Skip to content

Αρθρογραφία

Home
Χρήσιμα​
Ο Κανονισμός DORA (Digital Operational Resilience Act)

Ο Κανονισμός DORA (Digital Operational Resilience Act)

Ο Κανονισμός DORA (Digital Operational Resilience Act) , αποτελεί έναν ολοκληρωμένο νομικό πλαίσιο που στοχεύει στην ενίσχυση της ψηφιακής ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων της Ευρωπαϊκής Ένωσης.

Βασικό χαρακτηριστικό του παραπάνω Κανονισμού (ΕΕ) 2022/2554 είναι ότι αντιμετωπίζει τους κινδύνους των Τεχνολογιών Πληροφοριών και Επικοινωνιών (ΤΠΕ), αναγνωρίζοντας ότι, τα συμβάντα ΤΠΕ και η έλλειψη επιχειρησιακής ανθεκτικότητας, μπορούν να απειλήσουν τη σταθερότητα του χρηματοπιστωτικού συστήματος.

Κύριοι πυλώνες του κανονισμού DORA είναι:

  • Η διαχείριση κινδύνων Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ),
  • Η διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ,
  • Οι δοκιμές ψηφιακής λειτουργικής ανθεκτικότητας,
  • Η διαχείριση και αναφορά περιστατικών ΤΠΕ, και
  • Η ανταλλαγή πληροφοριών για κυβερνοαπειλές.
Πεδίο Εφαρμογής και Υπόχρεες Οντότητες

Ο κανονισμός DORA τέθηκε σε ισχύ στις 17 Ιανουαρίου 2025 και εφαρμόζεται σε ένα φάσμα χρηματοπιστωτικών οντοτήτων, συμπεριλαμβανομένων των πιστωτικών ιδρυμάτων, ασφαλιστικών εταιρειών, επενδυτικών εταιρειών, διαχειριστών συλλογικών επενδύσεων, εταιρειών διαχείρισης περιουσίας, εταιρειών ηλεκτρονικού χρήματος, και άλλων παρόχων χρηματοπιστωτικών υπηρεσιών που δραστηριοποιούνται εντός της ΕΕ.

Επιπλέον, ο κανονισμός επεκτείνεται και στους παρόχους υπηρεσιών ΤΠΕ τρίτων μερών που παρέχουν υπηρεσίες σε χρηματοπιστωτικές οντότητες, οι οποίοι υπόκεινται σε εποπτεία όταν πληρούν συγκεκριμένα κριτήρια κρισιμότητας.

Τέλος, η συγκεκριμένη προσέγγιση εξασφαλίζει ότι όλη η αλυσίδα αξίας των χρηματοπιστωτικών υπηρεσιών καλύπτεται από τις απαιτήσεις ψηφιακής ανθεκτικότητας.

Διαχείριση Κινδύνων Τεχνολογιών Πληροφορικής και Επικοινωνιών (ICT Risk Management)

Σύμφωνα με το άρθρο 6 του κανονισμού DORA, η πρωταρχική υποχρέωση των χρηματοπιστωτικών οντοτήτων, είναι η εγκαθίδρυση και διατήρηση ενός ολοκληρωμένου πλαισίου διαχείρισης κινδύνων ΤΠΕ.

Το πλαίσιο αυτό πρέπει να περιλαμβάνει στρατηγικές, πολιτικές, διαδικασίες, πρωτόκολλα ΤΠΕ και εργαλεία που μετριάζουν τον κίνδυνο και προστατεύουν τις πληροφορίες και τα περιουσιακά στοιχεία ΤΠΕ.

Επιπλέον, οι οντότητες οφείλουν να διασφαλίζουν την αξιοπιστία και ανθεκτικότητα των συστημάτων ΤΠΕ μέσω συνεχούς παρακολούθησης και αξιολογήσεων καθώς και με την εφαρμογή μέτρων ασφαλείας καιανάπτυξη σχεδίων ανάκαμψης από καταστροφές (DRPs) και επιχειρησιακής συνέχειας (BCPs).

