قانون انعطاف پذیری عملیاتی دیجیتال – به طور خلاصه DORA – که توسط کمیسیون اروپا برنامه ریزی شده شامل بسیاری از مقررات جدید است. هدف آنها استاندارد سازی ثبات عملیاتی دیجیتال در بخش مالی در سطح اتحادیه اروپا است. این قانون بر شرکت های مالی و ارائه دهندگان ICT شخص ثالث (به عنوان مثال ارائه دهندگان ابر) تأثیر می گذارد. مقدمه احتمالاً فقط در طی یک یا دو سال مشخص خواهد بود ، اما مبتلایان باید اکنون اقدام کنند تا بعداً بتوانند همه شرایط را برآورده کنند.
در 24 سپتامبر 2020 ، کمیسیون اروپا پیش نویس آیین نامه جدیدی را منتشر کرد که شامل یک دستورالعمل مرتبط – قانون مقاومت عملیاتی دیجیتال (DORA) . این طرح بخشی از بسته دیجیتالی سازی بخش مالی در اتحادیه اروپا است.
مقاومت عملیاتی دیجیتال چیست؟
ثبات عملیاتی دیجیتال توانایی شرکت های مالی برای راه اندازی عملیاتی است سیستم های دارای فناوری اطلاعات و بررسی کنید. تنوع مهارت های ICT با استفاده مستقیم یا غیرمستقیم از خدمات شخص ثالث تضمین می شود. شرایط لازم برای ایجاد امنیت کافی در شبکه و سیستم های اطلاعاتی مورد استفاده و پشتیبانی از ارائه بدون دردسر خدمات مالی است. فن آوری های اطلاعات و ارتباطات (ICT) نباید با اختلالات عملیاتی (به عنوان مثال حملات سایبری یا نقص فنی) به خطر بیفتد. بنابراین ، شرکت های مالی باید برای مقابله با حوادث و آسیب های قابل تصور در IT آماده باشند. (بر اساس: EUR-lex)
DORA پیش شرط هایی را برای افزایش ثبات عملیاتی دیجیتال در اتحادیه اروپا ایجاد می کند.
چرا DORA مهم است؟
تحول دیجیتال و ICT فرصت ها و خطرات را فراهم می کند. تهدیدهای بالقوه بزرگترین چالش برای ثبات عملیاتی شرکتهای مالی و انعطاف پذیری کل سیستم مالی اتحادیه اروپا است. اخلال در فناوری اطلاعات و ارتباطات در بخش مالی تأثیر مستقیم و گسترده ای بر فرایندهای تجاری دارد. اعم از اینکه بانکی بصورت آنلاین سرقت شود ، خودپرداز دست به اعتصاب می زند یا بانکداری آنلاین از کار می افتد ، گزارش های مداوم از حملات سایبری و خرابی سیستم نشان می دهد که پیشرفت های زیادی در زمینه امنیت ICT وجود دارد. به عنوان مثال ، طبق گفته هندلزبلات ، بیش از 300 نقص فناوری اطلاعات در سال 2018 گزارش شده است. و در یک برگه اطلاعاتی از کمیسیون اروپا در مورد استراتژی مالی دیجیتال آمده است که تعداد حملات سایبری در طی بیماری همه گیر تاج 38 درصد افزایش یافته است. همانطور که finanz-szene.de گزارش داد ، اخیراً یک حمله جدی DDos در محیط بانکی مشارکتی شناخته شد که منجر به اختلال عمده IT شد.
چنین حوادثی نه تنها در آلمان ، بلکه در تمام کشورهای اتحادیه اروپا اتفاق می افتد. به دلیل وابستگی تنگاتنگ جهان مالی اروپا ، برای تقویت امنیت ICT با توجه به ثبات عملیاتی دیجیتال ، مقررات یکنواختی لازم است . تاکنون فقط مقررات ملی و مفاهیم نظارتی وجود داشته است. برخی از کشورها فرآیندها و اقدامات را به روشی اجباری تنظیم می کنند که در سایر کشورها داوطلبانه است. علاوه بر این ، استانداردهای مختلف گزارشات و تعاریف اعمال می شود. این امر همچنین همکاری مرزی را دشوارتر می کند. همپوشانی ، عدم انطباق یا الزامات مضاعف در حفظ ثبات عملیاتی و امنیت ICT (به عنوان مثال محافظت در برابر حملات سایبری) وجود دارد.
