Κανονισμοί Ε.Ε. για κυβερνοασφάλεια στον χρηματοοικονομικό τομέα

Ο Κανονισμός Ψηφιακής Επιχειρησιακής Ανθεκτικότητας της Ευρωπαϊκής Ένωσης, γνωστός ως DORA, τίθεται επίσημα σε ισχύ από σήμερα, με στόχο την ενίσχυση της κυβερνοασφάλειας των χρηματοοικονομικών οργανισμών και των τεχνολογικών τους προμηθευτών.

Ο κανονισμός απαιτεί τη δημιουργία ανθεκτικών πληροφοριακών συστημάτων που θα προστατεύουν τις επιχειρήσεις από κυβερνοεπιθέσεις και άλλες μορφές διαταραχών. Παράλληλα, επιβάλλει αυστηρές κυρώσεις σε περιπτώσεις μη συμμόρφωσης, τόσο για τις ίδιες τις επιχειρήσεις όσο και για τα εμπλεκόμενα στελέχη και τους παρόχους τεχνολογίας. Τα πρόστιμα μπορούν να φτάσουν έως το 2% των ετήσιων παγκόσμιων εσόδων των οργανισμών, ενώ ατομικά στελέχη μπορεί να επιβαρυνθούν με κυρώσεις έως 1 εκατομμύριο ευρώ.

Όπως αναφέρουν τα διεθνή μέσα, παρά τη σοβαρότητα των νέων κανονισμών, πολλές χρηματοοικονομικές επιχειρήσεις στην Ευρώπη δεν έχουν καταφέρει ακόμη να συμμορφωθούν πλήρως. Αυτό αποδίδεται κυρίως στην πολυπλοκότητα των απαιτήσεων του DORA, που περιλαμβάνουν αυστηρή διαχείριση κινδύνων πληροφορικής, ανάλυση περιστατικών, δοκιμές ανθεκτικότητας και ανταλλαγή πληροφοριών για κυβερνοαπειλές και ευπάθειες. Επίσης, οι επιχειρήσεις υποχρεούνται να διαχειρίζονται προσεκτικά τους κινδύνους που συνδέονται με τρίτους παρόχους υπηρεσιών πληροφορικής, ενώ απαιτείται και αξιολόγηση του «κινδύνου συγκέντρωσης» όταν αναθέτουν κρίσιμες λειτουργίες σε εξωτερικές εταιρείες.

Η συμμόρφωση με τον κανονισμό έχει αποδειχθεί ιδιαίτερα απαιτητική για πολλούς οργανισμούς, καθώς απαιτεί σημαντικές επενδύσεις και προσαρμογές σε υπάρχουσες δομές και διαδικασίες. Επιπλέον, η έλλειψη σαφήνειας σε ορισμένα σημεία του κανονισμού προκαλεί ανησυχία στις επιχειρήσεις, καθώς διαφορετικές ερμηνείες μπορεί να οδηγήσουν σε παρεκκλίσεις από τις απαιτήσεις. Ωστόσο, οι ειδικοί εκτιμούν ότι οι μεγαλύτεροι και πιο ώριμοι οργανισμοί έχουν ήδη σημειώσει πρόοδο στην κατεύθυνση της συμμόρφωσης, δεδομένης της εμπειρίας τους από άλλους κανονισμούς, όπως ο GDPR.

Οι νέες απαιτήσεις του DORA επηρεάζουν, επίσης, τους τεχνολογικούς προμηθευτές, οι οποίοι αντιμετωπίζουν αυξημένες πιέσεις για να διασφαλίσουν τη συμμόρφωση των υπηρεσιών τους με τα ευρωπαϊκά πρότυπα. Οι προμηθευτές μπορεί να επιβαρυνθούν με πρόστιμα που φτάνουν έως το 1% του μέσου ημερήσιου παγκόσμιου κύκλου εργασιών τους, σε περίπτωση που αποδειχθεί ότι δεν τηρούν τους κανονισμούς. Για να αντιμετωπιστεί αυτός ο κίνδυνος, πολλές εταιρείες έχουν αρχίσει να αναθεωρούν τις συμβάσεις τους με τρίτους παρόχους, ενσωματώνοντας ρήτρες συμμόρφωσης και διαδικασίες ελέγχου. Ορισμένοι οργανισμοί εξετάζουν ακόμα και τη δυνατότητα επαναφοράς κρίσιμων λειτουργιών πληροφορικής στον εσωτερικό τους έλεγχο, προκειμένου να μειώσουν τους κινδύνους και να διασφαλίσουν τη συμμόρφωση.

Η εφαρμογή του DORA δεν είναι η μοναδική πρόκληση που αντιμετωπίζουν οι χρηματοοικονομικοί οργανισμοί στην Ευρώπη. Οι επιχειρήσεις καλούνται να προσαρμοστούν σε άλλους κανονισμούς κυβερνοασφάλειας, όπως η Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών 2 (NIS 2) και ο Κανονισμός για την Κυβερνοανθεκτικότητα, οι οποίοι εισάγουν πρόσθετες απαιτήσεις για τη διαχείριση κινδύνων και την ανθεκτικότητα των πληροφοριακών συστημάτων. Η συμμόρφωση με αυτούς τους κανονισμούς απαιτεί περαιτέρω επενδύσεις σε υποδομές, τεχνολογίες και ανθρώπινους πόρους, γεγονός που αυξάνει την πίεση στους οργανισμούς.

Η πρόοδος στη συμμόρφωση με τον DORA είναι μεικτή, με ορισμένα χρηματοοικονομικά ιδρύματα να έχουν ήδη αναπτύξει ώριμες διαδικασίες διακυβέρνησης και διαχείρισης κινδύνων πληροφορικής. Αυτές περιλαμβάνουν συστήματα αναφοράς περιστατικών, πλαίσια διαχείρισης κινδύνων ICT και διαδικασίες για τη διαχείριση κρίσεων. Ωστόσο, μικρότεροι οργανισμοί ή εκείνοι με περιορισμένη εμπειρία σε τέτοιου είδους κανονισμούς μπορεί να αντιμετωπίσουν σημαντικές προκλήσεις για να φτάσουν στο απαιτούμενο επίπεδο συμμόρφωσης.

Παρά τις δυσκολίες, ο DORA θεωρείται κρίσιμος για την ενίσχυση της ασφάλειας και της σταθερότητας του χρηματοοικονομικού τομέα στην Ε.Ε., ιδίως εν μέσω των αυξανόμενων απειλών στον κυβερνοχώρο. Η πλήρης εφαρμογή του κανονισμού αναμένεται να αποτελέσει μακροπρόθεσμη διαδικασία, καθώς οι οργανισμοί θα χρειαστούν χρόνο για να προσαρμόσουν τις δομές τους και να υιοθετήσουν τις απαραίτητες τεχνολογίες και διαδικασίες. Παράλληλα, η συμμόρφωση αναμένεται να συμβάλει στη βελτίωση της ανθεκτικότητας του τομέα, διασφαλίζοντας τη βιωσιμότητα και την εμπιστοσύνη στο ευρωπαϊκό χρηματοοικονομικό σύστημα.