Ο Κανονισμός για την Ψηφιακή και Λειτουργική Ανθεκτικότητα (Digital Operational Resilience Act – DORA) αποτελεί μία νέα καίρια ρύθμιση της Ευρωπαϊκής Ένωσης που στοχεύει να ενισχύσει την ανθεκτικότητα του χρηματοοικονομικού τομέα στην ψηφιακή εποχή. Με την αυξανόμενη χρήση της τεχνολογίας και τις προκλήσεις που αυτή συνεπάγεται, η DORA επιδιώκει να διασφαλίσει ότι οι χρηματοοικονομικοί οργανισμοί μπορούν να αντέξουν και να ανταποκριθούν σε ψηφιακές και λειτουργικές δυσκολίες που θέτουν σε κίνδυνο τις παρεχόμενες υπηρεσίες.

Η Ευρωπαϊκή Επιτροπή εξέδωσε τον κανονισμό όπως προαναφέρθηκε, με σκοπό την ενίσχυση της λειτουργικής ανθεκτικότητας του χρηματοοικονομικού τομέα της Ευρωπαϊκής Ένωσης. Ο κανονισμός βασίζεται σε τρεις θεμελιώδεις αρχές:

• Διαχείριση Κινδύνων Πληροφορικής και Κυβερνοασφάλειας: Οι χρηματοοικονομικοί οργανισμοί υποχρεούνται να αναγνωρίζουν, να αξιολογούν και να διαχειρίζονται τους κινδύνους πληροφορικής και κυβερνοασφάλειας. Η ρύθμιση απαιτεί από τους οργανισμούς να θεσπίσουν πολιτικές και διαδικασίες που θα διασφαλίζουν τα συστήματα και τα δεδομένα τους από κυβερνοαπειλές.

• Διαχείριση Επιχειρησιακής Συνέχειας: Οι χρηματοοικονομικοί οργανισμοί θα πρέπει να αναπτύξουν ολοκληρωμένα σχέδια επιχειρησιακής συνέχειας που να διασφαλίζουν την ικανότητά τους να παρέχουν υπηρεσίες στους πελάτες κατά τη διάρκεια λειτουργικών διαταραχών.
• Εποπτεία και Εποπτικοί Μηχανισμοί: Η ρύθμιση εισάγει ένα πλαίσιο για τις εποπτικές αρχές να παρακολουθούν και να αξιολογούν την ανθεκτικότητα των χρηματοοικονομικών οργανισμών, συμπεριλαμβανομένου του δικαιώματος να διενεργούν επιθεωρήσεις, να ζητούν πληροφορίες και να επιβάλλουν κυρώσεις όταν χρειάζεται.

Ο κανονισμός τίθεται σε ισχύ στις 17 Ιανουαρίου 2025. Αυτή η ημερομηνία θα αποτελέσει  σημαντικό ορόσημο για τους χρηματοοικονομικούς οργανισμούς, καθώς θα πρέπει να συμμορφωθούν με τις νέες απαιτήσεις που περιγράφονται στη νομοθεσία.

Ο κανονισμός θα εφαρμόζεται σε όλους τους χρηματοοικονομικούς οργανισμούς που λειτουργούν εντός της Ευρωπαϊκής Ένωσης, όπως οι τράπεζες, οι ασφαλιστικές εταιρείες, οι επενδυτικές εταιρείες, οι πλατφόρμες συναλλαγών κλπ. Η ρύθμιση αναφέρει συγκεκριμένα ότι καλύπτει ένα ευρύ φάσμα χρηματοοικονομικών οντοτήτων που ρυθμίζονται σε επίπεδο Ένωσης.

Ο Κανονισμός επιφέρει σημαντικές αλλαγές στις ασφαλιστικές εταιρίες και τους ασφαλιστικούς διαμεσολαβητές, ενισχύοντας τις απαιτήσεις για τη διαχείριση των κινδύνων πληροφορικής και την επιχειρησιακή ανθεκτικότητα. Οι ασφαλιστικές εταιρίες πρέπει να εφαρμόσουν ισχυρά μέτρα κυβερνοασφάλειας, να αναπτύξουν ολοκληρωμένα σχέδια επιχειρησιακής συνέχειας και να εξασφαλίσουν την προστασία των δεδομένων των πελατών τους από κυβερνοαπειλές.

Οι ασφαλιστικοί διαμεσολαβητές, από την άλλη πλευρά, θα πρέπει να διασφαλίσουν ότι οι διαδικασίες τους συμμορφώνονται με τις νέες απαιτήσεις και ότι οι εξωτερικές συνεργασίες τους δεν θέτουν σε κίνδυνο την ανθεκτικότητα των συστημάτων τους. Ωστόσο, η DORA αναγνωρίζει τις ιδιαιτερότητες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων και παρέχει εξαιρέσεις για αυτές. Συγκεκριμένα, οι μικρομεσαίες ασφαλιστικές εταιρίες και οι ασφαλιστικοί διαμεσολαβητές δεν υποχρεούνται να δημιουργήσουν σύνθετες δομές διακυβέρνησης, όπως η σύσταση ειδικής διοικητικής λειτουργίας για την εποπτεία των ρυθμίσεων με τους παρόχους υπηρεσιών πληροφορικής ή ο διορισμός μέλους της ανώτατης διοίκησης υπεύθυνου για την εποπτεία της σχετικής έκθεσης κινδύνου και της σχετικής τεκμηρίωσης.

Επιπλέον, οι μικρομεσαίες επιχειρήσεις απαλλάσσονται από την υποχρέωση να διεξάγουν προχωρημένες δοκιμές ψηφιακής ανθεκτικότητας, όπως οι δοκιμές διείσδυσης με βάση τις απειλές (TLPT), επιτρέποντάς τους να υιοθετούν έναν πιο ευέλικτο και αναλογικό τρόπο διαχείρισης των κινδύνων πληροφορικής, σύμφωνα με το μέγεθος και το προφίλ κινδύνου τους.

Οι κύριοι στόχοι του κανονισμού είναι οι εξής:

• Ενίσχυση της Λειτουργικής Ανθεκτικότητας του Χρηματοοικονομικού Τομέα της ΕΕ: Η ρύθμιση επιδιώκει να διασφαλίσει ότι οι χρηματοοικονομικοί οργανισμοί διαθέτουν ανθεκτικές διαδικασίες και συστήματα για να αντέξουν και να ανταποκριθούν σε λειτουργικές διαταραχές.

• Ενίσχυση της Προστασίας Δεδομένων Πελατών: Η ρύθμιση απαιτεί από τους χρηματοοικονομικούς οργανισμούς να εφαρμόζουν αποτελεσματικά μέτρα κυβερνοασφάλειας για την προστασία των δεδομένων των πελατών.

• Δημιουργία Ίσων Όρων Ανταγωνισμού σε όλη την ΕΕ: Η ρύθμιση εισάγει ένα ενιαίο σύνολο προτύπων και απαιτήσεων για την ανθεκτικότητα, διασφαλίζοντας ότι όλοι οι χρηματοοικονομικοί οργανισμοί στην ΕΕ τηρούν τα ίδια πρότυπα.

• Ενίσχυση του Ρόλου των Εποπτικών Αρχών: Η ρύθμιση δίνει στις εποπτικές αρχές αυξημένες εξουσίες για την παρακολούθηση και αξιολόγηση της ανθεκτικότητας των χρηματοοικονομικών οργανισμών.

Οι κρίσιμες απαιτήσεις που πρέπει να τηρούν οι χρηματοοικονομικοί οργανισμοί περιλαμβάνουν μεταξύ άλλων :

1. Χαρτογράφηση και Δοκιμές: Οι οργανισμοί πρέπει να χαρτογραφούν και να δοκιμάζουν τις κρίσιμες επιχειρησιακές τους υπηρεσίες, διαδικασίες και συστήματα πληροφορικής για να αναγνωρίσουν και να διαχειριστούν λειτουργικούς κινδύνους.
2. Εξωτερική Ανάθεση: Οι οργανισμοί πρέπει να εφαρμόζουν επαρκή μέτρα για τη διαχείριση των κινδύνων που σχετίζονται με την εξωτερική ανάθεση κρίσιμων λειτουργιών ή υπηρεσιών.
3. Αναφορά Περιστατικών: Οι οργανισμοί πρέπει να αναφέρουν περιστατικά που επηρεάζουν σημαντικά τη συνέχιση των υπηρεσιών τους ή που αποτελούν απειλή για το χρηματοοικονομικό σύστημα.
4. Κυβερνοασφάλεια: Οι οργανισμοί πρέπει να υιοθετούν κατάλληλα και αποτελεσματικά μέτρα κυβερνοασφάλειας για την αποτροπή κυβερνοαπειλών και παραβιάσεων δεδομένων.
5. Διαχείριση Κινδύνων: Οι οργανισμοί πρέπει να θεσπίζουν ένα ισχυρό πλαίσιο διαχείρισης κινδύνων που να είναι πλήρως ενσωματωμένο στη συνολική επιχειρηματική στρατηγική τους.
6. Διακυβέρνηση και Εποπτεία: Οι οργανισμοί πρέπει να διατηρούν σαφείς γραμμές ευθύνης και λογοδοσίας για την επιχειρησιακή ανθεκτικότητα, με το διοικητικό συμβούλιο να είναι υπεύθυνο για την εποπτεία της ανθεκτικότητας του οργανισμού.
7. Σχεδιασμός Επιχειρησιακής Συνέχειας: Οι οργανισμοί πρέπει να αναπτύξουν ολοκληρωμένα και αποτελεσματικά σχέδια επιχειρησιακής συνέχειας για να διασφαλίσουν τη συνέχιση των κρίσιμων επιχειρησιακών τους υπηρεσιών σε περίπτωση διακοπής.
8. Δοκιμές και Εκπαίδευση: Οι οργανισμοί πρέπει να δοκιμάζουν και να ενημερώνουν τακτικά τα σχέδια επιχειρησιακής ανθεκτικότητας τους και να παρέχουν εκπαίδευση στο προσωπικό για να εξασφαλίσουν την ετοιμότητά τους να ανταποκριθούν σε λειτουργικές διαταραχές.

Ο κανονισμός αναμένεται να επηρεάσει σημαντικά τους χρηματοοικονομικούς οργανισμούς που λειτουργούν εντός της Ευρωπαϊκής Ένωσης ως ακολούθως:

1. Αυξημένα Κόστη Συμμόρφωσης: Οι οργανισμοί θα χρειαστεί να επενδύσουν σε πρόσθετους πόρους, διαδικασίες και συστήματα για να συμμορφωθούν με τις νέες απαιτήσεις που περιγράφονται στη ρύθμιση, κάτι που μπορεί να οδηγήσει σε αυξημένα κόστη συμμόρφωσης.
2. Αυξημένη Εποπτική Εποπτεία: Η ρύθμιση δίνει στις εποπτικές αρχές αυξημένες εξουσίες για την παρακολούθηση και αξιολόγηση της ανθεκτικότητας των χρηματοοικονομικών οργανισμών, κάτι που μπορεί να οδηγήσει σε αυξημένη εποπτική εποπτεία και πιθανόν σε πιο συχνές και αυστηρές εποπτικές εξετάσεις.
3. Αλλαγές στις Επιχειρηματικές Πρακτικές: Οι οργανισμοί μπορεί να χρειαστεί να τροποποιήσουν τις επιχειρηματικές τους πρακτικές για να συμμορφωθούν με τις νέες απαιτήσεις που περιγράφονται στη ρύθμιση. Για παράδειγμα, μπορεί να χρειαστεί να αναθεωρήσουν και να ενημερώσουν τις ρυθμίσεις εξωτερικής ανάθεσης, να ενισχύσουν τα μέτρα κυβερνοασφάλειας και να βελτιώσουν τα σχέδια επιχειρησιακής συνέχειας.
4. Μεγαλύτερη Έμφαση στη Διαχείριση Κινδύνων: Η ρύθμιση δίνει έμφαση στη διαχείριση κινδύνων και υποχρεώνει τους οργανισμούς να θεσπίσουν ένα ισχυρό πλαίσιο διαχείρισης κινδύνων, κάτι που απαιτεί την ανάπτυξη και εφαρμογή πιο αυστηρών διαδικασιών και πολιτικών διαχείρισης κινδύνων.
5. Βελτιωμένη Λειτουργική Ανθεκτικότητα: Τελικά, η ρύθμιση στοχεύει στη βελτίωση της λειτουργικής ανθεκτικότητας των χρηματοοικονομικών οργανισμών. Με την τήρηση των απαιτήσεων, οι οργανισμοί θα είναι καλύτερα προετοιμασμένοι να αντέξουν και να ανταποκριθούν σε λειτουργικές διαταραχές, όπως κυβερνοεπιθέσεις, αποτυχίες πληροφορικής και άλλες απειλές.

Τέλος, οι χρηματοοικονομικοί οργανισμοί μπορεί να αντιμετωπίσουν διάφορες συνέπειες για τη μη συμμόρφωση με τη ρύθμιση, όπως:

1. Διοικητικά Πρόστιμα: Οι οργανισμοί μπορεί να επιβληθούν πρόστιμα έως και 10 εκατομμυρίων ευρώ ή 5% του συνολικού ετήσιου κύκλου εργασιών τους, όποιο είναι υψηλότερο, για σοβαρές παραβάσεις της ρύθμισης.
2. Διορθωτικά Μέτρα: Οι εποπτικές αρχές μπορεί να απαιτήσουν από τους οργανισμούς να λάβουν διορθωτικά μέτρα για την αντιμετώπιση τυχόν αδυναμιών ή αποτυχιών στην ανθεκτικότητά τους.
3. Δημόσιες Επιπλήξεις: Οι εποπτικές αρχές μπορεί να επιπλήξουν δημόσια τους οργανισμούς που δεν συμμορφώνονται με τις απαιτήσεις της ρύθμισης.
4. Ανάκληση Άδειας: Οι εποπτικές αρχές μπορεί να ανακαλέσουν την άδεια των οργανισμών που επανειλημμένα δεν συμμορφώνονται με τις απαιτήσεις της ρύθμισης.
5. Αποζημιώσεις για Ζημίες: Οι οργανισμοί μπορεί να υποχρεωθούν να αποζημιώσουν πελάτες ή τρίτους για τυχόν ζημίες που προκύπτουν από την αποτυχία συμμόρφωσης με τις απαιτήσεις της ρύθμισης.

Οι εποπτικές αρχές διαδραματίζουν ζωτικό ρόλο στην επιβολή της ρύθμισης DORA. Οι αρμοδιότητες των εποπτικών αρχών περιλαμβάνουν:

• Αξιολόγηση της Ανθεκτικότητας: Οι αρχές θα αξιολογούν την ανθεκτικότητα των χρηματοοικονομικών οργανισμών, κάτι που περιλαμβάνει την εξέταση των σχεδίων ανθεκτικότητας, τη χαρτογράφηση και τη δοκιμή κρίσιμων υπηρεσιών, συστημάτων πληροφορικής και διαδικασιών.
• Επιτόπιες Επιθεωρήσεις: Οι αρχές μπορεί να διενεργούν επιτόπιες επιθεωρήσεις στους χρηματοοικονομικούς οργανισμούς για να διαπιστώσουν τη συμμόρφωση με τις απαιτήσεις της ρύθμισης.

• Επιβολή Κυρώσεων: Οι αρχές έχουν την εξουσία να επιβάλλουν κυρώσεις στους οργανισμούς που δεν πληρούν τις απαιτήσεις της ρύθμισης.

• Παροχή Κατευθυντήριων Γραμμών: Οι αρχές μπορεί να παρέχουν κατευθυντήριες γραμμές και βέλτιστες πρακτικές για να υποστηρίξουν τους οργανισμούς στην τήρηση των απαιτήσεων της ρύθμισης.

• Συντονισμός και Συνεργασία: Η ρύθμιση DORA δίνει έμφαση στον συντονισμό και τη συνεργασία μεταξύ των εποπτικών αρχών σε εθνικό και ευρωπαϊκό επίπεδο, διασφαλίζοντας ότι οι χρηματοοικονομικοί οργανισμοί τηρούν συνεπείς και εναρμονισμένες εποπτικές πρακτικές σε όλη την ΕΕ.

Η  DORA και ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) είναι διακριτές ρυθμίσεις που αντιμετωπίζουν διάφορες πτυχές της προστασίας δεδομένων και της κυβερνοασφάλειας εντός της Ευρωπαϊκής Ένωσης. Ωστόσο, υπάρχουν σημαντικοί τρόποι με τους οποίους αυτές οι δύο ρυθμίσεις αλληλεπικαλύπτονται:

• Προστασία Προσωπικών Δεδομένων: Η DORA και η GDPR δίνουν έμφαση στην προστασία των προσωπικών δεδομένων και στη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων. Η DORA, αν και επικεντρώνεται στην ανθεκτικότητα των χρηματοοικονομικών οργανισμών, απαιτεί επίσης από τους οργανισμούς αυτούς να προστατεύουν τα δεδομένα των πελατών και να τηρούν τις ρυθμίσεις προστασίας δεδομένων.
• Αξιολόγηση Κινδύνων: Και οι δύο ρυθμίσεις απαιτούν από τους χρηματοοικονομικούς οργανισμούς να διενεργούν αξιολογήσεις κινδύνων και να εφαρμόζουν κατάλληλα μέτρα διαχείρισης κινδύνων για την προστασία από κυβερνοαπειλές και παραβιάσεις δεδομένων. Η DORA θέτει συγκεκριμένες απαιτήσεις για την αναγνώριση και την αντιμετώπιση των λειτουργικών κινδύνων, ενώ η GDPR υποχρεώνει τις οργανώσεις να αξιολογούν τους κινδύνους για τα προσωπικά δεδομένα και να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία τους.

• Κυρώσεις για Μη Συμμόρφωση: Η DORA και η GDPR επιβάλλουν σημαντικές κυρώσεις για τη μη συμμόρφωση. Οι χρηματοοικονομικοί οργανισμοί που δεν πληρούν τις απαιτήσεις της DORA μπορεί να αντιμετωπίσουν πρόστιμα έως και 10 εκατομμυρίων ευρώ ή 5% του συνολικού ετήσιου κύκλου εργασιών τους, ενώ η GDPR μπορεί να επιβάλει πρόστιμα έως και 20 εκατομμυρίων ευρώ ή 4% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών, όποιο είναι υψηλότερο.

Οι χρηματοοικονομικοί οργανισμοί που υπόκεινται και στις δύο ρυθμίσεις πρέπει να εξετάζουν προσεκτικά τις υποχρεώσεις τους βάσει κάθε ρύθμισης και να διασφαλίζουν την εφαρμογή των κατάλληλων μέτρων για τη συμμόρφωση και με τις δύο ρυθμίσεις.

Στο πλαίσιο της DORA, οι μικρομεσαίες επιχειρήσεις (ΜμΕ) ορίζονται με βάση το μέγεθος και το προφίλ κινδύνου τους, και απολαμβάνουν μια πιο ευέλικτη και αναλογική προσέγγιση στη διαχείριση των κινδύνων πληροφορικής. Συγκεκριμένα, η DORA αναγνωρίζει τις ιδιαιτερότητες των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων και παρέχει εξαιρέσεις και προσαρμοσμένες απαιτήσεις για αυτές. Οι ΜμΕ απαλλάσσονται από την υποχρέωση να δημιουργήσουν σύνθετες δομές διακυβέρνησης και να διεξάγουν προχωρημένες δοκιμές ψηφιακής ανθεκτικότητας, όπως οι δοκιμές διείσδυσης με βάση τις απειλές (TLPT). Αντίθετα, οι ΜΜΕ μπορούν να υιοθετήσουν μια πιο ευέλικτη προσέγγιση στη διαχείριση των κινδύνων πληροφορικής, λαμβάνοντας υπόψη τους πόρους και τις δυνατότητές τους. Η ρύθμιση δίνει έμφαση στην αναλογικότητα, επιτρέποντας στις ΜμΕ να εφαρμόζουν μέτρα που είναι κατάλληλα για το μέγεθος, την πολυπλοκότητα και τη φύση των δραστηριοτήτων τους, διασφαλίζοντας παράλληλα ότι παραμένουν ανθεκτικές σε λειτουργικές διαταραχές και κυβερνοαπειλές.

Συμπέρασμα

Ο Κανονισμός για την Ψηφιακή και Λειτουργική Ανθεκτικότητα (DORA) αποτελεί έναν σημαντικό σταθμό για την ενίσχυση της ανθεκτικότητας του χρηματοοικονομικού τομέα της Ευρωπαϊκής Ένωσης στην ψηφιακή εποχή. Με την εφαρμογή του, οι χρηματοοικονομικοί οργανισμοί θα πρέπει να επενδύσουν σε νέες τεχνολογίες και διαδικασίες, να αναπτύξουν ισχυρά σχέδια διαχείρισης κινδύνων και να διασφαλίσουν την προστασία των δεδομένων των πελατών τους. Αν και οι απαιτήσεις της DORA μπορεί να αυξήσουν τα κόστη συμμόρφωσης και να επιφέρουν αυξημένη εποπτική εποπτεία, αναμένεται να οδηγήσουν σε έναν πιο ανθεκτικό και ασφαλή χρηματοοικονομικό τομέα προς όφελος τόσο των οργανισμών όσο και των πελατών τους.

Το αφιέρωμα επιμελήθηκε η κα Μυρτώ Χαμπάκη, Advisory Partner, Experto Crede Consultants

Αναδημοσίευση από το τελευταίο τεύχος του THE INSURER – Του περιοδικού αποκλειστικά για τον ασφαλιστικό διαμεσολαβητή.