Regulamentul DORA: Securitatea cibernetică este noul subiect obligatoriu ce trebuie luat în calcul și adus pe masa de lucru a instituțiilor financiare

Începând cu ianuarie 2025, entitățile financiare din Uniunea Europeană vor trebui să se conformeze Regulamentului privind Reziliența Operațională Digitală (DORA – Digital Operational Resilience Act*). Aceasta face parte dintr-o inițiativă mai largă a Uniunii Europene de a consolida reziliența sectorului financiar în fața riscurilor cibernetice și a atacurilor digitale. DORA impune noi standarde riguroase pentru gestionarea riscurilor tehnologice, în special în ceea ce privește securitatea cibernetică, continuitatea afacerilor și gestionarea furnizorilor terți de servicii IT.

DORA a fost concepută ca răspuns la creșterea dependenței industriei financiare de tehnologia digitală și la vulnerabilitățile asociate acesteia. Riscurile cibernetice au devenit una dintre principalele amenințări la adresa stabilității financiare, iar incidentele majore de securitate pot avea efecte devastatoare asupra băncilor, companiilor de asigurări și altor instituții financiare.

Directiva stabilește un cadru unificat pentru gestionarea riscurilor tehnologice și impune standarde de raportare și gestionare a incidentelor cibernetice. Pe de altă parte, reglementează relațiile dintre entitățile financiare și furnizorii de servicii IT critici și determină un comportament responsabil, în sensul testării regulate a rezilienței operaționale digitale a organizațiilor din domeniul financiar-bancar. Chiar dacă riscuri de siguranță cibernetică există, practic, în absolut toate domeniile de activitate, impactul cel mai mare este în zona economică, iar dintre toate segmentele și organizațiile, riscurile majore sunt associate, și pot determina consecințe aproape imprevizibile, în zona financiară.

Legea privind reziliența operațională digitală (DORA) este un regulament UE care a intrat în vigoare la 16 ianuarie 2023 și se va aplica începând cu 17 ianuarie 2025. Acesta vizează consolidarea securității informatice a entităților financiare precum băncile, societățile de asigurări și firmele de investiții și asigurarea faptului că sectorul financiar din Europa este capabil să rămână rezilient în cazul unei perturbări operaționale grave. DORA aduce armonizarea normelor referitoare la reziliența operațională pentru sectorul financiar, aplicându-se la 20 de tipuri diferite de entități financiare și furnizori de servicii TIC terți.

Argumentele care au determinat apariția DORA?

Sectorul financiar, ca de altfel, toate sectoarele economiei globale, este din ce în ce mai dependent de tehnologie și de furnizorii de soluții tehnologice care lucrează pentru segmentul serviciilor financiare. Prin urmare, entitățile financiare sunt supuse unor riscuri din ce în ce mai mari de incidente cibernetice, așa-numitele  riscuri TIC, care pot determina perturbarea majoră a serviciilor financiare oferite la nivel transfrontalier. Acest lucru, la rândul său, poate avea un impact asupra altor companii, sectoare și chiar asupra restului economiei, ceea ce subliniază importanța rezilienței operaționale digitale a sectorului financiar.

Regulamentul privind reziliența operațională digitală sau DORA  acopera o serie de aspect, astfel:

1. Gestionarea riscurilor TIC – Principii și cerințe privind cadrul de gestionare a riscurilor TIC
2. Gestionarea riscurilor la terți CT – Monitorizarea furnizorilor de risc terți și revizuirea principalele dispoziții contractuale
3. Testarea rezilienței operaționale digitale – Teste de bază și avansate Incidente legate de TIC
4. Cerințe generale de revizuit, respectiv raportarea incidentelor majore legate de TIC către autoritățile competente
5. Schimbul de informații – Schimbul de informații și informații secrete privind amenințările cibernetice
6.  Supravegherea furnizorilor terți critici – Cadrul de supraveghere pentru furnizorii terți de TIC esențiale

Practic, cadrul pe care Regulamentul DORA îl redesenează vizează nivelul următor al solidității unei entități financiare, prin aceea că aceasta își va menține operațiunile reziliente și în cazul unor perturbări operaționale grave cauzate de probleme de securitate cibernetică și de tehnologia informației și comunicațiilor (TIC).

Tocmai prin apariția și, bineînțeles, implementarea unui cadru de reguli  de supraveghere unic pentru toți jucătorii din piețele financiare naționale și europene, DORA asigură convergența și armonizarea practicilor de securitate și reziliență în cadrul firmelor care își desfășoară activitatea în Uniunea Europeană (UE).Cine sunt acești jucători care sunt obligați să se înscrie regulilor DORA? Vorbim despre instituții de credit, instituții de plată, furnizori de servicii de informații privind conturile, instituții emitente de monedă electronică, firme de investiții, societăți de asigurări, furnizori de servicii de valori mobiliare criptografice, burse și case de compensare, administratori de fonduri alternative, societăți de pensii, agenții de rating de credit, furnizorilor de servicii financiare, procesatorilor de plăți și companii fintech, furnizori terți de servicii IT și tehnologii financiare. Și, le-am enumerat doar pe cele principale.

Estimările actuale arată că DORA se va aplica pentru cel puțin 22.000 de entități financiare și furnizori de servicii TIC care își desfășoară activitatea în UE, precum și infrastructurii TIC care le susține, din afara UE. Regulamentul definește foarte clar cerințele privind gestionarea consecventă a riscurilor TIC, capacități cuprinzătoare de testare a rezilienței (inclusiv teste de penetrare bazate pe amenințări) și gestionarea riscurilor dinspre terți, asigurând o furnizare consecventă de servicii de-a lungul întregului lanț de lucru.

Cerințele uniforme la nivelul UE ale DORA presupun ca instituțiile financiare trebuie să se asigure că pot gestiona un nivel de maturitate coerent al TIC și al rezilienței cibernetice în toate operațiunile lor din UE. Mai mult, vor fi reziliente pe termen lung, într-un context economic din ce în ce mai complicat, doar acele companii din sistemul financiar vor implementa și se vor pregăti să susțină pe termen lung prevederile DORA. Pentru că, la fel de importante sau poate chiar mai importante sunt implicațiile financiare ale implementării.

Odată ce au realizat conformarea cu Regulamentul DORA, instituțiile financiare vor realiza permanent evaluări cuprinzătoare ale decalajelor față de aceste prevederi, tocmai pentru a-și evalua nivelul de maturitate în raport cu DORA și pentru a identifica orice domenii care necesită investiții suplimentare și prioritizare. Astfel, acestea se vor afla într-o poziție mai bună pentru a aborda cerințe mai complexe, cum ar fi gestionarea riscurilor de către terți, testarea avansată a rezilienței tehnologice, raportarea incidentelor și informațiile privind amenințările.

DORA își extinde, de asemenea, domeniul de aplicare pentru a include alte părți interesate din sectorul financiar, care până în prezent nu au făcut obiectul unei reglementări extinse privind securitatea TIC, de exemplu, furnizorii de servicii pentru active criptografice, intermediarii administratori de fonduri de investiții alternative, furnizorii de servicii de crowdfunding, furnizorii de servicii cloud și furnizorii de servicii TIC terți.

Dacă era nevoie de încă un instrument, care să puncteze clar și la obiect importanța și securitatea cibernetică, ca pilon esențial de creștere sustenabilă a economiilor europene, acesta este Regulametul DORA. Este, de altfel, și mesajul fostului premier al Italiei şi ex-președinte al Băncii Centrale Europene (BCE), Mario Draghi,  ca fiind una dintre cele 10 direcții de urmat în perioada imediat următoare, pentru a relansa (unii spun chiar ”a salva”) moneda europeană: faptul că securitatea cibernetică este noul subiect obligatoriu ce trebuie luat în calcul și adus pe masa de discuții a companiilor, atât in ședințele de board cât și în cadrul echipelor de management.

Indiferent de industrie, putem spune că, odată cu aplicarea DORA, majoritatea sectoarelor din UE au o reglementare de securitate cibernetică de care trebuie să țină cont și pe care trebuie să o aplice, astfel că cybersecurity nu mai este un subiect doar pentru echipele de specialitate din cadrul companiei, ci o dimeniune nouă, pe care top managementul organizațiilor trebuie să o ia in calcul în procesul decizional.