DORA چیست و اهداف قانونی چیست؟
مقامات نظارت بر امور مالی ملی در اتحادیه اروپا و مقامات نظارتی اروپا می خواهند از قانون مقاومت عملیاتی دیجیتال برای افزایش حمایت از شرکت ها در بخش و قوانین برای ثبات عملیاتی دیجیتال در اتحادیه اروپا (اتحادیه اروپا) استفاده کنند ) متحد . DORA اجازه می دهد تا hodgepodge مقررات مختلف قانونی در مورد امنیت فناوری اطلاعات سرانجام در یک عمل قانونی بسته شود. این امر مدیریت ریسک ICT شرکت های مالی را بهبود می بخشد و عواقب منفی حوادث ICT را محدود می کند.
تعهد به ممیزی سیستم های ICT به منظور آگاهی نهادهای نظارتی از خطر خطرات سایبری و حوادث ICT است. این مفهوم برای مقامات نظارتی مالی (به عنوان مثال مقام بانکی اروپا ، EBA) مسئولیت های یکسان و اختیارات گسترده ای در نظر گرفته شده است. شما می توانید به بهترین وجه ریسک های ناشی از اعتماد شرکت های مالی به ارائه دهندگان ICT شخص ثالث را کنترل کنید. پیش نویس قانون شرایط یکسان چارچوبی را برای کل بخش مالی ایجاد می کند. استانداردها و روشهای قابل اجرا خطرات را به حداقل می رساند. بنابراین DORA امکان افزایش رقابت و نوآوری بخش مالی اروپا را فراهم می کند. در همان زمان ، خطرات احتمالی کاهش می یابد.
سه هدف اصلی DORA:
- 1. هدف: متحد کردن استانداردها و مشخصات موجود اروپا و ملی به منظور پایان دادن به الزامات تکراری و مقررات ناسازگار برای شرکت های مالی فعال در سراسر اروپا.
- 2. هدف: برای اطمینان از که شرکت های مالی تمام اقدامات لازم را برای محافظت در برابر خطرات و حملات سایبری انجام می دهند. برای این منظور ، DORA الزامات یکنواختی را برای مدیریت ریسک فناوری اطلاعات ، گزارش حوادث به مقامات نظارتی ، اجرای آزمایشات تاب آوری و کنترل و نظارت بر ارائه دهندگان ICT شخص ثالث فرموله می کند.
- 3. هدف: ایجاد یک چارچوب قانونی برای نظارت مستقیم بر ارائه دهندگان فناوری اطلاعات شخص ثالث توسط مقامات نظارتی هنگام کار در شرکت های مالی. انتظار می رود که DORA طی 12 تا 18 ماه آینده در پارلمان اروپا مورد مذاکره قرار گیرد ، این قانون مطمئناً تا سال 2022 یا بعد از آن لازم الاجرا نخواهد بود.
DORA چه کسی را تحت تأثیر قرار می دهد؟
این مقررات به طور یکسان برای همه اعمال می شود شرکتهای مالی تحت نظارت در کشورهای عضو اتحادیه اروپا.
