DORA – Att stärka och harmonisera operativ motståndskraft i hela EU. 

Se hela artikeln på https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

EU:s DORA är oundviklig och kommer att få sköljande effekter utanför unionen. Den ersätter tidigare branschspecifika riktlinjer för operativ motståndskraft och övervinner nationella skillnader, harmoniserar riktlinjer för viktiga fokusområden över hela den finansiella
industrins värdekedja för att etablera ett gemensamt ramverk i hela facket. Den här insikten utforskar makroeffekterna av DORA, och sammanfattar viktiga delar av DORAs fullständiga text för att definiera:

1. Vad är DORA och dess 5 fokusområden?
2. Varför är DORA viktigt?
3. Vem ansöker DORA till?
4. DORA-efterlevnad vs. icke-efterlevnad.

Digital teknik är avgörande för globala finans- och kapitalmarknadsföretag för att stödja komplexa system, det är avgörande för leverans av typiska affärsfunktioner och intäktsgenererande aktiviteter. Digitalisering och den resulterande sammankopplingen
möjliggöra ökad effektivitet och kostnadsbesparingar men också förstärka informations- och kommunikationsteknikens (IKT) risker och öka det finansiella systemets sårbarhet för cyberhot eller störningar.

Trots riktade politiska och lagstiftningsinitiativ på nationell nivå inser Europeiska unionen (EU) det avgörande behovet av att harmonisera och stärka den operativa motståndskraften i sina medlemsländer för att skydda integriteten och effektiviteten hos den interna
marknaden, särskilt med tanke på eskalerande cyberhot1 och störningar
incidenter2. En vy som nyligen upprepades av Liquidnet3:

"Branschen är bara så stark som dess svagaste länk […] 2024 kommer inte bara att representera en större regulatorisk granskning av efterlevnad, risker och kontroller samt teknisk interoperabilitet, utan även individuellt ansvar för att få ekosystemet att fungera optimalt."

För att ta itu med de pågående motståndsutmaningarna införde EU Digital Operational Resilience Act (DORA) för att stärka IKT-säkerhet och operativ robusthet för finansiella enheter.

Vad är DORA och dess 5 fokusområden?

DORA antogs av Europaparlamentet och rådet den 14 december 2022, med efterlevnad som krävs senast den 17 januari 2025. Förordningen syftar till att konsolidera och förbättra den digitala operativa motståndskraften över det finansiella landskapet som har,
fram till denna punkt behandlats separat i olika unionsrättsakter via en gemensam ram4 för den digitala operativa motståndskraften
finansiella enheter för att bättre stå emot och återhämta sig från intrång och IKT-incidenter.

DORAs 5 fokusområden:

1. IKT Riskhantering.
2. IKT-relaterad Incident Management, Classification & Reporting.
3. Digital Operational Resilience Testing.
4. ICT-riskhantering från tredje part.
5. Informationsutbyte.

Varför är DORA viktigt?

DORA bygger på och ersätter tidigare branschspecifika riktlinjer för att övervinna skillnader och konsoliderar konsekvent riktlinjer för nyckelområden över hela värdekedjan. Det är unikt eftersom det introducerar ett gemensamt ramverk för tillsyn på facklig nivå
kritiska tredjepartsleverantörer av IKT, som utsetts av de europeiska tillsynsmyndigheterna (ESA)5.

Med finanssektorn beroende av digitala IKT-system och i takt med att sammankopplingen växer, kommer IKT-risker och sårbarheter att få en alltmer störande gränsöverskridande inverkan över hela unionen, vilket förstärker effekten av driftstörningar och cyber
hot mot finansiella företag. DORA erkänner att digitaliseringen nu omfattar viktiga finansiella funktioner6 tycka om
betalningar, värdepappersclearing, algoritmisk handel och backoffice-verksamhet. Det syftar till att stärka dessa funktioners operativa motståndskraft för att upprätthålla övergripande finansiell stabilitet och skydda konsumenternas förtroende på de inre marknaderna. DORA har som mål att bevara
marknadens förtroende genom att säkerställa ett smidigt tillhandahållande av finansiella tjänster även under utmanande scenarier.

Vem ansöker DORA till?

DORA gäller alla finansiella institutioner i EU och de tredjepartsleverantörer av ICT som tillhandahåller tjänster för att stödja dem. En ny insikt10 adresserad
detta. EU:s DORA-förordning inför specifika och föreskrivande krav för alla finansmarknadsaktörer.

DORA – Finansiella enheter

För att följa DORA måste finansiella enheter förbättra IKT-riskrelaterade hanteringsmetoder, som inkluderar att identifiera, bedöma och mildra risker förknippade med digital verksamhet. DORA inför också skyldigheter för snabb rapportering av IKT-incidenter
relevanta myndigheter för kritiska funktionsstörningar. Dessutom måste institutioner regelbundet simulera olika störningar för att testa operativ motståndskraft och återställningsförmåga.

Noterbart betonar DORA att finansiella enheter måste bedöma och hantera tredjeparts-IKT-risken för sina tjänsteleverantörer och se till att avtalsarrangemang hanterar operativ motståndskraft. Detta gäller koncentrationen av risk (DORA artikel 2911)
och följer incidenter som OPRA-avbrottet12, och cyberbrottslighet riktad mot kritiska leverantörer
i den finansiella leveranskedjan som Ion Group-hacket förra året13 or
leverantörer av molndatorer14, där en
en enda incident påverkar potentiellt flera finansiella enheter.

Det bör noteras att effekterna av avbrott inte är begränsade till företag och slutanvändare, med återverkningar som potentiellt flödar över på den personliga ekonomin, vilket DBS Bank har visat.15 tidigare
detta år.

DORA – Tredjepartsberoende och operativ motståndskraft

Finansiella enheter har i allt högre grad förlitat sig på tredjepartsleverantörer för att leverera kritiska delar av deras verksamhet och tjänster, därefter påverkar DORA också avsevärt tredje parts beroenden. Dessa tredje parter inkluderar molntjänstleverantörer,
dataleverantörer, mjukvaruutvecklare och andra teknikpartners. Att lägga ut vissa funktioner på entreprenad kan öka effektiviteten och minska kostnaderna, men som vi såg med Ion introducerar det också nya risker. Myndigheterna måste nu se bortom motståndskraften hos individuella reglerade
företag och bedöma sektorns bredare operativa motståndskraft.

DORA betonar vikten av robusta riskhanteringsmetoder för tredje parts beroenden i syfte att stärka finanssektorns övergripande motståndskraft i den digitala tidsåldern. Dessa inkluderar:

1. Brett omfattning av IKT-tredjepartsrisk – För att öka den operativa motståndskraften inom den finansiella tjänstesektorn lägger DORA ett brett nät för att definiera IKT-tredjepartsrisk. Till exempel DORA artikel 3 (18)16 definierar
   IKT-tredjepartsrisk som all IKT-risk – artikel 317 – som kan uppstå för en finansiell enhet som härrör från att använda tillhandahållna IKT-tjänster
   av en tredje parts tjänsteleverantör, underleverantörer eller outsourcing-arrangemang.
2. Riskhanteringsmetoder för tredjepartsleverantörer – DORA kräver lämpliga riskhanteringsmetoder för tredjepartsleverantörer för att minska operativa risker förknippade med tredjepartsrelationer och säkerställa motståndskraft. Det syftar också till att genomföra en harmoniserad
   regelverk för riskhantering från tredje part i EU (artikel 1518).
3. Kritiska IKT-leverantörer från tredje part – DORA erkänner den kritiska rollen för IKT-tjänsteleverantörer i finansiella tjänster. Om en tredje part anses kritisk, som CJC i vissa fall, måste de följa DORA:s krav. Särskilt kritiska tredje parter
   utanför EU är skyldiga att etablera ett dotterbolag inom EU – artikel 31.19 – även om ingressen (82)20 anteckningar
   Kravet "bör inte hindra den kritiska tredjepartsleverantören av IKT-tjänster från att tillhandahålla IKT-tjänster och relaterad teknisk support från anläggningar och infrastruktur belägen utanför unionen."

På tal om operativ motståndskraft och DORA-efterlevnad sa Gina Wee, Chief Information Officer på CJC: "Från implementering av robust kryptering och strikt åtkomstkontroll till att utföra regelbundna revisioner, upprätthåller CJC höga nivåer av efterlevnad för att säkerställa data
säkerhet. I kombination med proaktiv planering, adaptiva rutiner och en kultur av ständiga förbättringar säkerställer vi oavbrutna tjänster till våra kunder. Vi hoppas att vårt engagemang för informationssäkerhet, operativ motståndskraft och ansvarsskyldighet ger vårt
kunders sinnesro och förtroende för våra hanterade tjänster.”

DORA-efterlevnad vs. icke-efterlevnad

Risken för bristande efterlevnad

Att inte följa DORA kan leda till skada på rykte, ekonomiska förluster och regulatoriska påföljder. Företag som inte följer DORAs krav riskerar driftstörningar, missnöje hos kunder och potentiella juridiska konsekvenser.

DORA-efterlevnad – 3 överväganden och bästa praxis

För att följa DORA måste finansinstitutioner på ett omfattande sätt kartlägga befintliga tredjepartsberoenden och involvera förståelse av tjänsterna för outsourcade funktioner för att identifiera kritiska beroenden. Steg 2 bedömer motståndskraften hos de kartlagda beroenden
för att utvärdera sin tjänsteleverantörs operativa kapacitet, säkerhetsåtgärder och katastrofåterställningsplaner. Slutligen bör avtal med tredje part specifikt behandla krav på operativ motståndskraft. Detta inkluderar bestämmelser för incident
mål för rapportering, affärskontinuitet och återhämtningstid.

För att hålla sig kompatibla kan finansinstitut vidta flera steg för att implementera bästa praxis för att säkerställa kontinuerlig efterlevnad av DORA. Dessa inkluderar:

1. Due Diligence – När du väljer tredjepartsleverantörer, utför noggrann due diligence genom att överväga deras resultat, finansiell stabilitet och operativ motståndskraft.
2. Scenariotester – Simulera olika scenarier med tredje part för att testa effektiviteten hos återhämtningsplaner. Detta bör inkludera cyberattacker, systemfel och naturkatastrofer.
3. Kontinuerlig övervakning – Övervaka tredje parts prestanda och efterlevnad regelbundet, var beredd att anpassa sig om motståndskraftens ställningar skulle förändras.

Slutord:

DORA är inte bara en förordning; det är en strategisk möjlighet att förbättra din operativa motståndskraft och bygga förtroende i den digitala tidsåldern. Som den ledande marknadsdatateknikkonsulten och tjänsteleverantören för globala finansmarknader behandlar CJC sin position
som en kritisk tredjepartsleverantör av marknadsdatahanterade tjänster till kapitalmarknadsgemenskapen på allvar. Oavsett servicenivå är DORA-kompatibla standarder och transparens direkt från CJC, som tillhandahåller flerfaldigt prisbelönt konsulttjänster,
hanterade tjänster, molnlösningar, observerbarhet och professionella kommersiella förvaltningstjänster för affärskritiska marknadsdatasystem. CJC är leverantörsneutralt och ISO 27001-certifierat, vilket ger CJC:s partners friheten att fokusera på sin kärnverksamhet.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs