دورا - تعزيز وتنسيق المرونة التشغيلية في جميع أنحاء الاتحاد الأوروبي.
راجع المقال كاملاً على https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/
إن "دورا" في الاتحاد الأوروبي أمر لا مفر منه وسوف تخلف تأثيرات ممتدة خارج نطاق الاتحاد. وهو يحل محل المبادئ التوجيهية السابقة الخاصة بالمرونة التشغيلية الخاصة بالصناعة ويتغلب على التفاوتات الوطنية، وينسق المبادئ التوجيهية لمجالات التركيز الرئيسية عبر القطاع المالي بأكمله.
سلسلة قيمة الصناعة لإنشاء إطار مشترك عبر الاتحاد. تستكشف هذه الرؤية التأثيرات الكلية لـ DORA، وتلخص الأقسام الرئيسية للنص الكامل لـ DORA لتحديد:
- ما هي DORA ومجالات التركيز الخمسة الخاصة بها؟
- لماذا تعتبر دورا مهمة؟
- من تنطبق عليه DORA؟
- الامتثال لـ DORA مقابل عدم الامتثال.
تعتبر التقنيات الرقمية محورية بالنسبة للشركات المالية وشركات أسواق رأس المال العالمية لدعم الأنظمة المعقدة، كما أنها ضرورية لتقديم وظائف الأعمال النموذجية والأنشطة المدرة للدخل. الرقمنة والترابط الناتج عنها
تمكين قدر أكبر من الكفاءة وتوفير التكاليف ولكنه يؤدي أيضًا إلى تضخيم مخاطر تكنولوجيا المعلومات والاتصالات (ICT) وزيادة تعرض النظام المالي للتهديدات أو الاضطرابات السيبرانية.
على الرغم من المبادرات السياسية والتشريعية المستهدفة على المستوى الوطني، يدرك الاتحاد الأوروبي الحاجة الماسة إلى تنسيق وتعزيز المرونة التشغيلية عبر دوله الأعضاء لحماية سلامة وكفاءة الأجهزة الداخلية.
السوق، لا سيما بالنظر إلى التهديدات السيبرانية المتصاعدة1 والاضطراب
حوادث2. وجهة نظر رددتها Liquidnet مؤخرًا3:
"إن قوة الصناعة هي بقدر قوة أضعف حلقاتها [...] لن يمثل عام 2024 قدرًا أكبر من التدقيق التنظيمي للامتثال والمخاطر والضوابط بالإضافة إلى قابلية التشغيل البيني للتكنولوجيا فحسب، بل سيمثل أيضًا مسؤولية فردية في جعل النظام البيئي يعمل على النحو الأمثل."
ولمواجهة تحديات المرونة المستمرة، قدم الاتحاد الأوروبي قانون المرونة التشغيلية الرقمية (DORA) لتعزيز أمن تكنولوجيا المعلومات والاتصالات والمتانة التشغيلية للكيانات المالية.
ما هي DORA ومجالات التركيز الخمسة الخاصة بها؟
تم اعتماد DORA من قبل البرلمان الأوروبي والمجلس في 14 ديسمبر 2022، مع الامتثال المطلوب بحلول 17 يناير 2025. وتهدف اللائحة إلى تعزيز وتعزيز المرونة التشغيلية الرقمية عبر المشهد المالي الذي،
حتى هذه اللحظة، تم تناولها بشكل منفصل في مختلف القوانين القانونية للاتحاد عبر إطار مشترك4 للمرونة التشغيلية الرقمية
لكي تتمكن الكيانات المالية من الصمود والتعافي بشكل أفضل من الانتهاكات وحوادث تكنولوجيا المعلومات والاتصالات.
مجالات التركيز الخمسة لـ DORA:
- إدارة مخاطر تكنولوجيا المعلومات والاتصالات.
- إدارة الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات وتصنيفها وإعداد التقارير عنها.
- اختبار المرونة التشغيلية الرقمية.
- إدارة مخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات.
- ترتيبات تبادل المعلومات.
لماذا تعتبر دورا مهمة؟
تعتمد DORA على المبادئ التوجيهية السابقة الخاصة بالصناعة وتحل محلها للتغلب على الفوارق وتوحيد المبادئ التوجيهية باستمرار للمجالات الرئيسية عبر سلسلة القيمة بأكملها. إنها فريدة من نوعها لأنها تقدم إطارًا رقابيًا مشتركًا على مستوى الاتحاد
مقدمو خدمات تكنولوجيا المعلومات والاتصالات المهمون من الأطراف الثالثة، على النحو المحدد من قبل الهيئات الإشرافية الأوروبية (ESAs)5.
ومع اعتماد القطاع المالي على أنظمة تكنولوجيا المعلومات والاتصالات الرقمية ومع نمو الاتصال البيني، سيكون لمخاطر تكنولوجيا المعلومات والاتصالات ونقاط الضعف تأثير مدمر بشكل متزايد عبر الحدود في جميع أنحاء الاتحاد، مما يضخم تأثير الاضطرابات التشغيلية والهجمات السيبرانية.
