Στόχος του κανονισμού DORA είναι η επίτευξη υψηλού κοινού επιπέδου ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοοικονομικών οργανισμών στην ΕΕ.
Οργανισμοί τους οποίους αφορά η εφαρμογή του κανονισμού είναι διάφοροι τύποι χρηματοοικονομικών οντοτήτων, όπως ενδεικτικά πιστωτικά ιδρύματα, ιδρύματα πληρωμών, επιχειρήσεις επενδύσεων και διαχειριστές δεικτών αναφοράς κρίσιμης σημασίας, αλλά και τρίτοι πάροχοι υπηρεσιών ΤΠΕ (Τεχνολογίες Πληροφοριών & Επικοινωνιών).
Ο κανονισμός DORA θα τεθεί σε υποχρεωτική εφαρμογή σε όλα τα κράτη-μέλη της ΕΕ στις 17 Ιανουαρίου 2025.
Ο κανονισμός καθορίζει απαιτήσεις για χρηματοοικονομικές οντότητες σχετικά με διαχείριση κινδύνων ΤΠΕ, αναφορά μειζόνων συμβάντων, δοκιμές επιχειρησιακής ανθεκτικότητας, ανταλλαγή πληροφοριών για κυβερνοαπειλές, κανόνες για συμβατικές ρυθμίσεις με τρίτους παρόχους ΤΠΕ, εποπτεία τρίτων παρόχων και συνεργασία με αρμόδιες αρχές.
Οι αρμόδιες αρχές σε κάθε κράτος μέλος είναι υπεύθυνες για τη διασφάλιση της συμμόρφωσης των οργανισμών και διαθέτουν μεταξύ άλλων εξουσίες εποπτείας, διενέργειας ελέγχων, αιτήσεις προς τους οργανισμούς για λήψη μέτρων ή παύση συμπεριφορών που αντιβαίνουν στον κανονισμό.
Οδηγία NIS 2
Στόχος της Οδηγίας είναι η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση.
Η εφαρμογή της αφορά όλους τους δημόσιους και ιδιωτικούς οργανισμούς συγκεκριμένων κλάδων, που θεωρούνται μεσαίοι ή μεγάλοι και δραστηριοποιούνται εντός ΕΕ. Επίσης, ανεξαρτήτως μεγέθους, αφορά μεταξύ άλλων και τους οργανισμούς που δραστηριοποιούνται σε τομείς που θεωρείται ότι παρέχουν συγκεκριμένες κρίσιμες υπηρεσίες και οποιαδήποτε διακοπή στην παροχή των υπηρεσιών τους θα έχει μεγάλο αντίκτυπο.
Η οδηγία θα πρέπει να ενταχθεί στο εθνικό δίκαιο ως 17 Οκτωβρίου 2024 και είναι προγραμματισμένη η επανεξέταση από επιτροπή και η υποβολή έκθεσης ως τις 17 Οκτωβρίου 2027.
Η οδηγία περιλαμβάνει μέτρα διαχείρισης ρίσκου όπως είναι η εφαρμογή πολιτικών για την ασφάλεια πληροφοριακών συστημάτων, μέτρα για την επιχειρησιακή συνέχεια και την ασφάλεια της εφοδιαστικής αλυσίδας, υποχρεώσεις κοινοποίησης περιστατικών στις αρμόδιες ομάδες απόκρισης (CSIRT), καθώς και άλλα οργανωτικά μέτρα, τα οποία θα πρέπει να εφαρμοστούν κεντρικά σε κάθε κράτος-μέλος.
Οι κυρώσεις, που βάσει της οδηγίας θα πρέπει να επιβληθούν, είναι ανάλογα με την κατηγορία του οργανισμού με μέγιστο ποσό τουλάχιστον 7 ή 10 εκατομμύρια ευρώ ή 1,4% ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο από τα δύο είναι υψηλότερο.
Συμμόρφωση – «Βάρος» ή Ευκαιρία;
Πέρα από την απαίτηση της συμμόρφωσης και τον φόβο των ενδεχόμενων κυρώσεων, οι οργανισμοί πρέπει να δουν από μία διαφορετική οπτική τα νέα πλαίσια – που στα αυτιά τους αντηχούν συνήθως ως περαιτέρω φόρτος.
Είναι ευκαιρία, επενδύοντας σε εκπαιδευμένο ανθρώπινο δυναμικό, εξειδικευμένους συνεργάτες και τεχνολογικές λύσεις που θα τους βοηθήσουν στη συμμόρφωση, να ενισχύσουν την ανθεκτικότητά τους στους κινδύνους και τις απειλές, επιτυγχάνοντας έτσι μεγαλύτερη επιχειρησιακή σταθερότητα και ανάπτυξη.
Απαραίτητο βήμα προς αυτή την κατεύθυνση, είναι η ενεργοποίηση της διοίκησης ώστε να συμμετάσχει στη θέσπιση οργανωτικών μέτρων και να εγκρίνει την επένδυση σε ανθρώπινους πόρους, οι οποίοι με τη βοήθεια της τεχνολογίας και των εξειδικευμένων συνεργατών θα τους βοηθήσουν στην ευκολότερη και πιο αποτελεσματική επίτευξη των στόχων τους.
Με την κατανόηση ότι ο απώτερος στόχος για μεγαλύτερη ασφάλεια μπορεί να μεταφραστεί σε καλύτερη ποιότητα υπηρεσιών και αύξηση της παραγωγικότητας, κάθε οργανισμός, έχει την ευκαιρία να μετατρέψει την υποχρέωση της συμμόρφωσης από βάρος σε ευκαιρία να αποκτήσει ανταγωνιστικό πλεονέκτημα.
Επικοινωνήστε με τη Systecom στο technology@systecom.gr για να μάθετε πώς μπορεί να σας υποστηρίξει στη συμμόρφωση με τον κανονισμό DORA και με την οδηγία NIS2 και ποιες είναι οι τεχνολογικές λύσεις που παρέχει και μπορούν να σας βοηθήσουν στην ικανοποίηση των απαιτήσεων των συγκεκριμένων νομοθετικών πλαισίων στον μέγιστο βαθμό.