Digital Operational Resilience Act solicită băncilor, companiilor de asigurări și societăților de investiții să își consolideze securitatea ITCompaniile de servicii financiare și furnizorii lor de tehnologie digitală nu au de ales decât să se conformeze noilor norme stricte ale Uniunii Europene, care le impun să își sporească reziliența cibernetică.
Până la începutul anului viitor, vor trebui să se asigure că sunt în conformitate cu noua lege cunoscută sub numele de DORA sau Digital Operational Resilience Act.
DORA solicită băncilor, companiilor de asigurări și societăților de investiții să își consolideze securitatea IT, potrivit CNBC. Regulamentul UE urmărește, de asemenea, să se asigure că industria serviciilor financiare este rezistentă în cazul unei perturbări severe a operațiunilor.
Astfel de perturbări ar putea include un atac ransomware care provoacă închiderea computerelor unei societăți financiare sau un atac DDOS (distributed denial of service) care forțează închiderea site-ului web al unei firme.
Luna trecută, compania Crowd Strike a provocat o uriașă pană de servicii IT atunci când o simplă actualizare de software emisă blocat sistemul de operare Windows al Microsoft.
Mai multe bănci – de la JPMorgan Chase la Santander – au fost în imposibilitatea de a furniza servicii din cauza întreruperii.
În conformitate cu DORA, băncile vor fi obligate să aplice măsuri riguroase de gestionare a riscurilor informatice, de gestionare a incidentelor, de clasificare și raportare, de testare a rezilienței operaționale digitale, de schimb de informații și de date privind amenințările și vulnerabilitățile cibernetice, precum și măsuri de gestionare a riscurilor legate de terți.
Firmele vor trebui să efectueze evaluări ale „riscului de concentrare” legat de externalizarea funcțiilor operaționale critice sau importante către societăți externe.
Mike Sleightholme, președintele firmei de fintech Broadridge International, remarcă faptul că un factor remarcabil al DORA este că nu se concentrează doar pe ceea ce fac băncile pentru a asigura reziliența – ci analizează cu atenție și furnizorii de tehnologie ai firmelor.
Când se aplică legea ?
DORA a intrat în vigoare la 16 ianuarie 2023, dar normele nu vor fi aplicate de statele membre până la 17 ianuarie 2025.
UE a acordat prioritate acestor reforme din cauza faptului că sectorul financiar este din ce în ce mai dependent de tehnologie și de companiile din domeniul tehnologiei pentru a furniza servicii vitale. Acest lucru a făcut ca băncile și alți furnizori de servicii financiare să fie mai vulnerabili la atacurile cibernetice și la alte incidente.
Amenzi usturătoare. Un million de euro pentru persoanele fizice
Pentru societățile financiare care încalcă noile norme, autoritățile UE vor avea competența de a aplica amenzi de până la 2% din veniturile lor anuale globale.
Și managerii individuali pot fi trași la răspundere pentru încălcări. Sancțiunile aplicate persoanelor fizice din cadrul entităților financiare ar putea ajunge până la un milion de euro!
În cazul furnizorilor IT, autoritățile de reglementare pot aplica amenzi de până la 1% din veniturile medii zilnice la nivel mondial în anul comercial precedent. Firmele pot fi amendate în fiecare zi timp de până la șase luni, până când se conformează.
Firmele IT terțe considerate „critice” ar putea primi amenzi de până la 5 milioane de euro – sau, în cazul unui manager individual, de maximum 500 000 de euro.
