Δεδομένων των διαρκώς αυξανόμενων κινδύνων από επιθέσεις στον κυβερνοχώρο, η ΕΕ ενισχύει την ασφάλεια πληροφορικής των χρηματοπιστωτικών οντοτήτων όπως οι τράπεζες, οι ασφαλιστικές εταιρείες και οι εταιρείες επενδύσεων. Χθες το απόγευμα, η Προεδρία του Συμβουλίου και το Ευρωπαϊκό Κοινοβούλιο κατέληξαν σε προσωρινή συμφωνία σχετικά με τον Νόμο για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) , η οποία θα διασφαλίσει ότι ο χρηματοπιστωτικός τομέας στην Ευρώπη θα είναι σε θέση να διατηρήσει ανθεκτικές λειτουργίες μέσω μιας σοβαρής λειτουργικής διαταραχής.
Η DORA θέτει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύων και πληροφοριών εταιρειών και οργανισμών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα καθώς και κρίσιμων τρίτων που τους παρέχουν υπηρεσίες σχετικές με τις ΤΠΕ (Information Communication Technologies), όπως πλατφόρμες cloud ή υπηρεσίες ανάλυσης δεδομένων. Η DORA δημιουργεί ένα ρυθμιστικό πλαίσιο για την ψηφιακή επιχειρησιακή ανθεκτικότητα, σύμφωνα με το οποίο όλες οι εταιρείες πρέπει να βεβαιωθούν ότι μπορούν να αντέξουν, να ανταποκριθούν και να ανακάμψουν από όλους τους τύπους διαταραχών και απειλών που σχετίζονται με τις ΤΠΕ . Αυτές οι απαιτήσεις είναι ομοιογενείς σε όλα τα κράτη μέλη της ΕΕ. Ο βασικός στόχος είναι η πρόληψη και ο μετριασμός των απειλών στον κυβερνοχώρο.
Σύμφωνα με την προσωρινή συμφωνία, οι νέοι κανόνες θα αποτελέσουν ένα πολύ ισχυρό πλαίσιο που ενισχύει την ασφάλεια της πληροφορικής του χρηματοπιστωτικού τομέα . Οι προσπάθειες που θα ζητηθούν από τις χρηματοοικονομικές οντότητες θα είναι ανάλογες με τους πιθανούς κινδύνους.
Σχεδόν όλες οι χρηματοοικονομικές οντότητες θα υπόκεινται στους νέους κανόνες. Σύμφωνα με την προσωρινή συμφωνία, οι ελεγκτές δεν θα υπόκεινται στο DORA, αλλά θα συμμετέχουν σε μελλοντική αναθεώρηση του κανονισμού, όπου μπορεί να διερευνηθεί πιθανή αναθεώρηση των κανόνων.
Οι κρίσιμοι πάροχοι υπηρεσιών ΤΠΕ τρίτων χωρών σε χρηματοπιστωτικές οντότητες στην ΕΕ θα πρέπει να ιδρύσουν θυγατρική εντός της ΕΕ , έτσι ώστε η εποπτεία να μπορεί να εφαρμοστεί σωστά.
Όσον αφορά το πλαίσιο εποπτείας , οι συννομοθέτες συμφώνησαν να επιλέξουν ένα πρόσθετο κοινό δίκτυο εποπτείας το οποίο θα ενισχύσει τον συντονισμό μεταξύ των ευρωπαϊκών εποπτικών αρχών σε αυτό το διατομεακό θέμα.
Σύμφωνα με την προσωρινή συμφωνία, οι δοκιμές διείσδυσης θα πραγματοποιούνται σε λειτουργία και θα είναι δυνατό να συμπεριληφθούν στις διαδικασίες δοκιμών οι αρχές πολλών κρατών μελών. Η χρήση εσωτερικών ελεγκτών θα είναι δυνατή μόνο σε ορισμένες αυστηρά περιορισμένες περιστάσεις, υπό τους όρους διασφάλισης.
Όσον αφορά την αλληλεπίδραση της DORA με την οδηγία για την ασφάλεια δικτύων και πληροφοριών (NIS) , στο πλαίσιο της προσωρινής συμφωνίας, οι χρηματοπιστωτικές οντότητες θα έχουν πλήρη σαφήνεια σχετικά με τους διαφορετικούς κανόνες σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα με τους οποίους πρέπει να συμμορφώνονται, ιδίως για εκείνες τις χρηματοοικονομικές οντότητες που διαθέτουν πολλές άδειες και δραστηριοποιείται σε διάφορες αγορές εντός της ΕΕ. Η οδηγία NIS εξακολουθεί να ισχύει. Η DORA βασίζεται στην οδηγία NIS και αντιμετωπίζει πιθανές αλληλεπικαλύψεις μέσω μιας εξαίρεσης lex specialis.
Η προσωρινή συμφωνία που επιτεύχθηκε χθες το απόγευμα υπόκειται σε έγκριση από το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο πριν περάσει από την επίσημη διαδικασία έγκρισης.
Μόλις εγκριθεί επίσημα η πρόταση DORA, θα ψηφιστεί από κάθε κράτος μέλος της Ε.Ε. Οι σχετικές Ευρωπαϊκές Εποπτικές Αρχές (ESA), όπως η Ευρωπαϊκή Αρχή Τραπεζών (EBA), η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (ESMA) και η Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων (EIOPA), θα αναπτύξουν στη συνέχεια τεχνικά πρότυπα για όλα τα ιδρύματα χρηματοπιστωτικών υπηρεσιών να τηρούν, από τον τραπεζικό τομέα μέχρι την ασφάλιση και τη διαχείριση περιουσιακών στοιχείων. Οι αντίστοιχες εθνικές αρμόδιες αρχές θα αναλάβουν τον ρόλο της επίβλεψης της συμμόρφωσης και θα επιβάλουν τον κανονισμό όπως απαιτείται.
Ιστορικό
Η Επιτροπή υπέβαλε την πρόταση DORA στις 24 Σεπτεμβρίου 2020. Αποτελεί μέρος του ευρύτερου πακέτου ψηφιακής χρηματοδότησης, το οποίο στοχεύει στην ανάπτυξη μιας ευρωπαϊκής προσέγγισης που προωθεί την τεχνολογική ανάπτυξη και διασφαλίζει τη χρηματοπιστωτική σταθερότητα και την προστασία των καταναλωτών. Εκτός από την πρόταση DORA, το πακέτο περιέχει μια στρατηγική ψηφιακής χρηματοδότησης, μια πρόταση για τις αγορές κρυπτογραφικών περιουσιακών στοιχείων (MiCA) και μια πρόταση για την τεχνολογία κατανεμημένης λογιστικής (DLT).
Αυτή η δέσμη γεφυρώνει ένα κενό στην υφιστάμενη νομοθεσία της ΕΕ διασφαλίζοντας ότι το ισχύον νομικό πλαίσιο δεν θέτει εμπόδια στη χρήση νέων ψηφιακών χρηματοπιστωτικών μέσων και, ταυτόχρονα, διασφαλίζει ότι αυτές οι νέες τεχνολογίες και προϊόντα εμπίπτουν στο πεδίο εφαρμογής της δημοσιονομικής ρύθμισης και ρυθμίσεις διαχείρισης λειτουργικού κινδύνου εταιρειών που δραστηριοποιούνται στην ΕΕ. Έτσι, το πακέτο στοχεύει να στηρίξει την καινοτομία και την υιοθέτηση νέων χρηματοοικονομικών τεχνολογιών, παρέχοντας παράλληλα ένα κατάλληλο επίπεδο προστασίας των καταναλωτών και των επενδυτών.
Το Συμβούλιο ενέκρινε τη διαπραγματευτική του εντολή για το DORA στις 24 Νοεμβρίου 2021. Οι τριμερείς διάλογοι μεταξύ των συννομοθετών ξεκίνησαν στις 25 Ιανουαρίου 2022 και ολοκληρώθηκαν με την προσωρινή συμφωνία που επιτεύχθηκε χθες.
11.5.2022
