύσεων, εταιρείες διαχείρισης, οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας και διαχειριστές δεικτών αναφοράς κρίσιμης σημασίας
- αρχεία καταγραφής συναλλαγών και τιτλοποιήσεων, κεντρικά αποθετήρια τίτλων, κεντρικοί αντισυμβαλλόμενοι και τόποι διαπραγμάτευσης
- ασφάλειες, ασφαλιστικοί διαμεσολαβητές και αντασφαλιστικές επιχειρήσεις.
Διαχείριση κινδύνων ΤΠΕ (Τεχνολογίες Πληροφοριών και Επικοινωνιών).
Οι χρηματοοικονομικές οντότητες, εκτός των πολύ μικρών επιχειρήσεων, πρέπει:
- να εφαρμόζουν πλαίσιο εσωτερικής διακυβέρνησης και ελέγχου το οποίο διασφαλίζει την αποτελεσματική και συνετή διαχείριση των κινδύνων ΤΠΕ
- να διασφαλίζουν ότι το διοικητικό όργανο καθορίζει, εγκρίνει, εποπτεύει και είναι υπεύθυνο για την εφαρμογή όλων των σχετικών ρυθμίσεων
- να διαθέτουν ισχυρό, ολοκληρωμένο και άρτια τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ με τις απαραίτητες στρατηγικές, πολιτικές, διαδικασίες, πρωτόκολλα και εργαλεία για να ανταποκρίνονται γρήγορα και αποτελεσματικά
- να χρησιμοποιούν και να διατηρούν επικαιροποιημένα συστήματα, πρωτόκολλα και εργαλεία ΤΠΕ, τα οποία είναι ανάλογα, αξιόπιστα, τεχνολογικά ανθεκτικά και διαθέτουν επαρκή χωρητικότητα
- να προσδιορίζουν, ταξινομούν και τεκμηριώνουν επαρκώς όλες τις επιχειρηματικές λειτουργίες, τους ρόλους και τις αρμοδιότητες που υποστηρίζονται από ΤΠΕ και να επανεξετάζουν τα σενάρια κινδύνου
- να παρακολουθούν συνεχώς την ασφάλεια και τη λειτουργία των συστημάτων και των εργαλείων ΤΠΕ, ώστε να ελαχιστοποιούν τις επιπτώσεις κάθε κινδύνου ΤΠΕ
- να εντοπίζουν αμέσως ασυνήθιστες δραστηριότητες και να αναγνωρίζουν πιθανά σημεία αποτυχίας
- να θέτουν σε εφαρμογή μια ολοκληρωμένη πολιτική επιχειρησιακής συνέχειας των ΤΠΕ με κατάλληλα σχέδια, διαδικασίες και μηχανισμούς
- να αναπτύσσουν και να τεκμηριώνουν πολιτικές δημιουργίας εφεδρικών συστημάτων και διαδικασίες αποκατάστασης και ανάκτησης
- να διαθέτουν πόρους και προσωπικό για την αξιολόγηση των ευπαθειών και των απειλών στον κυβερνοχώρο, των συμβάντων που σχετίζονται με τις ΤΠΕ, ιδίως των κυβερνοεπιθέσεων, και να αναλύουν τις πιθανές επιπτώσεις τους στην ψηφιακή επιχειρησιακή ανθεκτικότητα της οντότητας
- να καταρτίζουν σχέδια επικοινωνίας σε καταστάσεις κρίσης που καθιστούν δυνατή την υπεύθυνη γνωστοποίηση, τουλάχιστον μειζόνων συμβάντων που σχετίζονται με τις ΤΠΕ ή ευπαθειών σε πελάτες και αντισυμβαλλομένους, καθώς και στο κοινό
Ποια είναι η ποινή για μη συμμόρφωση;
Συγκεκριμένες χρηματικές κυρώσεις δεν καθορίζονται στο DORA, ωστόσο, θα υπάρξουν σημαντικές οικονομικές συνέπειες για οντότητες εντός του ΕΟΧ που δεν συμμορφώνονται. Οι Ευρωπαϊκές Εποπτικές Αρχές (γνωστές και ως Εποπτικές Αρχές) σε κάθε ένα από τα κράτη μέλη έχουν την ελευθερία να επιβάλλουν ημερήσια χρηματική ποινή (έως έξι μήνες) που αντιστοιχεί στο 1% του μέσου ημερήσιου παγκόσμιου κύκλου εργασιών από το προηγούμενο οικονομικό έτος. Ενώ ορισμένες πηγές μπορεί να αναφέρουν στοιχεία από συγκεκριμένες χώρες και να περιλαμβάνουν προβλέψεις ή συγκρίσεις με κυρώσεις βάσει παρόμοιων κανονισμών, όπως ο GDPR, αυτές είναι περιστασιακές και υπόκεινται σε μεγάλη μεταβλητότητα.
Σε πολύ σοβαρές ή συνεχείς περιπτώσεις μη συμμόρφωσης, οι ρυθμιστικοί φορείς ενδέχεται να επιβάλλουν ακόμη και λειτουργικούς περιορισμούς. Αυτό θα μπορούσε να περιλαμβάνει τη διακοπή ορισμένων επιχειρηματικών δραστηριοτήτων ή υπηρεσιών που θεωρούνται εξαιρετικά ευάλωτες σε απειλές για την ασφάλεια στον κυβερνοχώρο ή την αναστολή αδειών, εάν διαπιστωθεί ότι οι οντότητες παραβιάζουν συνεχώς τα πρότυπα DORA. Αυτά τα μέτρα διασφαλίζουν ότι οι μη συμμορφούμενες οντότητες δεν μπορούν να λειτουργούν με τρόπους που θέτουν σε κίνδυνο το ευρύτερο χρηματοοικονομικό ή ψηφιακό οικοσύστημα ή διαβρώνουν την εμπιστοσύνη στις χρηματοοικονομικές υποδομές της ΕΕ.
Πέρα από τα πρόστιμα και τις λειτουργικές συνέπειες, οι εταιρείες που δεν τηρούν τη DORA αντιμετωπίζουν επίσης σημαντική βλάβη στη φήμη τους. Τα περιστατικά κυβερνοασφάλειας λόγω ασθενούς ψηφιακής ανθεκτικότητας, σε συνδυασμό με τις κυρώσεις για μη συμμόρφωση, μπορούν να υπονομεύσουν την εμπιστοσύνη πελατών και συνεργατών. Σε μια εξαιρετικά διασυνδεδεμένη αγορά, η ζημιά στη φήμη μπορεί να έχει σοβαρό μακροπρόθεσμο αντίκτυπο στη βιωσιμότητα μιας εταιρείας.
Πώς μπορούν τα YubiKeys να βοηθήσoυν την συμμόρφωση με την DORA.
Η εφαρμογή των απαιτήσεων DORA θα είναι μια διαρκής πρόκληση. Τόσο το βάθος όσο και το εύρος των απαιτήσεων σε όλες τις πτυχές της εντολής, όπως η αναφορά συμβάντων και η διαχείριση κινδύνου από τρίτους, απαιτούν συνεχή δράση και προσεκτικό σχεδιασμό. Ωστόσο, η κατανόηση ότι η βασική υγιεινή στον κυβερνοχώρο και ο ισχυρός έλεγχος ταυτότητας βρίσκονται στο επίκεντρο όλων αυτών, όχι μόνο θα προωθήσει μια κουλτούρα ισχυρής κυβερνοασφάλειας, αλλά θα αυξήσει επίσης το λόγο για το πώς οι επιχειρήσεις βλέπουν τον κίνδυνο και την ανθεκτικότητα.
Τα YubiKeys μπορούν να υποστηρίξουν επιχειρήσεις όλων των μεγεθών στο συνεχιζόμενο ταξίδι τους προς τη συμμόρφωση της DORA – το χρυσό πρότυπο για κλειδιά ασφαλείας υλικού και MFA ανθεκτικό στο phishing – για να βοηθήσει στην προστασία των εργαζομένων, της εφοδιαστικής αλυσίδας και των πελατών. Ο έλεγχος ταυτότητας με την υψηλότερη διασφάλιση που διαθέτουμε θα βοηθήσει στην ενίσχυση της άμυνας της επιχείρησης έναντι επιθέσεων και συμβάντων στον κυβερνοχώρο, ελευθερώνοντας πόρους για να επικεντρωθούμε στους άλλους πυλώνες της DORA και, φυσικά, στις βασικές επιχειρηματικές αξίες.