Η τεκμηρίωση του πλαισίου είναι υποχρεωτική και πρέπει να αναθεωρείται ετησίως. Απαιτούνται επίσης ανεξάρτητες λειτουργίες διαχείρισης κινδύνων και συνεχής εκπαίδευση του προσωπικού.

Διαχείριση Κινδύνων Τρίτων Παρόχων ICT (ICT Third-Party Risk Management)

Ο δεύτερος πυλώνας του κανονισμού DORA εστιάζει στη διαχείριση των κινδύνων που απορρέουν από την εξάρτηση των χρηματοπιστωτικών οντοτήτων από τρίτους παρόχους υπηρεσιών ΤΠΕ.

Οι χρηματοπιστωτικές οντότητες υποχρεούνται να εγκαθιδρύσουν ένα σφαιρικό σύστημα διαχείρισης συμβάντων ΤΠΕ που να εξασφαλίζει την έγκαιρη ανίχνευση, καταγραφή και αξιολόγηση των συμβάντων.

Εξάλλου, το σύστημα πρέπει να περιλαμβάνει σαφείς διαδικασίες ανταπόκρισης, αποκατάστασης και συνέχισης των επιχειρηματικών λειτουργιών, ενώ ιδιαίτερη σημασία αποδίδεται στην αναφορά των μεγάλων συμβάντων ΤΠΕ προς τις αρμόδιες εποπτικές αρχές.

Περαιτέρω, οι οντότητες οφείλουν να διαθέτουν προκαθορισμένα κριτήρια για τον προσδιορισμό του τι συνιστά μεγάλο συμβάν και να διασφαλίζουν ότι οι αναφορές υποβάλλονται εντός των προβλεπόμενων χρονικών πλαισίων.

Τέλος, η παραπάνω υποχρέωση αυτή επεκτείνεται και στη διατήρηση λεπτομερών αρχείων όλων των συμβάντων ΤΠΕ, ανεξάρτητα από την κρισιμότητά τους, προκειμένου να διευκολύνεται η ανάλυση τάσεων και η βελτίωση των μέτρων πρόληψης.

Δοκιμές Ψηφιακής Λειτουργικής Ανθεκτικότητας (Digital Operational Resilience Testing)

Σύμφωνα με τα άρθρα 24 και 25 του κανονισμού DORA, οι χρηματοπιστωτικές οντότητες πρέπει να εγκαθιδρύσουν και να διατηρήσουν ένα ολοκληρωμένο πρόγραμμα δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας για την αξιολόγηση της ετοιμότητας για συμβάντα σχετικά με ΤΠΕ και τον εντοπισμό αδυναμιών ή κενών στην ανθεκτικότητα.

Το πρόγραμμα πρέπει να περιλαμβάνει μια μεγάλη ποικιλία δοκιμών, από βασικές αξιολογήσεις ευπάθειας έως προηγμένες δοκιμές διείσδυσης και σενάρια κρίσης. Για τις σημαντικές οντότητες, προβλέπονται εξειδικευμένες δοκιμές ανθεκτικότητας βασισμένες σε απειλές (TLPT), οι οποίες προσομοιώνουν ρεαλιστικές κυβερνοεπιθέσεις.

Η συχνότητα και η έκταση των δοκιμών πρέπει να είναι ανάλογη με το προφίλ κινδύνου της οντότητας, ενώ τα αποτελέσματα πρέπει πρέπει να τεκμηριώνονται συστηματικά και να αναφέρονται στην ανώτατη διοίκηση και, όπου απαιτείται, στις αρμόδιες αρχές.

Οι εκθέσεις αυτές πρέπει να περιλαμβάνουν λεπτομερή ευρήματα, αξιολογήσεις κινδύνου και συστάσεις για διορθωτικά μέτρα. Οι χρηματοπιστωτικές οντότητες οφείλουν να εφαρμόζουν άμεσα διορθωτικά μέτρα για τυχόν αδυναμίες που εντοπίζονται και να παρακολουθούν την αποτελεσματικότητά τους.

Διαχείριση και Αναφορά Περιστατικών ICT (ICT-related Incident Management and Reporting)

Ο τέταρτος πυλώνας του κανονισμού DORA επικεντρώνεται στην αποτελεσματική διαχείριση και αναφορά των περιστατικών ΤΠΕ, αναγνωρίζοντας ότι, παρά τα προληπτικά μέτρα, τα περιστατικά είναι αναπόφευκτα.

Ο κανονισμός DORA επιβάλλει στις χρηματοπιστωτικές οντότητες την υποχρέωση να θεσπίσουν και να εφαρμόσουν μια σαφή, ολοκληρωμένη και αποτελεσματική διαδικασία διαχείρισης περιστατικών ΤΠΕ.

Ο πρωταρχικός στόχος αυτής της διαδικασίας είναι η ταχεία ανίχνευση, η αποτελεσματική διαχείριση, ο μετριασμός των επιπτώσεων και η έγκαιρη κοινοποίηση στις αρμόδιες αρχές.

Τέλος, η έγκαιρη και ακριβής αναφορά θεωρείται καθοριστικής σημασίας για την άμεση αντιμετώπιση του περιστατικού και την αξιολόγηση του συστημικού κινδύνου σε επίπεδο χρηματοπιστωτικού τομέα.

Διαδικασία Διαχείρισης Περιστατικών ICT

Κάθε χρηματοπιστωτική οντότητα πρέπει να διαθέτει καθορισμένη και τεκμηριωμένη διαδικασία διαχείρισης περιστατικών ΤΠΕ. Η συγκεκριμένη διαδικασία πρέπει να καλύπτει όλα τα στάδια του κύκλου ζωής ενός περιστατικού, από την ανίχνευση και την καταγραφή, έως την ανάλυση, τον περιορισμό, την εξάλειψη, την ανάκαμψη και την τελική αναφορά.

Στόχος είναι η ελαχιστοποίηση της ζημιάς, η διασφάλιση της συνέχειας των λειτουργιών και η ταχεία αποκατάσταση της κανονικής λειτουργίας. Η διαδικασία πρέπει να είναι επαρκώς τεκμηριωμένη, να αναθεωρείται τακτικά και να δοκιμάζεται, ώστε να διασφαλίζεται η αποτελεσματικότητά της σε πραγματικές συνθήκες, ως επίσης και να περιλαμβάνει την εκχώρηση σαφών ρόλων και ευθυνών, καθώς και την ανάπτυξη σχεδίων επικοινωνίας για την ενημέρωση των ενδιαφερόμενων μερών.

Ταξινόμηση Περιστατικών

Ο κανονισμός DORA απαιτεί από τις χρηματοπιστωτικές οντότητες να ταξινομούν τα περιστατικά ΤΠΕ βάσει συγκεκριμένων κριτηρίων, προκειμένου να καθορίζεται ο αντίκτυπός τους και οι αντίστοιχες υποχρεώσεις αναφοράς. Η ταξινόμηση αυτή είναι κρίσιμη, καθώς καθορίζει το επίπεδο σοβαρότητας και την ανάγκη για άμεση κοινοποίηση.

Τα περιστατικά ταξινομούνται ως «σημαντικά» ή «μη σημαντικά» με βάση παράγοντες όπως ο αριθμός των επηρεαζόμενων χρηστών, η διάρκεια της διακοπής, ο οικονομικός αντίκτυπος, η απώλεια δεδομένων, ο αντίκτυπος στη φήμη και στις κρίσιμες λειτουργίες.

Υποχρεώσεις Αναφοράς

Για τα σημαντικά περιστατικά ΤΠΕ, ο κανονισμός DORA επιβάλλει συγκεκριμένες υποχρεώσεις αναφοράς στις αρμόδιες αρχές, οι οποίες πρέπει να είναι έγκαιρες, ακριβείς και περιεκτικές, ενώ ταυτόχρονα επιδιώκεται η τυποποίηση των εντύπων και διαδικασιών αναφοράς σε ολόκληρη την ΕΕ, μέσω της ανάπτυξης κοινών προτύπων από τις Ευρωπαϊκές Εποπτικές Αρχές (ESAs).

Τέλος, οι χρηματοπιστωτικές οντότητες έχουν τη δυνατότητα να κοινοποιούν εθελοντικά σημαντικές κυβερνοαπειλές και τρωτά σημεία στις αρμόδιες αρχές.

Ανταλλαγή Πληροφοριών (Information Sharing)

Ο πέμπτος και τελευταίος πυλώνας του κανονισμού DORA αναγνωρίζει τη θεμελιώδη σημασία της συλλογικής άμυνας έναντι των κυβερνοαπειλών και ενθαρρύνει ενεργά την ανταλλαγή πληροφοριών και πληροφοριών για κυβερνοαπειλές μεταξύ των χρηματοπιστωτικών οντοτήτων. Σε ένα διασυνδεδεμένο ψηφιακό περιβάλλον, όπου οι απειλές εξελίσσονται συνεχώς και γίνονται όλο και πιο εξελιγμένες, η συνεργασία και ο διαμοιρασμός γνώσης είναι κρίσιμα για την ενίσχυση της συνολικής ανθεκτικότητας του χρηματοπιστωτικού συστήματος. Αυτή η ανταλλαγή συμβάλλει στην ενίσχυση της συνολικής ανθεκτικότητας, επιτρέποντας στις οντότητες να μαθαίνουν από τις εμπειρίες άλλων, να εντοπίζουν νέες απειλές και να προσαρμόζουν τις άμυνές τους προληπτικά.

Σκοπός της Ανταλλαγής Πληροφοριών

Ο κύριος σκοπός της ανταλλαγής πληροφοριών είναι η δημιουργία ενός κοινού πλαισίου κατανόησης των κυβερνοαπειλών, των τρωτών σημείων και των βέλτιστων πρακτικών για την αντιμετώπισή τους. Μέσω της ανταλλαγής δεικτών συμβιβασμού (Indicators of Compromise – IoCs), τακτικών, τεχνικών και διαδικασιών (Tactics, Techniques, and Procedures – TTPs) που χρησιμοποιούνται από τους αντιπάλους, καθώς και άλλων σχετικών πληροφοριών (π.χ., αναφορές περιστατικών, ευπάθειες λογισμικού), οι χρηματοπιστωτικές οντότητες μπορούν να βελτιώσουν σημαντικά την ικανότητά τους να ανιχνεύουν, να προλαμβάνουν και να ανταποκρίνονται σε κυβερνοεπιθέσεις.

Ρυθμίσεις Ανταλλαγής Πληροφοριών

Ο κανονισμός DORA προβλέπει ότι οι ρυθμίσεις ανταλλαγής πληροφοριών, είτε πρόκειται για επίσημες πλατφόρμες είτε για άτυπα δίκτυα, πρέπει να πληρούν συγκεκριμένες προϋποθέσεις για να διασφαλίζεται η ασφάλεια, η εμπιστευτικότητα και η αποτελεσματικότητα της ανταλλαγής.

Τέλος, η συμμετοχή σε τέτοιες ρυθμίσεις ανταλλαγής πληροφοριών δεν είναι υποχρεωτική για όλες τις χρηματοπιστωτικές οντότητες, αλλά ενθαρρύνεται έντονα από τον DORA, ειδικά για τις οντότητες που θεωρούνται κρίσιμες.

Το Δικηγορικό μας Γραφείο, για περισσότερα από 15 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σχετικά με τον Κανονισμό DORA .