Ερχεται o… DORA: Οι αλλαγές που φέρνει στον χρηματοπιστωτικό τομέα ο νέος Κανονισμός

Σε λίγες ημέρες ξεκινάει η εφαρμογή του Κανονισμού της ΕΕ που αλλάζει τη διαχείριση ρίσκου σε ολόκληρο το χρηματοπιστωτικό οικοσύστημα.

Ο Κανονισμός DORA (Digital Operational Resilience Act) αποτελεί ένα σύγχρονο νομοθέτημα της ΕΕ για την ενίσχυση της ψηφιακής ανθεκτικότητας των χρηματοπιστωτικών οργανισμών, ενόψει των αυξανόμενων προκλήσεων στον ψηφιακό κόσμο και με δεδομένη την υψηλή ανάγκη θωράκισης των τραπεζών από τις κυβερνοεπιθέσεις.

Ο Κανονισμός εντάσσεται στο γενικότερο πλαίσιο της στρατηγικής της ευρωπαϊκής ψηφιακής μεταρρύθμισης στα ψηφιακά συστήματα, ώστε να διασφαλιστεί η συνεχής λειτουργία τους, ακόμη και σε περίπτωση σημαντικών διαταραχών.

Οι υποχρεώσεις που εισάγει είναι αυστηρές και ενοποιούν τη λειτουργία των τραπεζών στην ΕΕ, έτσι ώστε να εξασφαλιστεί ότι οι χρηματοπιστωτικές υπηρεσίες παραμένουν λειτουργικές, ακόμη και υπό συνθήκες κρίσης.

Η εφαρμογή του DORA ξεκινάει στις 17 Ιανουαρίου 2025, έπειτα από μία περίοδο δύο ετών, κατά την οποία οι επιχειρήσεις σχεδίαζαν τη συμμόρφωσή τους με το κανονιστικό πλαίσιο. Ωστόσο, στελέχη της αγοράς επισημαίνουν εδώ και καιρό ότι οι προκλήσεις στην εφαρμογή του Κανονισμού είναι μεγάλες, ειδικά για τις μικρές και μεσαίες επιχειρήσεις.

Στόχος του Κανονισμού

Ο βασικός στόχος του DORA είναι η θωράκιση του χρηματοπιστωτικού τομέα έναντι των ψηφιακών κινδύνων. Ειδικότερα, ο κανονισμός αποσκοπεί:

• Στην ενίσχυση της κυβερνοασφάλειας των χρηματοπιστωτικών οργανισμών μέσω αυστηρών κανόνων για την ανθεκτικότητα των συστημάτων τους και τη διαχείριση των κινδύνων της Τεχνολογίας, Πληροφοριών και Επικοινωνιών (ΤΠΕ).
• Στη δημιουργία ενός ενιαίου πλαισίου που να εφαρμόζεται σε όλα τα κράτη-μέλη της ΕΕ.
• Στη μείωση της πολυπλοκότητας που παρατηρείται στη διαχείριση κινδύνων, με κοινές απαιτήσεις και υποχρεώσεις.
• Στην προστασία των καταναλωτών και της αγοράς από οικονομικές απώλειες και διαταραχές που προκύπτουν από κυβερνοεπιθέσεις ή τεχνικές δυσλειτουργίες.

Από όλους τους παραπάνω στόχους, πάντως, αυτός που καθιστά τον Κανονισμό DORA ιδιαίτερα καινοτόμο είναι ότι μέχρι σήμερα η ΕΕ δεν είχε ρυθμίσει τη διαχείριση κινδύνων ΤΠΕ στον χρηματοπιστωτικό τομέα σε επίπεδο Κανονισμού, αλλά το είχε κάνει με πιο γενικές οδηγίες, κατευθυντήριες γραμμές και πρότυπα. Αυτό είχε ως αποτέλεσμα τα διάφορα κράτη-μέλη να ρυθμίζουν τους κινδύνους αυτούς με διαφορετικό τρόπο, έχοντας διαφορετικές απαιτήσεις και διαφορετικό πεδίο εφαρμογής. Αντίθετα, ο Κανονισμός DORA θεσπίζει λεπτομερείς και ολοκληρωμένες απαιτήσεις για τη συντριπτική πλειονότητα των χρηματοπιστωτικών ιδρυμάτων στην ΕΕ, απαιτήσεις οι οποίες θα έχουν άμεση και ενιαία εφαρμογή, καθώς πρόκειται για Κανονισμό.

Σε ποιες επιχειρήσεις εφαρμόζεται

Ο Κανονισμός καλύπτει ευρύ φάσμα οντοτήτων που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, ανεξαρτήτως μεγέθους ή κλίμακας λειτουργίας.

Συγκεκριμένα, ο DORA εφαρμόζεται:

• Σε χρηματοπιστωτικούς οργανισμούς, όπως μεγάλες τράπεζες και πολυεθνικές ασφαλιστικές εταιρείες, οι οποίες διαχειρίζονται πολύπλοκα πληροφοριακά συστήματα, αλλά και μικρομεσαίες επιχειρήσεις στον χρηματοπιστωτικό τομέα, όπως περιφερειακές τράπεζες ή εξειδικευμένοι πάροχοι χρηματοοικονομικών υπηρεσιών.
• Σε τρίτους παρόχους υπηρεσιών πληροφορικής, όπως πολυεθνικές εταιρείες παροχής cloud που διαχειρίζονται μεγάλους όγκους δεδομένων, αλλά και μικρομεσαίους παρόχους λογισμικού που εξυπηρετούν χρηματοπιστωτικούς οργανισμούς.
• Σε startups και εταιρείες fintech, ανεξαρτήτως μεγέθους, που παρέχουν καινοτόμες ψηφιακές υπηρεσίες.
• Σε τρίτους παρόχους υποδομών χρηματοπιστωτικών αγορών, όπως οι επιχειρήσεις επενδύσεων, οι πάροχοι υπηρεσιών κρυπτογραφικών περιουσιακών στοιχείων, τα κεντρικά αποθετήρια τίτλων, καθώς και οι διαμεσολαβητές.