مطابق ماده 2 (1) ، دامنه کاربرد شامل احزاب زیر است:
- شرکتهای مالی مانند موسسات اعتباری و پرداخت ، م institutionsسسات مالی ، شرکتهای سرمایه گذاری ، ارائه دهندگان خدمات رمزنگاری ، شرکتهای مدیریتی ، مکانهای تجاری ، ثبت های مختلف ، شرکتهای بیمه و واسطه ها ، آژانسهای رتبه بندی ، شرکتهای حسابرسی و غیره. و خدمات داده ، ارائه دهندگان ابر و نرم افزار ، خدمات تجزیه و تحلیل داده ها و مراکز داده
عواقب DORA برای شرکت های مالی و ارائه دهنده شخص ثالث چیست؟
ارائه دهنده شخص ثالث ITK [همچنینارائهدهندگانشخصثالثیابهطورخلاصهTPP)بیشتردرحالتمرکزباDORAهستندمانندشرکتهایمالی،تأمینکنندگانبهعنوانبخشیازتلاشخودبرایدیجیتالیسازی،زیرساختهارانیزپیشمیبرندآنهاشبکههاوسیستمهاییرابرایارائهخدماتخودایجادمیکننداینبهمعنایسطححملهبیشتربرایحملاتسایبریوافزایشخطربرایخودوشرکتهایمالیاست
با DORA ، ارائه دهندگان شخص ثالث در ارزیابی ریسک فاوا ادغام می شوند. علاوه بر این ، مجوزهای جدید در برابر ارائه دهندگان برای شرکت های مالی و مقامات نظارتی آغاز می شود ، مجازات هایی تعیین می شود و گزینه های جدید خاتمه برای عدم رعایت موارد ایجاد می شود. در مورد تأمین کنندگان شخص ثالث حیاتی (کلیه تأمین کنندگانی که شکست تجاری برای آنها اثرات سیستمیکی روی شرکت مالی دارد ، به عنوان مثال ارائه دهندگان ابر) ، فقط تأمین کنندگان با حضور تجاری در اتحادیه اروپا مجاز به ورود به سیستم هستند چارچوب برون سپاری.
به عنوان یک ارائه دهنده راه حل ابری مدیریت شده ، مقررات جدید همچنین بر Adacor تأثیر می گذارد. با داشتن دفتر مرکزی در آلمان و فعالیت ایمن منحصراً در مراکز داده آلمان ، ما شرایط فوق الذکر را برآورده می کنیم. ما به شرکت های مالی خدمات ابری ایمن ، با عملکرد بالا و سازگار با مقررات ارائه می دهیم و استفاده از آنها را مطابق با قرارداد برون سپاری مطابق با کلیه شرایط BaFin و سازمان بانکی اروپا (EBA) تضمین می کنیم. هنگام ارائه خدمات ، ما نیازهای MaRisk ، MaComp ، BAIT / VAIT ، برون سپاری اساسی مطابق با KWG ، دستور نمایندگان اتحادیه اروپا 2017/565 و DORA را برآورده می کنیم تا به عنوان بخشی از مدیریت ریسک با همه منابع خارجی و جابجایی اعلام شود ( برون سپاری زیرمجموعه) و گزارش پیش فعالانه برون سپاری حیاتی. مطابق پیشنهاد کمیسیون اتحادیه اروپا ، کلیه توافق نامه های برون سپاری موجود باید به اندازه کافی مستند شده باشد.
برای شرکت های مالی ، DORA همچنین به معنی تعدادی از الزامات جدید است. اکثر بانک ها ، شرکت های فین تک ، شرکت های بیمه و مواردی از این قبیل باید در مدیریت ریسک تجدید نظر کنند. به عنوان مثال ، برای جلوگیری از تمرکز خطر ، بسیاری از آنها باید ارائه دهندگان موجود خود را بررسی کرده و ارائه دهندگان مهم ICT شخص ثالث را فیلتر کنند. در مورد ارائه دهندگان شخص ثالث که شرایط جدید را ندارند ، ممکن است تغییر ارائه دهنده خدمات در نظر گرفته شود.
یک امر مهم جدید افسر برون سپاری اجباری است. با این مسئولیت ، مسئولیت های زیادی در زمینه امنیت ICT الزام آور است انتقال به مدیریت (به عنوان مثال در هیئت اجرایی):
- تعیین تحمل خطر
- تعریف مسئولیت ها با مرجع IT
- تصویب برنامه های تداوم تجارت و بازیابی فاجعه
- تصویب برنامه های حسابرسی
- تخصیص بودجه مناسب
- الزام به اطلاع كافی در مورد تجارت با اشخاص ثالث و حوادث
برای اینكه اعضای این مدیریت بتوانند به طور كافی انجام دهند ، در آینده موظف به قانون برای داشتن آموزش مقدماتی ریسک. این فراتر از تعهدات آموزش قبلی برای مدیریت ارشد است.
