Incepand cu ianuarie 2025, entitatile financiare din Uniunea Europeana vor trebui sa se conformeze Regulamentului privind Rezilienta Operationala Digitala (DORA - Digital Operational Resilience Act*). Aceasta face parte dintr-o initiativa mai larga a Uniunii Europene de a consolida rezilienta sectorului financiar in fata riscurilor cibernetice si a atacurilor digitale. DORA impune noi standarde riguroase pentru gestionarea riscurilor tehnologice, in special in ceea ce priveste securitatea cibernetica, continuitatea afacerilor si gestionarea furnizorilor terti de servicii IT.

DORA a fost conceputa ca raspuns la cresterea dependentei industriei financiare de tehnologia digitala si la vulnerabilitatile asociate acesteia. Riscurile cibernetice au devenit una dintre principalele amenintari la adresa stabilitatii financiare, iar incidentele majore de securitate pot avea efecte devastatoare asupra bancilor, companiilor de asigurari si altor institutii financiare.

Directiva stabileste un cadru unificat pentru gestionarea riscurilor tehnologice si impune standarde de raportare si gestionare a incidentelor cibernetice. Pe de alta parte, reglementeaza relatiile dintre entitatile financiare si furnizorii de servicii IT critici si determina un comportament responsabil, in sensul testarii regulate a rezilientei operationale digitale a organizatiilor din domeniul financiar-bancar. Chiar daca riscuri de siguranta cibernetica exista, practic, in absolut toate domeniile de activitate, impactul cel mai mare este in zona economica, iar dintre toate segmentele si organizatiile, riscurile majore sunt associate, si pot determina consecinte aproape imprevizibile, in zona financiara.

Legea privind rezilienta operationala digitala (DORA) este un regulament UE care a intrat in vigoare la 16 ianuarie 2023 si se va aplica incepand cu 17 ianuarie 2025. Acesta vizeaza consolidarea securitatii informatice a entitatilor financiare precum bancile, societatile de asigurari si firmele de investitii si asigurarea faptului ca sectorul financiar din Europa este capabil sa ramana rezilient in cazul unei perturbari operationale grave. DORA aduce armonizarea normelor referitoare la rezilienta operationala pentru sectorul financiar, aplicandu-se la 20 de tipuri diferite de entitati financiare si furnizori de servicii TIC terti.

Sectorul financiar, ca de altfel, toate sectoarele economiei globale, este din ce in ce mai dependent de tehnologie si de furnizorii de solutii tehnologice care lucreaza pentru segmentul serviciilor financiare. Prin urmare, entitatile financiare sunt supuse unor riscuri din ce in ce mai mari de incidente cibernetice, asa-numitele  riscuri TIC, care pot determina perturbarea majora a serviciilor financiare oferite la nivel transfrontalier. Acest lucru, la randul sau, poate avea un impact asupra altor companii, sectoare si chiar asupra restului economiei, ceea ce subliniaza importanta rezilientei operationale digitale a sectorului financiar.

Regulamentul privind rezilienta operationala digitala sau DORA  acopera o serie de aspect, astfel:

Practic, cadrul pe care Regulamentul DORA il redeseneaza vizeaza nivelul urmator al soliditatii unei entitati financiare, prin aceea ca aceasta isi va mentine operatiunile reziliente si in cazul unor perturbari operationale grave cauzate de probleme de securitate cibernetica si de tehnologia informatiei si comunicatiilor (TIC).

Tocmai prin aparitia si, bineinteles, implementarea unui cadru de reguli  de supraveghere unic pentru toti jucatorii din pietele financiare nationale si europene, DORA asigura convergenta si armonizarea practicilor de securitate si rezilienta in cadrul firmelor care isi desfasoara activitatea in Uniunea Europeana (UE).Cine sunt acesti jucatori care sunt obligati sa se inscrie regulilor DORA? Vorbim despre institutii de credit, institutii de plata, furnizori de servicii de informatii privind conturile, institutii emitente de moneda electronica, firme de investitii, societati de asigurari, furnizori de servicii de valori mobiliare criptografice, burse si case de compensare, administratori de fonduri alternative, societati de pensii, agentii de rating de credit, furnizorilor de servicii financiare, procesatorilor de plati si companii fintech, furnizori terti de servicii IT si tehnologii financiare. Si, le-am enumerat doar pe cele principale.

Estimarile actuale arata ca DORA se va aplica pentru cel putin 22.000 de entitati financiare si furnizori de servicii TIC care isi desfasoara activitatea in UE, precum si infrastructurii TIC care le sustine, din afara UE. Regulamentul defineste foarte clar cerintele privind gestionarea consecventa a riscurilor TIC, capacitati cuprinzatoare de testare a rezilientei (inclusiv teste de penetrare bazate pe amenintari) si gestionarea riscurilor dinspre terti, asigurand o furnizare consecventa de servicii de-a lungul intregului lant de lucru.

Cerintele uniforme la nivelul UE ale DORA presupun ca institutiile financiare trebuie sa se asigure ca pot gestiona un nivel de maturitate coerent al TIC si al rezilientei cibernetice in toate operatiunile lor din UE. Mai mult, vor fi reziliente pe termen lung, intr-un context economic din ce in ce mai complicat, doar acele companii din sistemul financiar vor implementa si se vor pregati sa sustina pe termen lung prevederile DORA. Pentru ca, la fel de importante sau poate chiar mai importante sunt implicatiile financiare ale implementarii.

Odata ce au realizat conformarea cu Regulamentul DORA, institutiile financiare vor realiza permanent evaluari cuprinzatoare ale decalajelor fata de aceste prevederi, tocmai pentru a-si evalua nivelul de maturitate in raport cu DORA si pentru a identifica orice domenii care necesita investitii suplimentare si prioritizare. Astfel, acestea se vor afla intr-o pozitie mai buna pentru a aborda cerinte mai complexe, cum ar fi gestionarea riscurilor de catre terti, testarea avansata a rezilientei tehnologice, raportarea incidentelor si informatiile privind amenintarile.

DORA isi extinde, de asemenea, domeniul de aplicare pentru a include alte parti interesate din sectorul financiar, care pana in prezent nu au facut obiectul unei reglementari extinse privind securitatea TIC, de exemplu, furnizorii de servicii pentru active criptografice, intermediarii administratori de fonduri de investitii alternative, furnizorii de servicii de crowdfunding, furnizorii de servicii cloud si furnizorii de servicii TIC terti.

Daca era nevoie de inca un instrument, care sa puncteze clar si la obiect importanta si securitatea cibernetica, ca pilon esential de crestere sustenabila a economiilor europene, acesta este Regulametul DORA. Este, de altfel, si mesajul fostului premier al Italiei si ex-presedinte al Bancii Centrale Europene (BCE), Mario Draghi,  ca fiind una dintre cele 10 directii de urmat in perioada imediat urmatoare, pentru a relansa (unii spun chiar ”a salva”) moneda europeana: faptul ca securitatea cibernetica este noul subiect obligatoriu ce trebuie luat in calcul si adus pe masa de discutii a companiilor, atat in sedintele de board cat si in cadrul echipelor de management. 

Indiferent de industrie, putem spune ca, odata cu aplicarea DORA, majoritatea sectoarelor din UE au o reglementare de securitate cibernetica de care trebuie sa tina cont si pe care trebuie sa o aplice, astfel ca cybersecurity nu mai este un subiect doar pentru echipele de specialitate din cadrul companiei, ci o dimeniune noua, pe care top managementul organizatiilor trebuie sa o ia in calcul in procesul decizional.