ما هو قانون المرونة التشغيلية الرقمية للاتحاد الأوروبي؟ وأوضحت دورا

تتعرض شركات الخدمات المالية وموردي التكنولوجيا الرقمية لضغوط شديدة لتحقيق الامتثال لقواعد جديدة صارمة من الاتحاد الأوروبي والتي تتطلب منهم تعزيز مرونتهم السيبرانية.

بحلول بداية العام المقبل، سيتعين على شركات الخدمات المالية وموردي التكنولوجيا التأكد من امتثالهم للقانون الجديد القادم من الاتحاد الأوروبي المعروف باسم DORA، أو قانون المرونة التشغيلية الرقمية.

تستعرض CNBC ما تحتاج لمعرفته حول DORA – بما في ذلك ماهيتها وسبب أهميتها وما تفعله البنوك للتأكد من استعدادها لذلك.

تطلب DORA من البنوك وشركات التأمين والاستثمار تعزيز أمن تكنولوجيا المعلومات لديها. وتسعى لائحة الاتحاد الأوروبي أيضًا إلى ضمان مرونة صناعة الخدمات المالية في حالة حدوث انقطاع شديد في العمليات.

يمكن أن تشمل مثل هذه الاضطرابات هجوم برامج الفدية الذي يتسبب في إغلاق أجهزة الكمبيوتر الخاصة بشركة مالية، أو هجوم DDOS (رفض الخدمة الموزعة) الذي يجبر موقع الويب الخاص بالشركة على عدم الاتصال بالإنترنت.

وتسعى اللائحة أيضًا إلى مساعدة الشركات على تجنب أحداث الانقطاع الكبرى، مثل الانهيار التاريخي لتكنولوجيا المعلومات الشهر الماضي الذي سببته شركة إلكترونية كراود سترايك عندما أدى تحديث برنامج بسيط أصدرته الشركة إلى تعطل نظام التشغيل Microsoft Windows

العديد من البنوك وشركات الدفع وشركات الاستثمار – من ج. ب. مورجان تشيس و سانتاندر، ل تأشيرة و تشارلز شواب – لم نتمكن من تقديم الخدمة بسبب الانقطاع. استغرق الأمر من هذه الشركات عدة ساعات لاستعادة الخدمة للمستهلكين.

وفي المستقبل، قد يندرج مثل هذا الحدث ضمن نوع انقطاع الخدمة الذي سيخضع للتدقيق بموجب قواعد الاتحاد الأوروبي القادمة.

ويشير مايك سليثولم، رئيس شركة التكنولوجيا المالية Broadridge International، إلى أن أحد العوامل البارزة في DORA هو أنها لا تركز فقط على ما تفعله البنوك لضمان المرونة – بل إنها تلقي نظرة فاحصة على موردي التكنولوجيا للشركات.

وبموجب DORA، سيُطلب من البنوك إجراء إدارة صارمة لمخاطر تكنولوجيا المعلومات، وإدارة الحوادث، والتصنيف والإبلاغ، واختبار المرونة التشغيلية الرقمية، وتبادل المعلومات والاستخبارات فيما يتعلق بالتهديدات السيبرانية ونقاط الضعف، وتدابير لإدارة مخاطر الطرف الثالث.

سيُطلب من الشركات إجراء تقييمات “لمخاطر التركيز” المرتبطة بالاستعانة بمصادر خارجية للوظائف التشغيلية الهامة أو المهمة لشركات خارجية.

وقال جو فاكارو، المدير العام لشركة مراقبة جودة الإنترنت المملوكة لشركة سيسكو، ألف آيز، إن موفري تكنولوجيا المعلومات هؤلاء غالبًا ما يقدمون “خدمات رقمية مهمة للعملاء”.

وقال لـ CNBC: “يجب أن يكون مقدمو الطرف الثالث الآن جزءًا من عملية الاختبار وإعداد التقارير، مما يعني أن شركات الخدمات المالية بحاجة إلى اعتماد حلول تساعدهم على كشف ورسم هذه التبعيات المخفية أحيانًا مع مقدمي الخدمة”.

وأضاف فاكارو أنه سيتعين على البنوك أيضًا “توسيع قدرتها على ضمان تقديم وأداء التجارب الرقمية ليس فقط عبر البنية التحتية التي تمتلكها، ولكن أيضًا تلك التي لا تمتلكها”.

دخلت اتفاقية DORA حيز التنفيذ في 16 يناير 2023، لكن القواعد لن يتم تنفيذها من قبل الدول الأعضاء في الاتحاد الأوروبي حتى 17 يناير 2025.

وقد أعطى الاتحاد الأوروبي الأولوية لهذه الإصلاحات بسبب اعتماد القطاع المالي بشكل متزايد على التكنولوجيا وشركات التكنولوجيا لتقديم الخدمات الحيوية. وقد أدى ذلك إلى جعل البنوك ومقدمي الخدمات المالية الآخرين أكثر عرضة للهجمات الإلكترونية والحوادث الأخرى.

وقال سليثولم لشبكة CNBC: “هناك الكثير من التركيز على إدارة مخاطر الطرف الثالث” الآن. “تستخدم البنوك موفري خدمات الطرف الثالث لأجزاء مهمة من بنيتها التحتية التكنولوجية.”

وأضاف: “تعد أهداف وقت التعافي المعزز جزءًا مهمًا منها. فالأمر يتعلق حقًا بالأمن حول التكنولوجيا، مع التركيز بشكل خاص على عمليات استرداد الأمن السيبراني من الأحداث السيبرانية”.

تميل العديد من إصلاحات السياسة الرقمية للاتحاد الأوروبي خلال السنوات القليلة الماضية إلى التركيز على التزامات الشركات نفسها للتأكد من أن أنظمتها وأطرها قوية بما يكفي للحماية من الأحداث الضارة مثل فقدان البيانات للقراصنة أو الأفراد والكيانات غير المصرح لهم.

على سبيل المثال، تتطلب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، أو الناتج المحلي الإجمالي (GDPR)، من الشركات التأكد من أن الطريقة التي تعالج بها معلومات التعريف الشخصية تتم بموافقة، وأنه يتم التعامل معها بوسائل حماية كافية لتقليل احتمالية كشف هذه البيانات في حالة خرق أو تسرب. .

ستركز DORA بشكل أكبر على سلسلة التوريد الرقمية للبنوك – والتي تمثل ديناميكية قانونية جديدة قد تكون أقل راحة للشركات المالية.

وبالنسبة للشركات المالية التي تخالف القواعد الجديدة، فسوف تتمتع سلطات الاتحاد الأوروبي بسلطة فرض غرامات تصل إلى 2% من إيراداتها العالمية السنوية.

يمكن أيضًا تحميل المديرين الأفراد مسؤولية الانتهاكات. وقد تصل العقوبات المفروضة على الأفراد داخل الكيانات المالية إلى مليون يورو (1.1 مليون دولار).

بالنسبة لمزودي تكنولوجيا المعلومات، يمكن للجهات التنظيمية فرض غرامات تصل إلى 1% من متوسط ​​الإيرادات العالمية اليومية في سنة العمل السابقة. يمكن أيضًا تغريم الشركات يوميًا لمدة تصل إلى ستة أشهر حتى تحقق الامتثال.

وقد تواجه شركات تكنولوجيا المعلومات التابعة لجهات خارجية والتي تعتبرها الجهات التنظيمية في الاتحاد الأوروبي “حرجة” غرامات تصل إلى 5 ملايين يورو ــ أو في حالة المدير الفردي، بحد أقصى 500 ألف يورو.

وهذا أقل قسوة قليلاً من قانون مثل اللائحة العامة لحماية البيانات، والذي بموجبه يمكن تغريم الشركات بما يصل إلى 10 ملايين يورو (10.9 مليون دولار)، أو 4% من إيراداتها العالمية السنوية ــ أيهما أعلى.

يؤكد كارل ليونارد، استراتيجي الأمن السيبراني في أوروبا والشرق الأوسط وأفريقيا في شركة البرمجيات الأمنية Proofpoint، على أن العقوبات الجنائية قد تختلف من دولة عضو إلى أخرى اعتمادًا على كيفية تطبيق كل دولة في الاتحاد الأوروبي للقواعد في أسواقها.

وأضاف ليونارد أن DORA تدعو أيضًا إلى “مبدأ التناسب” عندما يتعلق الأمر بالعقوبات ردًا على انتهاكات التشريع.

وهذا يعني أن أي رد على الإخفاقات القانونية يجب أن يوازن بين الوقت والجهد والمال الذي تنفقه الشركات على تعزيز عملياتها الداخلية وتقنياتها الأمنية مقابل مدى أهمية الخدمة التي تقدمها والبيانات التي تحاول حمايتها.

صرح ستيفن ماكديرميد، كبير مسؤولي الأمن في أوروبا والشرق الأوسط وأفريقيا لشركة Okta للأمن السيبراني، لـ CNBC أن العديد من شركات الخدمات المالية أعطت الأولوية لاستخدام المرونة التشغيلية الداخلية الحالية وبرامج مخاطر الطرف الثالث للامتثال لـ DORA و”تحديد أي ثغرات قد تكون لديهم”.

وأضاف: “هذا هو هدف DORA، وهو إنشاء مواءمة للعديد من برامج الحوكمة الحالية تحت سلطة إشرافية واحدة ومواءمتها عبر الاتحاد الأوروبي”.

وحذر فريدريك فورسلوند، نائب الرئيس والمدير العام للشؤون الدولية في شركة بلانكو لتطهير البيانات، من أنه على الرغم من أن البنوك وبائعي التكنولوجيا قد أحرزوا تقدمًا نحو الامتثال لمعايير DORA، إلا أنه لا يزال هناك “عمل يتعين القيام به”.

وعلى مقياس من واحد إلى 10 – حيث تمثل القيمة 1 عدم الامتثال و10 تمثل الامتثال الكامل – قال فورسلوند: “نحن عند 6 ونسعى جاهدين للوصول إلى 7”.

وقال “نعلم أنه يتعين علينا أن نصل إلى العاشرة بحلول يناير”، مضيفا أنه “لن يكون الجميع هناك بحلول يناير”.