Επιπλέον, ο Κανονισμός απαιτεί από τους παρόχους υπηρεσιών πληροφορικής που βρίσκονται εκτός ΕΕ να συμμορφώνονται με τις ίδιες απαιτήσεις, εφόσον προσφέρουν υπηρεσίες σε οντότητες εντός της Ένωσης.

Βασικές υποχρεώσεις που εισάγει ο DORA

Ο Κανονισμός DORA καθορίζει συγκεκριμένες υποχρεώσεις για τους εμπλεκόμενους φορείς, προκειμένου να ενισχυθεί η επιχειρησιακή ανθεκτικότητά τους. Αυτές περιλαμβάνουν:

α. Εποπτεία και διαχείριση ψηφιακών κινδύνων

Οι οργανισμοί υποχρεούνται να καταρτίζουν ολοκληρωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, προσαρμοσμένο στις ανάγκες και την πολυπλοκότητα των δραστηριοτήτων τους. Το κυριότερο είναι να αναπτύξουν μηχανισμούς ταχείας ανταπόκρισης σε περιστατικά κυβερνοεπιθέσεων.

Παράλληλα, θα πρέπει να πραγματοποιούν τακτικές αξιολογήσεις κινδύνου, ώστε να εντοπίζονται αδυναμίες στα πληροφοριακά συστήματα και τις διαδικασίες τους.

β. Υποχρεώσεις αναφοράς περιστατικών

Οι οργανισμοί οφείλουν να αναφέρουν εντός αυστηρών χρονικών πλαισίων οποιαδήποτε περιστατικά κυβερνοασφάλειας ή άλλες σημαντικές διαταραχές. Οι αναφορές αυτές θα πρέπει να περιλαμβάνουν λεπτομέρειες για τη φύση του περιστατικού, τις επιπτώσεις του και τα μέτρα που ελήφθησαν για την αντιμετώπισή του.

γ. Ανθεκτικότητα συστήματος

Εισάγονται κανόνες που διασφαλίζουν τη συνεχή λειτουργία κρίσιμων υποδομών, ακόμη και σε περίπτωση κυβερνοεπιθέσεων ή τεχνικών βλαβών.

Ειδικότερα, οι οργανισμοί πρέπει να πραγματοποιούν τακτικούς ελέγχους ανθεκτικότητας, συμπεριλαμβανομένων προσομοιώσεων περιστατικών και να διατηρούν εναλλακτικά σχέδια ανάκτησης δεδομένων και λειτουργιών (disaster recovery plans).

δ. Εποπτεία τρίτων παρόχων

Οι χρηματοπιστωτικοί οργανισμοί υποχρεούνται να ελέγχουν τη συμμόρφωση των τρίτων παρόχων υπηρεσιών με τις απαιτήσεις του DORA. Μάλιστα, είναι υποχρεωμένοι να συνάπτουν συμβάσεις μόνο με παρόχους που πληρούν τα πρότυπα ασφάλειας και ανθεκτικότητας.

Πώς αντιδρά η αγορά

Είναι δεδομένο ότι η εφαρμογή του Κανονισμού DORA είναι ένα πολυαναμενόμενο και επιθυμητό βήμα στην οικοδόμηση ενός πιο ανθεκτικού ευρωπαϊκού χρηματοπιστωτικού συστήματος. Όμως, ταυτόχρονα, είναι επίσης δεδομένο ότι η κανονιστική συμμόρφωση θα αυξήσει σημαντικά το κόστος λειτουργίας των επιχειρήσεων λόγω των απαιτήσεων για πρόσθετες επενδύσεις σε τεχνολογία και προσωπικό.

Μάλιστα, αυτό το βάρος θα επεκταθεί όχι μόνο στις τράπεζες αλλά και σε όλους τους τρίτους παρόχους τους, πολλοί εκ των οποίων είναι μικρομεσαίες επιχειρήσεις.

Αυτό πρακτικά σημαίνει ότι πολλοί πάροχοι δεν θα μπορέσουν να ανταποκριθούν στις απαιτήσεις, με ό,τι αυτό συνεπάγεται για την ίδια τη λειτουργία τους, αλλά και τη δυνατότητα των χρηματοπιστωτικών οργανισμών να βρίσκουν συνεργάτες.

Παράλληλα, με την ιλιγγιώδη ταχύτητα των τεχνολογικών εξελίξεων, υπάρχει έντονος προβληματισμός για το κατά πόσον τα μέτρα που θα ληφθούν σήμερα για τη συμμόρφωση με τον Κανονισμό θα είναι επαρκή τα επόμενα -ακόμα και λίγα- χρόνια.

Το σίγουρο είναι ότι θα υπάρξουν αρκετές αποσαφηνίσεις τόσο σε ευρωπαϊκό όσο και εθνικό επίπεδο εν αναμονή των εκτελεστικών νόμων για πολλά ζητήματα, εκ των οποίων και η σχέση του DORA με άλλα κρίσιμα νομοθετήματα, όπως ο GDPR και η PSD2.