Analizor de trafic |. Vectori de viziune digitală |
Firmele de servicii financiare și furnizorii lor de tehnologie digitală sunt supuși unei presiuni intense pentru a se conforma noilor reguli severe ale UE, care le impun să devină mai reziliente cibernetice.
Până la începutul anului viitor, firmele de servicii financiare și furnizorii lor de tehnologie vor trebui să asigure conformitatea cu noua lege a UE, cunoscută sub numele de DORA. Legea privind rezistența operațională digitală.
CNBC detaliază ceea ce trebuie să știți despre DORA, inclusiv ce este, de ce contează și ce fac băncile pentru a se asigura că sunt pregătite.
Ce este Dora?
DORA solicită băncilor, companiilor de asigurări și investițiilor să consolideze securitatea IT. Reglementările UE urmăresc, de asemenea, să se asigure că industria serviciilor financiare este rezistentă în cazul unor perturbări grave ale operațiunilor.
Astfel de întreruperi ar putea include un atac ransomware care închide computerele unei firme financiare sau un atac DDOS (denegare de serviciu distribuit) care forțează site-ul unei companii să fie deconectat.
De asemenea, reglementările sunt menite să ajute companiile să evite întreruperile majore de curent, cum ar fi Ultimul accident IT istoric luni cauzate de companiile de internet grevă în masă Când o companie lansează o actualizare simplă de software Forțarea sistemului de operare Windows al Microsoft să se prăbușească.
Mai multe bănci, companii de plată și firme de investiții — de la JP Morgan și Santanderajunge Visa și Charles Schwab — Serviciu indisponibil din cauza unei pene de curent. Companiile au avut nevoie de câteva ore pentru a restabili serviciul pentru consumatori.
În viitor, astfel de incidente vor intra în categoria întreruperii serviciului și vor fi supuse controlului în conformitate cu viitoarele norme UE.
Mike Sleightholme, președintele companiei fintech Broadridge International, a remarcat că un element remarcabil al DORA este că nu numai că analizează pașii pe care băncile îi fac pentru a asigura reziliența, ci și supraveghează îndeaproape furnizorii de tehnologie ai întreprinderilor.
În conformitate cu DORA, băncilor li se va cere să efectueze un management riguros al riscului IT, management al incidentelor, clasificare și raportare, testare digitală a rezilienței operaționale, partajare de informații și informații legate de amenințările și vulnerabilitățile cibernetice și măsuri de gestionare a riscurilor terților.
Companiile vor fi obligate să evalueze „riscul de concentrare” asociat cu externalizarea funcțiilor operaționale critice sau semnificative către companii externe.
Joe Vaccaro, director general al ThousandEyes, o companie de monitorizare a calității rețelei deținută de Cisco, a declarat că acești furnizori IT oferă adesea „servicii digitale critice” clienților.
„Acești furnizori terți trebuie să devină acum parte a procesului de testare și raportare, ceea ce înseamnă că firmele de servicii financiare trebuie să adopte soluții care să le ajute să descopere și să cartografieze aceste dependențe uneori ascunse cu furnizorii”, a spus el pentru CNBC.
Băncile trebuie, de asemenea, „să-și extindă capacitățile pentru a asigura livrarea și performanța experiențelor digitale nu numai pe infrastructura pe care o dețin, ci și pe infrastructura pe care nu o dețin”, a adăugat Vaccaro.
Când se aplică legea?
DORA intră în vigoare pe 16 ianuarie 2023, dar statele membre UE nu vor implementa regula până pe 17 ianuarie 2025.
UE acordă prioritate acestor reforme, deoarece sectorul financiar se bazează din ce în ce mai mult pe companiile de tehnologie și tehnologie pentru a furniza servicii vitale. Acest lucru face băncile și alți furnizori de servicii financiare mai vulnerabili la atacuri cibernetice și la alte incidente.
„În acest moment, se pune mult accent pe managementul riscului de la terți”, a declarat Sleitholm pentru CNBC. „Băncile folosesc furnizori de servicii terți pentru a construi părți semnificative din infrastructura lor tehnologică”.
“Obiectivele de timp de recuperare extins sunt o parte importantă a acestui lucru. Este într-adevăr despre securitatea tehnică, cu un accent deosebit pe recuperarea securității cibernetice în urma incidentelor cibernetice”, a adăugat el.
Multe reforme ale politicii digitale ale UE din ultimii câțiva ani au avut tendința de a se concentra pe obligațiile companiilor înseși de a se asigura că sistemele și cadrele lor sunt suficient de robuste pentru a preveni incidentele dăunătoare, cum ar fi hackeri sau pierderea de date a persoanelor și entităților neautorizate.
De exemplu, Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene impune companiilor să se asigure că procesarea lor de informații de identificare personală se face cu consimțământ și că există măsuri de protecție adecvate pentru a minimiza această posibilitate de scurgere sau scurgere de astfel de informații.
DORA se va concentra mai mult pe lanțurile de aprovizionare digitale ale băncilor – reprezentând o dinamică juridică nouă și potențial incomodă pentru firmele financiare.
Ce se întâmplă dacă compania nu se conformează?
Autoritățile UE vor avea puterea de a impune amenzi de până la 2% din veniturile anuale globale companiilor financiare care încalcă noile reguli.
Managerii individuali pot fi, de asemenea, trași la răspundere pentru încălcări. Sancțiunile împotriva persoanelor fizice din cadrul entităților financiare pot ajunge până la 1 milion EUR (1,1 milioane USD).
Pentru furnizorii de IT, autoritățile de reglementare pot impune amenzi de până la 1% din veniturile medii zilnice globale pentru anul fiscal precedent. De asemenea, companiile pot fi amendate cu până la șase luni pe zi până când îndeplinesc cerințele de conformitate.
Companiile de IT terțe considerate „critice” de autoritățile de reglementare din UE ar putea risca amenzi de până la 5 milioane de euro, sau de până la 500.000 de euro în cazul managerilor individuali.
Acest lucru este puțin mai puțin strict decât legile precum GDPR, conform cărora companiile pot fi amendate cu până la 10 milioane EUR (10,9 milioane USD) sau 4% din veniturile lor anuale globale, oricare dintre acestea este mai mare.
Carl Leonard, strateg de securitate cibernetică pentru Europa, Orientul Mijlociu și Africa la compania de software de securitate Proofpoint, a subliniat că sancțiunile penale pot diferi în diferite state membre, în funcție de modul în care fiecare țară din UE aplică regulile pe propria piață.
Leonard a adăugat că Dora a cerut să se respecte „principiul proporționalității” atunci când se impune sancțiuni pentru încălcarea legislației.
Aceasta înseamnă că orice răspuns la pașii greșiți legale trebuie să echilibreze timpul, energia și banii cheltuiți de companii pentru îmbunătățirea proceselor interne și a tehnologiei de securitate cu importanța serviciilor pe care le furnizează și a materialelor pe care încearcă să le protejeze.
Sunt băncile și furnizorii lor pregătiți?
Stephen McDermid, ofițer șef de securitate pentru Europa, Orientul Mijlociu și Africa la firma de securitate cibernetică Okta, a declarat pentru CNBC că multe companii de servicii financiare au acordat prioritate valorificării programelor de reziliență operațională internă existente și a programelor de risc ale terților pentru a se conforma DORA și „identifica unde ar putea avea orice gol”.
El a adăugat: „Scopul DORA este de a alinia numeroasele scheme de guvernanță existente și de a le armoniza în întreaga UE sub o singură autoritate de supraveghere”.
Fredrik Forslund, vicepreședinte și director general al diviziilor internaționale la compania de curățare a datelor Blancco, a avertizat că, deși băncile și furnizorii de tehnologie au făcut progrese în respectarea DORA, mai este „de lucru de făcut”.
Forslund a spus că pe o scară de la 1 la 10, cu 1 reprezentând neconformitatea și 10 reprezentând conformitatea deplină, „în prezent suntem la un 6 și lucrăm spre un 7”.
„Știm că trebuie să ajungem la 10 până în ianuarie”, a spus el, adăugând: „Nu toată lumea va ajunge acolo până în ianuarie”.
About The Author