التهديدات في الشركات المالية. تدرك DORA أن الرقمنة تشمل الآن وظائف مالية مهمة6 مثل
المدفوعات، ومقاصة الأوراق المالية، والتداول الخوارزمي، وعمليات المكتب الخلفي. ويهدف إلى تعزيز المرونة التشغيلية لهذه الوظائف للحفاظ على الاستقرار المالي العام وحماية ثقة المستهلك داخل الأسواق الداخلية. تهدف درة إلى الحفاظ على
ثقة السوق من خلال ضمان توفير الخدمات المالية بسلاسة حتى أثناء السيناريوهات الصعبة.
من تنطبق عليه DORA؟
تنطبق DORA على جميع المؤسسات المالية في الاتحاد الأوروبي ومقدمي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة الذين يقدمون الخدمات لدعمهم. نظرة حديثة10 تناولت
هذا. تقدم لائحة DORA الخاصة بالاتحاد الأوروبي متطلبات محددة وتوجيهية لجميع المشاركين في السوق المالية.
دورا – الكيانات المالية
للامتثال لـ DORA، يجب على الكيانات المالية تعزيز ممارسات إدارة المخاطر المتعلقة بتكنولوجيا المعلومات والاتصالات، والتي تشمل تحديد وتقييم وتخفيف المخاطر المرتبطة بالعمليات الرقمية. تقدم DORA أيضًا التزامات سريعة بالإبلاغ عن حوادث تكنولوجيا المعلومات والاتصالات إلى
السلطات المختصة في حالة حدوث خلل وظيفي خطير. كما يجب على المؤسسات محاكاة الاضطرابات المختلفة بشكل منتظم لاختبار المرونة التشغيلية وقدرات التعافي.
والجدير بالذكر أن DORA تؤكد على أنه يجب على الكيانات المالية تقييم وإدارة مخاطر تكنولوجيا المعلومات والاتصالات الخاصة بالأطراف الثالثة لمقدمي الخدمات والتأكد من أن الترتيبات التعاقدية تتناول المرونة التشغيلية. ويتعلق ذلك بتركيز المخاطر (المادة 29 من قانون إدارة المخاطر).11)
ويتبع حوادث مثل انقطاع OPRA12والجرائم الإلكترونية التي تستهدف الموردين المهمين
في سلسلة التوريد المالية مثل اختراق Ion Group العام الماضي13 or
بائعي الحوسبة السحابية14، اين ا
من المحتمل أن يؤثر حادث واحد على كيانات مالية متعددة.
تجدر الإشارة إلى أن تأثير انقطاع التيار الكهربائي لا يقتصر على الشركات والمستخدمين النهائيين، مع احتمال أن تمتد التداعيات إلى الموارد المالية الشخصية كما أظهر بنك DBS15 في وقت سابق
هذا العام.
DORA – تبعيات الطرف الثالث والمرونة التشغيلية
تعتمد الكيانات المالية بشكل متزايد على مقدمي خدمات الطرف الثالث لتقديم أجزاء مهمة من عملياتها وخدماتها، وبالتالي، تؤثر DORA أيضًا بشكل كبير على تبعيات الطرف الثالث. تتضمن هذه الأطراف الثالثة موفري الخدمات السحابية،
بائعي البيانات ومطوري البرامج وشركاء التكنولوجيا الآخرين. يمكن أن يؤدي الاستعانة بمصادر خارجية لوظائف معينة إلى تعزيز الكفاءة وتقليل التكاليف، ولكن كما رأينا مع Ion، فإنه يقدم أيضًا مخاطر جديدة. ويجب على السلطات الآن أن تنظر إلى ما هو أبعد من قدرة الأفراد الخاضعين للتنظيم على الصمود
الشركات وتقييم المرونة التشغيلية الأوسع للقطاع.
تؤكد DORA على أهمية ممارسات إدارة المخاطر القوية لتبعيات الطرف الثالث بهدف تعزيز المرونة الشاملة للقطاع المالي في العصر الرقمي. وتشمل هذه:
- نطاق واسع لمخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات - لتعزيز المرونة التشغيلية عبر قطاع الخدمات المالية، تضع DORA شبكة واسعة لتحديد مخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات. على سبيل المثال، المادة 3 (18) من قانون دورا16 يحدد
مخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات كأي خطر في مجال تكنولوجيا المعلومات والاتصالات - المادة 3 (5)17 - التي قد تنشأ بالنسبة لكيان مالي نتيجة لاستخدام خدمات تكنولوجيا المعلومات والاتصالات المقدمة
من قبل مزود خدمة خارجي أو مقاولين من الباطن أو ترتيبات الاستعانة بمصادر خارجية. - ممارسات إدارة المخاطر للبائعين الخارجيين - تفرض DORA ممارسات إدارة المخاطر المناسبة للبائعين الخارجيين لتقليل المخاطر التشغيلية المرتبطة بعلاقات الطرف الثالث وضمان المرونة. ويهدف أيضا إلى تنفيذ منسقة
الإطار التنظيمي لإدارة مخاطر البائعين الخارجيين في جميع أنحاء الاتحاد الأوروبي (المادة 1518). - مقدمو خدمات تكنولوجيا المعلومات والاتصالات المهمون من الطرف الثالث - تدرك DORA الدور الحاسم لمقدمي خدمات تكنولوجيا المعلومات والاتصالات في الخدمات المالية. إذا تم اعتبار طرف ثالث بالغ الأهمية، مثل CJC في بعض الحالات، فيجب عليه الالتزام بمتطلبات DORA. والجدير بالذكر أن الأطراف الثالثة المهمة
خارج الاتحاد الأوروبي مطلوب منهم إنشاء شركة تابعة داخل الاتحاد الأوروبي - المادة 31 (12)19 - بالرغم من الديباجة (82)20 ملاحظات
ولا ينبغي أن يمنع هذا المتطلب مقدم خدمة الطرف الثالث المهم لتكنولوجيا المعلومات والاتصالات من توفير خدمات تكنولوجيا المعلومات والاتصالات والدعم الفني ذي الصلة من المرافق والبنية التحتية الموجودة خارج الاتحاد.
