Traffic_analyzer | Digitalvision Vectors | Getty Images
Przedsiębiorstwa świadczące usługi finansowe i ich dostawcy technologii cyfrowych stoją przed ogromną presją dostosowania się do nowych, rygorystycznych przepisów UE, które wymagają od nich zwiększenia cyberodporności.
Do początku przyszłego roku firmy świadczące usługi finansowe i ich dostawcy technologii będą musieli upewnić się, że działają zgodnie z nowym prawem Unii Europejskiej znanym jako DORA, Ustawa o odporności operacyjnej cyfrowej.
CNBC omawia wszystko, co musisz wiedzieć o ustawie DORA — między innymi, czym ona jest, dlaczego jest ważna i co robią banki, aby mieć pewność, że są na nią przygotowane.
Czym jest DORA?
DORA wymaga od banków, firm ubezpieczeniowych i inwestycji wzmocnienia bezpieczeństwa IT. Rozporządzenie UE ma również na celu zapewnienie odporności branży usług finansowych w przypadku poważnych zakłóceń w działalności.
Do zakłóceń tego typu zalicza się atak ransomware powodujący wyłączenie komputerów firmy finansowej lub atak DDOS (rozproszona odmowa usługi), który powoduje zamknięcie witryny internetowej firmy.
Przepisy te mają również pomóc firmom unikać poważnych przerw w dostawie prądu, takich jak historyczna awaria IT miesiąc spowodowany przez firmę cybernetyczną CrowdStrike gdy firma wydaje prostą aktualizację oprogramowania zmusił system operacyjny Windows firmy Microsoft do awarii.
Wiele banków, firm płatniczych i inwestycyjnych — od JPMorgan Chase I SantanderDo Wiza I Karol Schwab — nie były w stanie świadczyć usług z powodu awarii. Przywrócenie usług konsumentom zajęło tym firmom kilka godzin.
W przyszłości tego typu zdarzenie będzie kwalifikowane jako przerwa w świadczeniu usług, która będzie podlegać kontroli na mocy nowych przepisów UE.
Mike Sleightholme, prezes firmy fintechowej Broadridge International, zauważa, że wyróżniającą cechą DORA jest to, że nie koncentruje się wyłącznie na działaniach banków mających na celu zapewnienie odporności — przygląda się również dostawcom technologii dla firm.
Zgodnie z ustawą DORA banki będą zobowiązane do rygorystycznego zarządzania ryzykiem IT, zarządzania incydentami, klasyfikacji i raportowania, testowania odporności operacyjnej systemów cyfrowych, wymiany informacji i danych wywiadowczych w odniesieniu do zagrożeń cybernetycznych i luk w zabezpieczeniach, a także do podjęcia środków mających na celu zarządzanie ryzykiem stron trzecich.
Firmy będą zobowiązane do przeprowadzania oceny „ryzyka koncentracji” związanego z outsourcingiem krytycznych lub ważnych funkcji operacyjnych do firm zewnętrznych.
Jak powiedział Joe Vaccaro, dyrektor generalny ThousandEyes, firmy monitorującej jakość Internetu należącej do Cisco, ci dostawcy usług informatycznych często dostarczają „klientom kluczowe usługi cyfrowe”.
„Ci zewnętrzni dostawcy muszą teraz uczestniczyć w procesie testowania i raportowania, co oznacza, że firmy świadczące usługi finansowe muszą przyjąć rozwiązania, które pomogą im odkryć i zmapować te czasami ukryte zależności od dostawców” – powiedział w wywiadzie dla CNBC.
Banki będą musiały również „rozszerzyć swoje możliwości zapewniania dostarczania i wydajności cyfrowych doświadczeń nie tylko w obrębie infrastruktury, którą posiadają, ale także w obrębie tej, której nie posiadają” – dodał Vaccaro.
Kiedy stosuje się prawo?
Ustawa DORA weszła w życie 16 stycznia 2023 r., jednak jej przepisy zaczną obowiązywać w państwach członkowskich UE dopiero 17 stycznia 2025 r.
UE nadała tym reformom priorytet, ponieważ sektor finansowy jest coraz bardziej zależny od technologii i firm technologicznych w zakresie świadczenia kluczowych usług. To sprawiło, że banki i inni dostawcy usług finansowych stali się bardziej podatni na cyberataki i inne incydenty.
„Teraz kładzie się duży nacisk na zarządzanie ryzykiem stron trzecich”, powiedział Sleightholme w wywiadzie dla CNBC. „Banki korzystają z usług zewnętrznych dostawców w ważnych częściach swojej infrastruktury technologicznej”.
„Ważną częścią tego są ulepszone cele czasu odzyskiwania. Chodzi o bezpieczeństwo technologii, ze szczególnym uwzględnieniem odzyskiwania danych z cyberbezpieczeństwa po zdarzeniach cybernetycznych” — dodał.
Wiele reform polityki cyfrowej UE z ostatnich kilku lat koncentruje się na obowiązkach samych przedsiębiorstw, które muszą zadbać o to, aby ich systemy i struktury były wystarczająco solidne, by chronić je przed szkodliwymi zdarzeniami, takimi jak utrata danych na rzecz hakerów lub nieupoważnionych osób i podmiotów.
Przykładowo ogólne rozporządzenie UE o ochronie danych, zwane RODO, nakłada na firmy obowiązek upewnienia się, że przetwarzanie danych osobowych odbywa się za zgodą użytkownika oraz że stosuje się dostateczne środki bezpieczeństwa, aby zminimalizować ryzyko ujawnienia lub wycieku takich danych.
Ustawa DORA będzie się bardziej koncentrować na cyfrowym łańcuchu dostaw banków, co stanowi nową, potencjalnie mniej komfortową dynamikę prawną dla firm finansowych.
A co jeżeli firma nie dostosuje się do przepisów?
W przypadku firm finansowych, które nie zastosują się do nowych przepisów, organy UE będą miały prawo nałożyć na nie grzywny w wysokości do 2% ich rocznych globalnych przychodów.
Indywidualni menedżerowie mogą również zostać pociągnięci do odpowiedzialności za naruszenia. Sankcje na osoby w podmiotach finansowych mogą wynieść nawet 1 mln euro (1,1 mln USD).
W przypadku dostawców IT regulatorzy mogą nakładać grzywny w wysokości nawet 1% średnich dziennych globalnych przychodów w poprzednim roku obrotowym. Firmy mogą być również karane grzywnami każdego dnia przez okres do sześciu miesięcy, dopóki nie osiągną zgodności.
Firmy informatyczne uznane przez unijne organy regulacyjne za „krytyczne” mogą zostać obciążone grzywną w wysokości do 5 milionów euro — lub, w przypadku pojedynczego menedżera, maksymalnie 500 000 euro.
To nieco mniej surowe prawo niż np. RODO, na mocy którego firmy mogą zostać ukarane grzywną w wysokości do 10 milionów euro (10,9 miliona dolarów) lub 4% swoich rocznych globalnych przychodów — w zależności od tego, która kwota jest wyższa.
Carl Leonard, strateg ds. cyberbezpieczeństwa w regionie EMEA w firmie Proofpoint, zajmującej się oprogramowaniem zabezpieczającym, podkreśla, że sankcje karne mogą się różnić w zależności od państwa członkowskiego i sposobu, w jaki każdy kraj UE stosuje przepisy na swoim rynku.
Leonard dodał, że DORA odwołuje się również do „zasady proporcjonalności” w przypadku kar nakładanych w odpowiedzi na naruszenia przepisów.
Oznacza to, że jakakolwiek odpowiedź na uchybienia prawne musiałaby uwzględniać czas, wysiłek i pieniądze, jakie firmy poświęcają na udoskonalanie swoich wewnętrznych procesów i technologii bezpieczeństwa, w kontekście znaczenia oferowanych usług i rodzaju danych, które próbują chronić.
Czy banki i ich dostawcy są gotowi?
Stephen McDermid, dyrektor ds. bezpieczeństwa EMEA w firmie zajmującej się cyberbezpieczeństwem Okta, powiedział CNBC, że wiele firm świadczących usługi finansowe nadało priorytet wykorzystaniu istniejących wewnętrznych programów odporności operacyjnej i ryzyka stron trzecich, aby dostosować się do DORA i „zidentyfikować wszelkie luki, które mogą mieć”.
„Zamiarem DORA jest ujednolicenie wielu istniejących programów zarządzania pod jednym organem nadzoru i ich zharmonizowanie w całej UE” – dodał.
Fredrik Forslund, wiceprezes i dyrektor generalny ds. międzynarodowych w firmie zajmującej się oczyszczaniem danych Blancco, ostrzegł, że chociaż banki i dostawcy technologii poczynili postępy w kierunku zgodności z DORA, nadal jest „praca do wykonania”.
W skali od jednego do dziesięciu — gdzie wartość jeden oznacza brak zgodności, a 10 pełną zgodność — Forslund powiedział: „Jesteśmy na poziomie 6 i staramy się dotrzeć do 7”.
„Wiemy, że do stycznia musimy osiągnąć poziom 10” – powiedział, dodając, że „nie wszyscy będą tam do stycznia”.