با استفاده از DORA ، شرکت های مالی موظف به تدوین استراتژی ها و برنامه های اضطراری برای ادامه فعالیت های تجاری هستند. حتی شرکتهایی که قبلاً بسیاری از الزامات مدیریت ریسک ICT را برآورده کرده اند باید تأیید کنند که استراتژیها و برنامه های پاسخ و بازیابی آنها مطابق با قوانین توسعه یافته است. سایر قربانیان یک حادثه ICT را نیز شامل شود. این امکان فاش کردن مسئولانه حوادث ICT از هر نوع را فراهم می کند. این قانون حقوقی معیارهای مشخصی را ارائه می دهد که براساس آن می توان حوادث ICT را طبقه بندی کرد. یک حادثه مهم IT باید در صورت تأثیر منافع آنها به طور متمرکز و در مهلت های مشخص شده به مقام مسئول و به کاربران گزارش شود.
برای افزایش آگاهی از خطرات ICT ، مهار گسترش ، اقدامات متقابل شرکت های مالی و ارتقا فن آوری هایی که با استفاده از آنها می توان تهدیدها را در مراحل اولیه تشخیص داد ، شرکت های مالی می توانند در آینده برای تبادل اطلاعات در مورد تهدیدات سایبری به توافق برسند.
DORA به معنای هزینه های بالاتر برای شرکت های مالی و تأمین کنندگان شخص ثالث است. با این حال ، این ابتکار همچنین فرصتی را برای افزایش امنیت ICT در بخش مالی و در عین حال کاهش خطرات حملات سایبری فراهم می کند.
شرکت های مالی و ارائه دهندگان شخص ثالث باید اکنون اقدام کنند
به عنوان بخشی از رقمی سازی تلاش در بخش مالی ، استفاده از ICT نیز بسیار مهم است. فرآیندهای دیجیتال را می توان در همه جا در امور مالی یافت: به عنوان مثال ، پرداخت بدون پول از طریق بانکداری آنلاین ، ارائه خدمات خاص مالی از طریق برنامه ، تجارت الکترونیکی بورس اوراق بهادار یا پردازش وام و تأمین مالی از طریق اینترنت. علاوه بر تحول دیجیتال ، فناوری های جدید باعث ایجاد شبکه ها و وابستگی ها در داخل صنعت و همچنین زیرساخت های شخص ثالث می شوند.
DORA چالش های مرتبط را بر عهده می گیرد و بر اساس هدف تحکیم الزامات مربوط به ICT است. خطرات ، که تا کنون در احکام و دستورالعمل های جداگانه تا به امروز به طور جداگانه با آنها برخورد شده است.
این قانون حقوقی جدید همچنین آداکور را تحت تأثیر قرار می دهد. ما به عنوان یک ارائه دهنده راه حل مدیریت شده ابر باتجربه ، سالهاست که از موسسات مالی با برون سپاری قابل توجه و ناچیز پشتیبانی می کنیم و در حال حاضر تمام اقدامات شناخته شده را با توجه به قانون مقاومت عملیاتی دیجیتال انجام می دهیم. خواسته های مطرح شده از شرکت های مالی و ارائه دهندگان ICT شخص ثالث را نباید دست کم گرفت. بنابراین ، با توجه به تغییرات عظیم حقوقی ، ما توصیه می کنیم که شرکتهای مربوطه در حال حاضر خود را تا حد امکان انتقادی مورد بررسی قرار دهند و تغییرات را در زمان مناسب آغاز کنند.
اطلاعات بیشتر در مورد مقررات جدید DORA و برنامه FISG (قانون تقویت یکپارچگی بازار مالی) را می توانید در مقاله ما بانکداری و ابر: Adacor تمام الزامات DORA و FISG را برآورده می کند.
.
