Κεφάλαια 10 Σε Ισχύ: 17 Ιανουαρίου 2025

DORA

Νόμος για την Ψηφιακή Λειτουργική Ανθεκτικότητα

Επισκόπηση

Ο Νόμος για την Ψηφιακή Λειτουργική Ανθεκτικότητα (DORA) θεσπίζει ομοιόμορφες απαιτήσεις για την ασφάλεια και ανθεκτικότητα των δικτύων και των πληροφοριακών συστημάτων που υποστηρίζουν τις επιχειρησιακές διαδικασίες των χρηματοπιστωτικών οντοτήτων. Δημιουργεί επίσης ένα πλαίσιο εποπτείας για κρίσιμους παρόχους υπηρεσιών ΤΠΕ τρίτων.[1]

Η DORA είναι κανονισμός, που σημαίνει ότι εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ χωρίς μεταφορά στην εθνική νομοθεσία.

Οντότητες στο πεδίο εφαρμογής

Χρηματοπιστωτικές Οντότητες[2]

  • Πιστωτικά ιδρύματα (τράπεζες)
  • Ιδρύματα πληρωμών
  • Ιδρύματα ηλεκτρονικού χρήματος
  • Επενδυτικές εταιρείες
  • Ασφαλιστικές και αντασφαλιστικές επιχειρήσεις
  • Κεντρικά αποθετήρια τίτλων
  • Αποθετήρια συναλλαγών
  • Οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας
  • Πάροχοι υπηρεσιών κρυπτο-περιουσιακών στοιχείων
  • Πάροχοι υπηρεσιών crowdfunding
  • Πάροχοι υπηρεσιών αναφοράς δεδομένων

Κρίσιμοι Πάροχοι Υπηρεσιών ΤΠΕ Τρίτων

Οι Ευρωπαϊκές Εποπτικές Αρχές ορίζουν κρίσιμους παρόχους υπηρεσιών ΤΠΕ βάσει:

  • Συστημικής επίπτωσης σε περίπτωση αποτυχίας του παρόχου
  • Βαθμού υποκαταστασιμότητας
  • Αριθμού χρηματοπιστωτικών οντοτήτων που βασίζονται στον πάροχο

Οι ορισμένοι πάροχοι υπόκεινται σε πλαίσιο εποπτείας της ΕΕ.

Πέντε Πυλώνες της DORA

1. Διαχείριση Κινδύνου ΤΠΕ (Κεφάλαιο II)

Οι χρηματοπιστωτικές οντότητες πρέπει να θεσπίσουν και να διατηρούν:

  • Διακυβέρνηση: Ευθύνη του διοικητικού συμβουλίου για τη στρατηγική κινδύνου ΤΠΕ
  • Πλαίσιο κινδύνου: Αναγνώριση, προστασία, ανίχνευση, αντίδραση, ανάκαμψη
  • Τεκμηρίωση: Πολιτικές, διαδικασίες και πρωτόκολλα για την ασφάλεια ΤΠΕ
  • Δοκιμές: Τακτική αξιολόγηση των συστημάτων και εργαλείων ΤΠΕ

2. Αναφορά Περιστατικών ΤΠΕ (Κεφάλαιο III)[3]

ΑπαίτησηΛεπτομέρειες
ΚατηγοριοποίησηΕναρμονισμένα κριτήρια για τη σοβαρότητα του περιστατικού
Αρχική ειδοποίησηΠρος αρμόδια αρχή εντός 4 ωρών από την κατηγοριοποίηση
Ενδιάμεση αναφοράΕντός 72 ωρών με ενημερώσεις
Τελική αναφοράΕντός 1 μήνα από την επίλυση
Εθελοντική αναφοράΜπορεί να αναφέρονται σημαντικές κυβερνοαπειλές

Τα σημαντικά περιστατικά που σχετίζονται με ΤΠΕ πρέπει να αναφέρονται χρησιμοποιώντας τυποποιημένα πρότυπα.

3. Δοκιμές Ψηφιακής Λειτουργικής Ανθεκτικότητας (Κεφάλαιο IV)

Τύπος ΟντότηταςΑπαίτηση Δοκιμών
Όλες οι οντότητεςΕτήσιο πρόγραμμα δοκιμών ΤΠΕ
Σημαντικές οντότητεςΔοκιμές διείσδυσης με καθοδήγηση απειλών (TLPT) κάθε 3 χρόνια
Κρίσιμοι πάροχοι ΤΠΕΜπορεί να συμμετέχουν σε συλλογικές TLPT

Οι δοκιμές πρέπει να καλύπτουν: αξιολογήσεις ευπαθειών, αξιολογήσεις ασφάλειας δικτύου, ανασκοπήσεις ασφάλειας λογισμικού, ανασκοπήσεις πηγαίου κώδικα (όπου είναι εφικτό), δοκιμές βάσει σεναρίων και δοκιμές συμβατότητας.

4. Διαχείριση Κινδύνου Τρίτων (Κεφάλαιο V)[4]

Οι χρηματοπιστωτικές οντότητες πρέπει να:

  • Διατηρούν μητρώο όλων των συμφωνιών ΤΠΕ με τρίτους
  • Πραγματοποιούν δέουσα επιμέλεια πριν από τη σύναψη συμβάσεων
  • Αξιολογούν τους κινδύνους συγκέντρωσης
  • Συμπεριλαμβάνουν υποχρεωτικούς συμβατικούς όρους
  • Ορίζουν στρατηγικές εξόδου
  • Αναφέρουν τις συμφωνίες στις αρμόδιες αρχές

Υποχρεωτικοί όροι συμβολαίου περιλαμβάνουν περιγραφές επιπέδου υπηρεσιών, υποχρεώσεις προστασίας δεδομένων, δικαιώματα πρόσβασης και ελέγχου, απαιτήσεις αναφοράς περιστατικών και δικαιώματα τερματισμού με υποστήριξη μετάβασης.

5. Κοινοποίηση Πληροφοριών (Κεφάλαιο VI)

Οι χρηματοπιστωτικές οντότητες μπορούν να ανταλλάσσουν πληροφορίες για κυβερνοαπειλές εντός αξιόπιστων κοινοτήτων, υπό την προϋπόθεση τήρησης κανόνων εμπιστευτικότητας, για την ενίσχυση της συλλογικής άμυνας.

Αναλογικότητα

Η DORA εφαρμόζει αρχή αναλογικότητας βάσει του μεγέθους και του προφίλ κινδύνου της οντότητας, της φύσης, κλίμακας και πολυπλοκότητας των υπηρεσιών και της συστημικής σημασίας.

Απλοποιημένες απαιτήσεις ισχύουν για μικρές και μη διασυνδεδεμένες επενδυτικές εταιρείες, ιδρύματα πληρωμών και ηλεκτρονικού χρήματος κάτω από ορισμένα όρια, καθώς και ορισμένους ασφαλιστικούς διαμεσολαβητές.

Ποινές

Οι αρμόδιες αρχές μπορούν να επιβάλλουν:[5]

  • Διοικητικά πρόστιμα
  • Περιοδικές χρηματικές ποινές
  • Δημόσιες δηλώσεις
  • Ανάκληση αδειοδότησης
  • Προσωρινές απαγορεύσεις σε διοικητικές λειτουργίες

Τα συγκεκριμένα ποσά καθορίζονται από την εθνική νομοθεσία των κρατών μελών.

Επιπτώσεις για Προγραμματιστές και Παρόχους ΤΠΕ

Εάν παρέχετε υπηρεσίες ΤΠΕ στον χρηματοπιστωτικό τομέα:

  1. Ανασκόπηση συμβολαίων: Διασφαλίστε ότι τα συμβόλαια πληρούν τις απαιτήσεις της DORA
  2. Αναφορά περιστατικών: Δημιουργήστε κανάλια αναφοράς προς τους πελάτες
  3. Υποστήριξη δοκιμών: Διευκολύνετε τις δοκιμές διείσδυσης των πελατών
  4. Σχεδιασμός εξόδου: Επιτρέψτε ομαλή μετάβαση σε περίπτωση λήξης συμβολαίων
  5. Ενημέρωση για συγκέντρωση: Παρακολουθείτε τις εξαρτήσεις από τις υπηρεσίες σας
  6. Κρίσιμη ονομασία: Προετοιμαστείτε για πιθανή εποπτεία της ΕΕ

Πηγές & Αναφορές

[1]
Κανονισμός (ΕΕ) 2022/2554 για την ψηφιακή λειτουργική ανθεκτικότητα στον χρηματοπιστωτικό τομέα. EUR-Lex: Επίσημο Κείμενο DORA
[2]
Άρθρο 2 της DORA: Πεδίο εφαρμογής. Πύλη DORA: Άρθρο 2
[3]
Άρθρα 17-23 της DORA: Αναφορά περιστατικών που σχετίζονται με ΤΠΕ. Πύλη DORA: Αναφορά Περιστατικών
[4]
Άρθρα 28-44 της DORA: Διαχείριση κινδύνου τρίτων. Πύλη DORA: Κίνδυνος Τρίτων
[5]
Άρθρο 50 της DORA: Διοικητικές ποινές και διορθωτικά μέτρα. Πύλη DORA: Ποινές