وفي حديثها عن المرونة التشغيلية والامتثال لـ DORA، قالت جينا وي، كبيرة مسؤولي المعلومات في CJC: "من تنفيذ التشفير القوي والتحكم الصارم في الوصول إلى إجراء عمليات تدقيق منتظمة، تدعم CJC مستويات عالية من الامتثال لضمان البيانات
حماية. إلى جانب التخطيط الاستباقي والإجراءات التكيفية وثقافة التحسين المستمر، فإننا نضمن تقديم خدمات دون انقطاع لعملائنا. نأمل أن يوفر التزامنا بأمن المعلومات والمرونة التشغيلية والمساءلة ما لدينا
راحة البال والثقة للعملاء في خدماتنا المدارة.
الامتثال لـ DORA مقابل عدم الامتثال
مخاطر عدم الامتثال
قد يؤدي عدم الالتزام بـ DORA إلى الإضرار بالسمعة والخسائر المالية والعقوبات التنظيمية. تخاطر الشركات التي لا تلتزم بمتطلبات DORA باضطرابات تشغيلية، واستياء العملاء، وعواقب قانونية محتملة.
الامتثال لـ DORA - 3 اعتبارات وأفضل الممارسات
للامتثال لـ DORA، يجب على المؤسسات المالية رسم خريطة شاملة لتبعيات الطرف الثالث الحالية وإشراك فهم خدمات الوظائف الخارجية لتحديد التبعيات الهامة. تقوم الخطوة 2 بتقييم مرونة التبعيات المعينة
لتقييم القدرات التشغيلية لمزود الخدمة والتدابير الأمنية وخطط التعافي من الكوارث. وأخيرًا، يجب أن تتناول الاتفاقيات التعاقدية مع الأطراف الثالثة على وجه التحديد متطلبات المرونة التشغيلية. وهذا يشمل أحكام الحادث
إعداد التقارير واستمرارية الأعمال وأهداف وقت التعافي.
وللحفاظ على الامتثال، يمكن للمؤسسات المالية اتخاذ عدة خطوات لتنفيذ أفضل الممارسات لضمان الامتثال المستمر لـ DORA. وتشمل هذه:
- العناية الواجبة – عند اختيار مقدمي خدمات خارجيين، قم بإجراء العناية الواجبة الشاملة من خلال النظر في سجل إنجازاتهم واستقرارهم المالي ومرونتهم التشغيلية.
- اختبار السيناريو – محاكاة سيناريوهات مختلفة مع أطراف ثالثة لاختبار فعالية خطط الاسترداد. وينبغي أن يشمل ذلك الهجمات الإلكترونية، وفشل النظام، والكوارث الطبيعية.
- المراقبة المستمرة - مراقبة أداء الطرف الثالث وامتثاله بانتظام، والاستعداد للتكيف في حالة تغير أوضاع المرونة.
الكلمات الأخيرة:
DORA ليست مجرد لائحة؛ إنها فرصة استراتيجية لتعزيز مرونتك التشغيلية وبناء الثقة في العصر الرقمي. باعتبارها الشركة الرائدة في مجال استشارات تكنولوجيا بيانات السوق ومزود الخدمات للأسواق المالية العالمية، تتعامل CJC مع مكانتها
كمورد خارجي مهم للخدمات المُدارة ببيانات السوق لمجتمع سوق رأس المال على محمل الجد. بغض النظر عن مستوى الخدمة، فإن المعايير والشفافية المتوافقة مع DORA تعتبر خارج الصندوق من CJC، التي تقدم استشارات حائزة على العديد من الجوائز،
الخدمات المُدارة، والحلول السحابية، وإمكانية المراقبة، وخدمات الإدارة التجارية الاحترافية لأنظمة بيانات السوق ذات المهام الحرجة. CJC هي شركة محايدة للبائعين وحاصلة على شهادة ISO 27001، مما يتيح لشركاء CJC حرية التركيز على أعمالهم الأساسية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs
