DORA تجعل المرونة الرقمية حقيقة: لائحة الاتحاد الأوروبي بشأن المرونة التشغيلية للصناعة المالية
“دورا” تضع مقدمي خدمات تكنولوجيا المعلومات والاتصالات تحت المراقبة المباشرة لسلطات الرقابة المالية في الاتحاد الأوروبي
يعد مقترح قانون المرونة التشغيلية الرقمية للاتحاد الأوروبي (DORA) بمثابة تغيير في قواعد اللعبة في إدارة المخاطر.
لقد أدى التحول الرقمي للصناعة المالية إلى نظام بيئي مترابط ومترابط للغاية، مما ينطوي على مخاطر نظامية عبر الصناعة. في العصر الرقمي، لا يمكن لأي منظمة مالية واحدة أن تعمل ككيان مستقل.
ومن خلال DORA، تعترف الهيئات التنظيمية في الاتحاد الأوروبي باعتماد المنظمات المالية المتزايد على تكنولوجيا المعلومات والاتصالات ومقدمي الخدمات السحابية.
ولذلك، فإن مقترح تنظيم المرونة الرقمية يعالج المخاوف المتعلقة بالمخاطر النظامية المحتملة الناجمة عن الدور البارز لمقدمي خدمات تكنولوجيا المعلومات والاتصالات المهمين في الصناعة المالية.
يتحرك المنظمون للمشاركة المباشرة والفعالة للتخفيف من المخاطر النظامية التي يمكن أن تؤثر على الصناعة.
وبموجب اقتراح التنظيم، سيكون لإحدى السلطات الإشرافية الأوروبية للخدمات المالية (EBA، ESMA، EIOPA) إشراف مباشر على مقدمي خدمات تكنولوجيا المعلومات والاتصالات لتعزيز المرونة الرقمية الشاملة للصناعة المالية.
والسبب الأساسي، كما هو موضح في مقترح DORA، هو أن “إن الرقمنة والمرونة التشغيلية في القطاع المالي وجهان لعملة واحدة .
تعزيز أمن الكيانات المالية خارج نطاق الطوب وقذائف الهاون
لقد اضطرت المؤسسات المالية إلى إعادة تصميم نماذج التشغيل الخاصة بها لتلبية متطلبات عملائها من الحلول المبتكرة والشخصية، مما يوفر تجربة عملاء سلسة في الوقت الفعلي.
تعد تجربة القنوات المتعددة حاجة موحدة للعملاء النهائيين وللتفاعلات بين الشركات. يرغب المستهلكون في الوصول إلى خدماتهم المالية من كل مكان وفي أي وقت، ويريدون تجربة عملاء سريعة وسلسة.
وفي الوقت نفسه، أدى الطلب على السرعة والحاجة إلى تحسين تكاليف التشغيل المرتفعة إلى دفع الكيانات المالية إلى نشر بنيات أكثر تقدمًا وقابلة للتطوير.
في استطلاع أجرته IDC مؤخرًا، قال 94% من مؤسسات FSI التي استجابت إنها تستخدم الخدمات السحابية ( استطلاع IDC Industry Acceleration Survey ، أبريل 2021، العدد = 197 FSI).
وبينما كان التحول الرقمي مستمرًا بالفعل، فقد عزز فيروس كورونا (COVID-19) هذا الاتجاه.
لقد اعتاد العملاء على التفاعلات عن بعد مع مورديهم، واضطرت المؤسسات إلى التعامل مع القيود الصارمة التي شكلت تحديًا لـ “العمل كالمعتاد”.
في الماضي، كان العمل عن بعد حكراً على بعض الشركات التطلعية. خلال الجائحة، أثبتت ترتيبات أماكن العمل المختلطة أنها عوامل تمكين قوية لاستمرارية الأعمال وأصبحت الآن واسعة الانتشار.
أدى التحول الرقمي للمؤسسات المالية إلى نظام بيئي للبنية التحتية الرقمية يتضمن أيضًا نهجًا شاملاً لإدارة المخاطر.
ولهذا السبب، أدخلت الهيئات التنظيمية في الاتحاد الأوروبي نقلة نوعية لتوسيع نطاق إشرافها على النظام البيئي للبنية التحتية الرقمية عبر جميع مكونات البنية التحتية الرقمية الموزعة (نقطة ضعف محتملة في السلسلة الأمنية).
والغرض من ذلك هو تعزيز مرونة الصناعة المالية بشكل عام من خلال اتباع نهج شامل يشمل الرقابة الشاملة على المخاطر التشغيلية.
من يتأثر بـ DORA؟
تنطبق DORA على جميع الكيانات المالية في الاتحاد الأوروبي وعلى مقدمي خدمات تكنولوجيا المعلومات والاتصالات الذين يخدمون الصناعة.
إن تعريف الكيانات المالية بموجب مقترح DORA واسع للغاية ويشمل جميع أنواع اللاعبين في الصناعة المالية، من البنوك ومؤسسات الائتمان إلى مؤسسات الدفع وصناديق التقاعد وشركات التأمين وشركات الاستثمار وجميع اللاعبين في أسواق رأس المال.
وينطبق اقتراح DORA أيضًا على مقدمي خدمات تكنولوجيا المعلومات والاتصالات المهمين من الأطراف الثالثة، على النحو المحدد في اللائحة، الذين يخدمون الصناعة المالية ويمكن أن يكون لهم تأثير نظامي على تقديم الخدمات المالية في أوروبا.
الركائز الخمس لمقترح DORA
ويمكن تجميع المتطلبات التنظيمية الرئيسية في خمس ركائز: إدارة مخاطر تكنولوجيا المعلومات والاتصالات، واختبار المرونة التشغيلية الرقمية، ومخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات، والإبلاغ الإلزامي عن الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات وتبادل المعلومات الطوعية.
- إدارة المخاطر: ينبغي أن يكون لدى الكيانات المالية إطار قوي وموثق جيدًا لإدارة مخاطر تكنولوجيا المعلومات والاتصالات لتحقيق قدر أكبر من المرونة التشغيلية الرقمية بشكل فعال.
- ومن خلال اعتماد نهج قائم على المخاطر، يجب أيضًا أن تأخذ سياسات استمرارية الأعمال وخطط التعافي من الكوارث الخاصة بالكيانات المالية في الاعتبار الوظائف الرئيسية التي تم الاستعانة بمصادر خارجية أو يتم تسليمها من خلال ترتيبات مع مقدمي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة.
- الإبلاغ عن الحوادث: يدرك المنظمون مدى صعوبة تلبية الكيانات المالية لجميع متطلبات الإبلاغ الإلزامية عن الحوادث، الناشئة عن جميع القواعد واللوائح (GDPR، وNIS، وe-IDAS، وSSM، وPSD2، وما إلى ذلك) التي يمكن تطبيقها عند معالجة حادث ما. حادث واحد يتعلق بتكنولوجيا المعلومات والاتصالات. ويتوقع مقترح DORA تنسيق محتوى التقارير ونماذجها. ويتصور المنظمون أيضًا مركزية الإبلاغ عن الحوادث الكبرى المتعلقة بتكنولوجيا المعلومات والاتصالات وسيقومون بالتحقيق في جدوى إنشاء مركز واحد للاتحاد الأوروبي للإبلاغ عن الحوادث الكبرى المتعلقة بتكنولوجيا المعلومات والاتصالات من قبل الكيانات المالية.
- اختبار المرونة التشغيلية الرقمية: يجب على الكيانات المالية تنفيذ برنامج شامل لاختبار المرونة التشغيلية الرقمية سنويًا على الأقل. يتضمن اقتراح DORA أيضًا بندًا محددًا يتطلب من الكيانات المالية ضمان مشاركة مقدمي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة في اختبار المرونة التشغيلية الرقمية الخاصة بهم حيثما أمكن ذلك. وينبغي أيضًا إجراء اختبار الاختراق القائم على التهديدات، والذي يتعين على الكيانات المالية إجراؤه كل ثلاث سنوات على الأقل، بمشاركة مباشرة من مقدمي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة ذات الصلة.
- مخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات: يجب أن تدير الكيانات المالية مخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات باعتبارها جزءًا لا يتجزأ من إطار إدارة مخاطر تكنولوجيا المعلومات والاتصالات. ستقوم DORA بوضع مقدمي خدمات تكنولوجيا المعلومات والاتصالات المهمين من الأطراف الثالثة تحت الإشراف المباشر لإحدى السلطات الإشرافية الأوروبية الثلاث التي تشرف على الصناعة المالية.
- تبادل المعلومات: مع اعتراف الجهات التنظيمية في DORA بأهمية استغلال النظام البيئي الغني بالبيانات لتعزيز قدرات منع الحوادث والاستجابة لها في الصناعة المالية، والتغلب على العوائق التنظيمية الحالية التي أعاقت ذلك. يشجع الاقتراح الكيانات المالية على مشاركة معلومات واستخبارات التهديدات السيبرانية لتعزيز المرونة التشغيلية الرقمية للصناعة. ينبغي أن يتم التبادل الطوعي للمعلومات من خلال ترتيبات جيدة التنظيم لتبادل المعلومات داخل المجتمعات الموثوقة. وسيُطلب من الكيانات المالية أيضًا إخطار سلطاتها المختصة بمشاركتها في ترتيبات تبادل المعلومات هذه، حتى تتمكن السلطات الإشرافية من ضمان التوازن المناسب بين الأمن السيبراني وحماية الخصوصية.
ومن الجدير بالذكر أيضًا بند DORA بموجب المادة. 28، الذي ينص على أنه “لا يجوز للكيانات المالية الاستفادة من مقدم خدمة طرف ثالث لتكنولوجيا المعلومات والاتصالات تم تأسيسه في بلد ثالث والذي سيتم تصنيفه على أنه بالغ الأهمية بموجب (…) إذا تم تأسيسه في الاتحاد.”
ما هي المخاطر التي يواجهها مقدمو خدمات الطرف الثالث لتكنولوجيا المعلومات والاتصالات؟
ستقوم DORA بإخضاع مقدمي خدمات الطرف الثالث المهمين في مجال تكنولوجيا المعلومات والاتصالات للرقابة المباشرة من قبل السلطات الإشرافية المالية في الاتحاد الأوروبي.
ستقوم اللجنة المشتركة للسلطات الإشرافية الأوروبية بتحديد وإدراج مقدمي خدمات الطرف الثالث لتكنولوجيا المعلومات والاتصالات المعينين الذين يمثلون أهمية كبيرة للكيانات المالية.
سيحتاج كل مزود لتكنولوجيا المعلومات والاتصالات إلى التحقق مما إذا كانت منظمته من بين مقدمي الخدمة المعينين.
إذا كان الأمر كذلك، فسيتعين عليهم تلبية جميع متطلبات DORA ومساعدة عملائهم على الالتزام بها. إذا لم يكن الأمر كذلك، فيمكن لمزود تكنولوجيا المعلومات والاتصالات التقدم بطلب إلى اللجنة المشتركة لإدراجه في القائمة.
ما هو التأثير على الكيانات المالية؟
تضع DORA العلاقة بين الكيانات المالية وشركائها في مجال التكنولوجيا في ضوء جديد لمعالجة المتطلبات التنظيمية بشكل مشترك.
يجب على الكيانات المالية ومقدمي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة زيادة تعاونهم لمعالجة تنظيم الاتحاد الأوروبي القادم.
تحتاج الكيانات المالية إلى طمأنة مقدمي الخدمات بأنهم شركاء مؤهلون لإعدادهم للتحول النموذجي. وبدون هذه الطمأنينة، ستحتاج الكيانات المالية إلى البحث عن مقدمي خدمات بديلين.
المصدر: idceurope
قد يهمك:
