Avrupa finansal hizmetler sektörüne yeni bir siber güvenlik düzenlemesi geliyor ve yetkisi dünya çapında hissedilecek.
Avrupa Birliği’nin (AB) yeni Dijital Operasyonel Esneklik Yasası (DORA) Avrupa’da faaliyet gösteren finansal kurumlar için risk yönetimini düzenlemek için tek, birleşik bir çerçeve oluşturur. Avrupa Ekonomik Alanındaki 30 ülkenin tamamında bilgi ve iletişim teknolojisi (BİT) için siber güvenliğe ortak bir yaklaşımı zorunlu kılar.
DORA, küresel pandeminin ardından çoğalan fidye yazılımı saldırılarının ve diğer yeni siber tehditlerin yükselişine kıtasal bir yanıtı temsil ediyor. Bu, satıcıların Avrupa’da veya dünyanın herhangi bir yerinde bulunup bulunmadığına bakılmaksızın, kuruluşun tedarik zincirinde kritik satıcılar olarak belirlenen işletmeler de dahil olmak üzere, finansal hizmet kuruluşlarının, kuruluşun tüm yelpazesinde daha iyi iş esnekliği sürdürmelerini sağlamaya yönelik küresel bir odağı vurgular. . Peki, bu ABD’deki ve Avrupa dışındaki işletmeler için ne anlama gelebilir?
Küresel Bir Standart Belirlemek
DORA, herhangi bir bulut sağlayıcısının veya büyük finans kuruluşunun Avrupa’da nasıl iş yaptığı ve finans kurumlarının yaşam döngüsü boyunca bir hizmet olarak yazılım teknolojisini nasıl kullandığı üzerinde önemli bir etkiye sahip olacaktır.
DORA, sigorta şirketleri, aracı kurumlar, kripto para varlık sağlayıcıları ve ilgili finansal teknoloji işletmeleri dahil olmak üzere Avrupa’da iş yapan herhangi bir finansal hizmet sağlayıcısını doğrudan etkiler. Hepsinin, DORA’nın iş esnekliği ve siber güvenlik hükümlerine uyması gerekir veya önemli mali ve diğer cezalarla karşı karşıya kalır.
Tıpkı Genel Veri Koruma Yönetmeliği (GDPR) Uyum dışı olmayı oldukça zahmetli ve giderek daha pahalı hale getiren DORA’nın, büyük finansal operasyonların nasıl iş yaptığı üzerinde benzer bir etkiye sahip olması bekleniyor. Bunların bir kısmını DORA’nın öncülü olan Avrupa Dış Kaynak Kullanımına İlişkin Avrupa Bankacılık Otoritesi Yönergeleri’nde (EBAG) ve Kanada, Singapur, Avustralya ve Birleşik Krallık’ta ortaya çıkan benzer kurallarda şimdiden görmeye başladık.
DORA Gereksinimleri
DORA, özellikle tedarik zinciri yönetimi, sözleşme koşulları, ICT satıcıları ve kurumsal siber güvenlik değerlendirmesi ve hazırlığını hedefleyen kurallarla AB düzenlemelerini önemli ölçüde sıkılaştırıyor. DORA, bir kuruluşun iş kararları verme ve risk biriktirme özgürlüğünü sınırlar. Yine de yeni kurallar, daha fazla iş esnekliği sağlamak ve benzer bir dizi tavsiye tavsiyesini yansıtmak için tasarlandı. Siber Güvenlik Çerçevesi (CSF)Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayınlandı.
Kritik bir fark, CSF yönergelerinin tamamen tavsiye niteliğinde olmasına rağmen, DORA’nın uyumluluğu zorunlu kılması ve kuruluşların belirli koşulların karşılandığını göstermelerini gerektirmesidir. DORA, hem finansal kurumu hem de üçüncü taraf hizmet sağlayıcılar dahil olmak üzere en kritik tedarik zinciri bileşenlerini etkileyen bir yaptırım ve denetim mekanizması oluşturur.
Ek olarak, kuruluşların tehdit sızma testi, siber güvenlik yetenekleri, felakete hazırlık ve veri ölçümüne ilişkin kanıtlanabilir kanıtlar sağlaması gerekecektir. Özellikle zorlu bir alan, DORA’nın bir kuruluşun tedarik zinciri satıcılarına ve taşeronlarına düzenleyici erişiminin kapsamıdır. DORA’nın önerilen dili yalnızca “kritik” tedarik zinciri satıcılarına atıfta bulunur.
Mali düzenleyiciler kritik sağlayıcıları belirleyecek ve belirleyecek olsa da, bu sınıflandırma sağlayıcının büyüklüğünden ziyade gerçekleştirdiği işleve bağlı olacaktır. Birkaç büyük ölçekli bulut altyapısı hizmet sağlayıcısının dahil edilmesi bekleniyor. Küçük ve orta ölçekli işletmeler (KOBİ’ler) DORA’nın kapsamı dışında tutulsa da, piyasa gerçekleri, finansal kuruluşların KOBİ’lerden aynı düzeyde talepte bulunmalarının muhtemel olduğunu göstermektedir. aksi takdirde onlarla iş yapmak bir esneklik riski olarak görülebilir.
En İyi Uygulamalar ve DORA Hazırlığı
DORA’nın bu yıl içinde Avrupa Birliği tarafından kabul edilmesi bekleniyor; işletmeler uyum sağlamak için 12-24 aylık bir planlama yapmalıdır. Hazırlanmanıza yardımcı olmak için, işte DORA uyumluluğuna giden yolda olan kuruluşlardan bazı en iyi uygulamalar.
Boşlukları Tanımlayın
Anahtar gereksinimlerden biri, yönetmeliğin yarattığı gereksinimlere karşı işletmenin şu anda sahip olduğu boşluklar açısından DORA’nın etkisinin ne olacağını anlamaktır.
Yönetici Katılımı Gerektir
DORA o kadar dönüşümseldir ki, yöneticilerin katılımı olmadan, kuruluşlar uyumluluğu zorunlu kılmak için gerekli desteği veya finansmanı bulmakta ciddi şekilde zorlanacaklar. Yönetici katılımı, DORA’nın organizasyon üzerindeki etkisine bağlı olarak farklı şekillerde gerçekleşebilir. Boşlukların anlaşılması ve kilit paydaşların eğitimi anahtardır.
Bu bir finans kurumuysa, yönetici katılımı, DORA’ya uyumun, ulusal ve AB düzenleyicileri tarafından yoğun bir şekilde uygulanması muhtemel olan düzenleyici uyumun bir yönü olduğu gerçeğinden kaynaklanabilir. Bu bir BİT sağlayıcısıysa, özellikle sağlayıcı kritik olarak belirlenmişse, DORA’nın bir müşteri gereksinimi ve müşteri baskısı ve düzenleyici gözetim tarafından uygulanması muhtemel bir uyumluluk gereksinimi olduğunun farkına varılarak yönetici katılımı yönlendirilebilir.
Kurumunuzun Nerede Maruz Kaldığını Anlayın
DORA için gereksinimler çok çeşitlidir. DORA, finansal hizmetler sektörünün BİT tedarik zincirini etkileyecek, çünkü sözleşmeye dayalı ve diğer gereksinimleri empoze edecek. Ek olarak, bir BİT tedarikçisi kritik olarak belirlenirse, doğrudan DORA’ya ve onun bazı gözetim gereksinimlerine tabi olacaktır.
EBAG Uyumluluğunu Tamamlayın
DORA, esasen kendisinden önce gelen Avrupa Bankacılık Otoritesi Yönergeleri’ne (EBAG) dayanmaktadır. DORA, EBAG yönergelerinin çoğunu yasal yükümlülüklere dönüştürür ve özelleştirir.
DORA’ya uyum sağlama çabasının şirket genelinde olması gerekecektir. BİT kullanımı ve riskleri, finans kurumlarının işlerinin farklı bölümlerini böler. İşletmeler, kendi BİT risklerini, tedarikçilerini ve BİT riski taşıyan farklı iş süreçlerini planlamalıdır. DORA’ya uyum sağlamak ve kendi iş dayanıklılıklarını geliştirmek için bir strateji oluşturmaları, bir yönetişim çerçevesi geliştirmeleri ve gün doğumu döneminden yararlanmaları gerekecek.
Fidye yazılımlarından pandemiye kadar yeni ve benzersiz tehditlerle alt üst olmuş bir dünyada, Avrupa’daki yeni kurallara ayak uydurmak, işletmeniz için büyük bir rekabet avantajı sağlayabilir ve sizi dünyanın diğer bölümlerinde benzer gereksinimlere hazırlayabilir. Dünya.