To τελευταίο διάστημα παρατηρείται μεγάλη κινητικότητα στην ελληνική αγορά, ως προς το ζήτημα της συμμόρφωσης των επιχειρήσεων με τον Κανονισμό (ΕΕ) 2022/2554 για την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα, γνωστό και ως DORA (Digital Operational Resilience Act).
Θυμίζουμε ότι ο Κανονισμός DORA δημοσιεύθηκε στις 27 Δεκεμβρίου 2022 στην Εφημερίδα της ΕΕ και τίθεται σε εφαρμογή στις 17 Ιανουαρίου 2025.
Η μεγάλη μεταβατική περίοδος που μεσολαβεί μεταξύ της ημερομηνίας θέσεως σε ισχύ και της ημερομηνίας εφαρμογής δεν θα έπρεπε να προκαλεί έκπληξη, καθώς απαιτούνται ριζικές δομικές αλλαγές από τις επιχειρήσεις που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού. Από την άλλη πλευρά η μη συμμόρφωση μπορεί να οδηγήσει ιδιαίτερα υψηλά πρόστιμα που ανέρχονται σε ποσοστό 1% του ημερήσιου κύκλου δραστηριοτήτων.
Ο Κανονισμός DORA δημοσιεύθηκε στις 27 Δεκεμβρίου 2022 στην Εφημερίδα της ΕΕ και τίθεται σε εφαρμογή στις 17 Ιανουαρίου 2025
Ποιους αφορά ο Κανονισμός DORA;
Βασική αποστολή του νέου Κανονισμού είναι η θωράκιση του χρηματοπιστωτικού κλάδου και ως εκ τούτου αφορά κατά κύριο λόγο στις επιχειρήσεις του κλάδου, όπως ενδεικτικά σε χρηματοπιστωτικά ιδρύματα, ιδρύματα πληρωμών, ιδρύματα ηλεκτρονικού χρήματος, επιχειρήσεις επενδύσεων, παρόχους υπηρεσιών κρυπτοστοιχείων, τόπους διαπραγμάτευσης, εταιρίες διαχείρισης, ασφαλιστικές εταιρίες κλπ. Ωστόσο, είναι ιδιαίτερα ενδιαφέρον ότι το πεδίο εφαρμογής του Κανονισμού περιλαμβάνει και τους παρόχους υπηρεσιών Τεχνολογιών Πληροφορικής & Επικοινωνιών («ΤΠΕ»), απόρροια του υψηλού βαθμού διασυνδεσιμότητας των παραγόντων του χρηματοπιστωτικού συστήματος και της συνεχούς ψηφιοποίησης των υποδομών και των υπηρεσιών τους.
Πώς επηρεάζει ο Κανονισμός DORA τις επιχειρήσεις στην πράξη;
Όπως αναφέρθηκε στην αρχή, ο Κανονισμός DORA επιφέρει στις επιχειρήσεις μία σειρά υποχρεώσεων που αφορούν ιδίως:
(α) τον έλεγχο κινδύνων ΤΠΕ,
(β) την καταγραφή περιστατικών που συνδέονται με ΤΠΕ,
(γ) τη διεξαγωγή ψηφιακών ασκήσεων για την εξασφάλιση της επιχειρησιακής σταθερότητας,
(δ) την ανταλλαγή δεδομένων και πληροφοριών σχετικά με κυβερνοαπειλές, και
(ε) την αντιμετώπιση κινδύνων από τρίτους στον τομέα ΤΠΕ.
Επί του πρακτέου, οι επιχειρήσεις καλούνται να υιοθετήσουν ένα πλήρες και συνεκτικό πλάνο ψηφιακής επιχειρησιακής ανθεκτικότητας. Αυτό περιλαμβάνει ενδεικτικά πολιτικές και διαδικασίες διασφάλισης της ακεραιότητας των δεδομένων, πολιτικές διατήρησης και διαγραφής των δεδομένων, εντοπισμό και διαχείριση κινδύνων ΤΠΕ, μελέτες εκτίμησης αντικτύπου και κατηγοριοποίηση της επικινδυνότητας δραστηριοτήτων, διεξοδικούς ελέγχους (“due diligence”) για τους τρίτους παρόχους υπηρεσιών ΤΠΕ και αναδιαμόρφωση των συμβάσεων παροχής υπηρεσιών μεταξύ χρηματοοικοονομικών επιχειρήσεων και τρίτων παρόχων υπηρεσιών ΤΠΕ, προκειμένου να αποτυπώνονται συμβατικά οι υποχρεώσεις των τελευταίων και να ρυθμιστεί το ζήτημα της κατανομής της ευθύνης.
Βασική αποστολή του νέου Κανονισμού είναι η θωράκιση του χρηματοπιστωτικού κλάδου και ως εκ τούτου αφορά κατά κύριο λόγο στις επιχειρήσεις του κλάδου
Εκ πρώτης είναι εύλογο να ισχυριστεί κάποιος ότι αρκετές επιχειρήσεις ήδη πληρούν πολλές από τις απαιτήσεις του νέου Κανονισμού, καθώς έχουν υλοποιήσει αντίστοιχες ενέργειες, είτε στο πλαίσιο της συμμόρφωσής τους με άλλες νομοθεσίες (λ.χ. NIS, GDPR κτλ.), είτε στο πλαίσιο κατάρτισης και υλοποίησης προγραμμάτων ασφάλειας πληροφοριών, ανθεκτικότητας και επιχειρησιακής συνέχειας. Παρόλα αυτά, ο Κανονισμός DORA επιφέρει αρκετά μεγαλύτερο αντίκτυπο στις επιχειρήσεις υπό το πρίσμα ότι α) θέτει την ψηφιακή ανθεκτικότητα και την διαχείριση του κινδύνου στο επίκεντρο της επιχειρησιακής ατζέντας, β) επιβάλλει σαφείς απαιτήσεις «ουσιαστικής» κανονιστικής συμμόρφωσης, γ) ενεργεί παράλληλα ή/και συμπληρωματικά ως προς τις ανωτέρω νομοθεσίες, δ) αναγνωρίζει τη διασυνδεσιμότητα και αλληλεπίδραση των εταιρειών του κλάδου και εισαγάγει ένα αυτοτελές οικοσύστημα διαχείρισης κινδύνων.
Ποιες είναι οι δυσκολίες συμμόρφωσης;
Οι επιχειρήσεις του χρηματοπιστωτικού κλάδου είναι στην πλειονότητά τους αρκετά εξοικειωμένες με την παρακολούθηση και συμμόρφωση με νομοθετικές και κανονιστικές εξελίξεις, ωστόσο η συμμόρφωσή τους με τον Κανονισμό DORA δεν θα είναι μία εύκολη υπόθεση. Πρόκειται για ένα σύνθετο κανονιστικό πλαίσιο, το οποίο, όπως και ο ΓΚΠΔ, δεν αφορά στις δραστηριότητες μίας μόνο διεύθυνσης (λ.χ. πληροφορικής), αλλά εφαρμόζεται οριζοντίως σε όλες τις διευθύνσεις μιας επιχείρησης. Ο προσδιορισμός, λοιπόν, του εύρους του αντικτύπου εντός της επιχείρησης, μέσω μίας μελέτης σκοπιμότητας (”feasibility study”) πρέπει ν’ αποτελεί μεθοδολογικά και την αφετηρία ενός έργου συμμόρφωσης. Με την αναμενόμενη, μάλιστα, υιοθέτηση των Ρυθμιστικών Τεχνικών Προτύπων (“RTS”) και των Εκτελεστικών Τεχνικών Προτύπων (“ITS”) από την Ευρωπαϊκή Επιτροπή το προσεχές διάστημα, θα προσδιοριστούν περαιτέρω οι εκ του Κανονισμού προβλεπόμενες υποχρεώσεις και θα «ανοίξει» ο δρόμος προς την συμμόρφωση των επιχειρήσεων του χρηματοπιστωτικού κλάδου.
Αναφορικά με τους παρόχους ΤΠΕ από την άλλη πλευρά θα πρέπει να σημειωθεί ότι αρκετοί ήδη αντιμετωπίζουν εγγενείς αδυναμίες στην διαχείριση της ξαφνικής εισόδου τους στο πλαίσιο της έντονης κανονιστικής ρύθμισης, ιδίως όσοι αποτελούν μικρές και νεοφυείς επιχειρήσεις. Σε κάθε περίπτωση θυμίζουμε ότι το πλαίσιο συμμόρφωσης διέπεται από την αρχή της αναλογικότητας, η οποία εφαρμόζεται τόσο στην εποπτεία όσο και στην εκπλήρωση των νομικών απαιτήσεων, ώστε οι επιχειρήσεις να προσαρμόζουν τις υποχρεώσεις τους ανάλογα με τον κίνδυνο που αντιμετωπίζουν και την πολυπλοκότητα των προσφερόμενων υπηρεσιών και δραστηριοτήτων τους.
Τέλος θα πρέπει να σημειωθεί ότι μεγαλύτερο ανασταλτικό παράγοντα για τη συμμόρφωση με τον Κανονισμό DORA αποτελεί η έλλειψη ουσιαστικής ενημέρωσης στην αγορά για το εύρος των αλλαγών που επιφέρει το νέο κανονιστικό πλαίσιο και συνειδητοποίησης ότι η ουσιαστική συμμόρφωση απαιτεί σημαντικό χρόνο υλοποίησης. Θα επιδείξουν, λοιπόν, εγκαίρως τα κανονιστικά τους αντανακλαστικά οι επιχειρήσεις: Ίδωμεν.
Το άρθρο συνυπογράφουν:
* Απόστολος Βόρρας, LL.M. mult, PhD (c), εταίρος και επικεφαλής προστασίας δεδομένων & ψηφιακών τεχνολογιών της δικηγορικής εταιρείας KBVL (Deloitte Legal Network)
* Φαίη Μαντζούνη, ασκούμενη δικηγόρος, μέλος της ομάδας προστασίας δεδομένων & ψηφιακών τεχνολογιών της δικηγορικής εταιρείας KBVL (Deloitte Legal Network)