Την πρώτη ετήσια επισκόπηση για τα σοβαρά περιστατικά που σχετίζονται με τεχνολογίες πληροφορικής και επικοινωνιών (ICT) στον ευρωπαϊκό χρηματοοικονομικό τομέα δημοσίευσαν οι Ευρωπαϊκές Εποπτικές Αρχές (EBA, EIOPA και ESMA), στο πλαίσιο του Κανονισμού Digital Operational Resilience Act (DORA).

Η έκθεση βασίζεται στον νέο μηχανισμό αναφοράς περιστατικών που θεσπίστηκε μέσω του DORA και αποτυπώνει μια αγορά όπου οι τεχνολογικοί κίνδυνοι γίνονται ολοένα και πιο διασυνδεδεμένοι, διασυνοριακοί και σύνθετοι. Παράλληλα, οι ευρωπαϊκές εποπτικές αρχές προειδοποιούν ότι η ταχεία εξέλιξη προηγμένων εργαλείων τεχνητής νοημοσύνης (AI) καθιστά αναγκαία την περαιτέρω ενίσχυση των μέτρων κυβερνοασφάλειας από τις χρηματοοικονομικές επιχειρήσεις.

Σύμφωνα με τα στοιχεία της έκθεσης, καταγράφηκαν συνολικά 3.383 σοβαρά περιστατικά ICT σε χρηματοοικονομικές οντότητες της Ευρωπαϊκής Ένωσης, με περίπου το ένα τρίτο να έχει διασυνοριακό αντίκτυπο, στοιχείο που αναδεικνύει την αυξανόμενη αλληλεξάρτηση του κλάδου μέσω κοινών υποδομών και εξωτερικών παρόχων υπηρεσιών.

Παρά τον σημαντικό αριθμό συμβάντων, οι εποπτικές αρχές σημειώνουν ότι ο άμεσος αντίκτυπος σε πελάτες και συναλλαγές παρέμεινε σε γενικές γραμμές περιορισμένος. Ωστόσο, τα ευρήματα δείχνουν ότι οι κύριες αιτίες των περιστατικών σχετίζονται με τεχνικές αστοχίες συστημάτων και εξωτερικά γεγονότα, ενισχύοντας την ανάγκη για αυστηρότερη διαχείριση κινδύνων από τρίτους παρόχους, αποτελεσματικό έλεγχο των outsourced υπηρεσιών και στενότερο συντονισμό κατά τη διαχείριση κρίσεων.

Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι μόλις το 10% των περιστατικών συνδέθηκε άμεσα με ζητήματα κυβερνοασφάλειας, χωρίς αυτό να μειώνει τη σημασία της απειλής. Αντιθέτως, οι ESAs επισημαίνουν πως η ανάπτυξη ολοένα και πιο ισχυρών εργαλείων που αξιοποιούν τεχνητή νοημοσύνη ενδέχεται να αυξήσει την πολυπλοκότητα και την αποτελεσματικότητα κυβερνοεπιθέσεων στο μέλλον.

Ο DORA αλλάζει το πλαίσιο διαχείρισης τεχνολογικών κινδύνων

Ο Κανονισμός DORA εισήγαγε ένα εναρμονισμένο ευρωπαϊκό πλαίσιο για τη διαχείριση, ταξινόμηση και αναφορά σοβαρών περιστατικών ICT, με στόχο τη βελτίωση της επιχειρησιακής ανθεκτικότητας του χρηματοοικονομικού συστήματος.

Μέσω της υποχρεωτικής αναφοράς σοβαρών περιστατικών προς τις αρμόδιες εποπτικές αρχές, επιδιώκεται ταχύτερη και πιο συντονισμένη αντίδραση σε περιστατικά που ενδέχεται να επηρεάσουν πολλαπλές αγορές ή οργανισμούς ταυτόχρονα.

Για ασφαλιστικές επιχειρήσεις και διαμεσολαβητές, η εξέλιξη αυτή αποκτά ιδιαίτερη σημασία, καθώς το regulatory compliance σε ζητήματα κυβερνοασφάλειας και επιχειρησιακής συνέχειας μετατρέπεται πλέον σε κρίσιμο παράγοντα λειτουργικής ανθεκτικότητας και εταιρικής διακυβέρνησης.

Η πρώτη αυτή έκθεση επιβεβαιώνει ότι οι τεχνολογικοί κίνδυνοι αποκτούν ολοένα και πιο συστημική διάσταση, καθιστώντας την επένδυση στην ψηφιακή ανθεκτικότητα όχι απλώς κανονιστική υποχρέωση, αλλά βασική προϋπόθεση σταθερότητας για το ευρωπαϊκό χρηματοοικονομικό οικοσύστημα.