Zephyrnet-logo

Generatieve data-intelligentie

Fintech

DORA – Navigeren door het operationele veerkrachtlandschap van de EU

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 34

DORA – Het versterken en harmoniseren van de operationele veerkracht in de hele EU. 

Zie het volledige artikel op https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

De DORA van de EU is onvermijdelijk en zal verstrekkende gevolgen hebben buiten de Unie. Het vervangt eerdere sectorspecifieke richtlijnen voor operationele veerkracht en overwint nationale verschillen, waardoor richtlijnen voor belangrijke aandachtsgebieden in de gehele financiële sector worden geharmoniseerd.
waardeketen van de sector om een ​​gemeenschappelijk raamwerk voor de hele Unie tot stand te brengen. Dit inzicht verkent de macro-impact van DORA, waarbij de belangrijkste delen van de volledige tekst van DORA worden samengevat om het volgende te definiëren:

  1. Wat is DORA en zijn 5 aandachtsgebieden?
  2. Waarom is DORA belangrijk?
  3. Op wie is DORA van toepassing?
  4. DORA-naleving versus niet-naleving.

Digitale technologieën zijn van cruciaal belang voor mondiale financiële en kapitaalmarktbedrijven om complexe systemen te ondersteunen. Digitale technologieën zijn van cruciaal belang voor de levering van typische bedrijfsfuncties en inkomstengenererende activiteiten. Digitalisering en de daaruit voortvloeiende interconnectiviteit
maken grotere efficiëntie en kostenbesparingen mogelijk, maar vergroten ook de risico's van informatie- en communicatietechnologie (ICT) en vergroten de kwetsbaarheid van het financiële systeem voor cyberdreigingen of -verstoringen.

Ondanks gerichte beleids- en wetgevingsinitiatieven op nationaal niveau erkent de Europese Unie (EU) de cruciale noodzaak om de operationele veerkracht in haar lidstaten te harmoniseren en te versterken om de integriteit en efficiëntie van het interne systeem te beschermen.
markt, vooral gezien de escalerende cyberdreigingen1 en verstoring
incidenten2. Een mening die onlangs werd herhaald door Liquidnet3:

“De industrie is slechts zo sterk als de zwakste schakel […] 2024 zal niet alleen een groter toezicht op de naleving, risico’s en controles en technologische interoperabiliteit met zich meebrengen, maar ook een individuele verantwoordelijkheid om het ecosysteem optimaal te laten functioneren.”

Om de aanhoudende uitdagingen op het gebied van veerkracht aan te pakken, heeft de EU de Digital Operational Resilience Act (DORA) geïntroduceerd om de ICT-beveiliging en operationele robuustheid van financiële entiteiten te versterken.

Wat is DORA en zijn 5 aandachtsgebieden?

DORA werd op 14 december 2022 door het Europees Parlement en de Raad aangenomen en de naleving ervan werd vereist tegen 17 januari 2025. De verordening heeft tot doel de digitale operationele veerkracht in het financiële landschap te consolideren en te vergroten.
tot nu toe afzonderlijk behandeld in verschillende rechtshandelingen van de Unie via een gemeenschappelijk kader4 voor de digitale operationele veerkracht
van financiële entiteiten om beter bestand te zijn tegen en te herstellen van inbreuken en ICT-incidenten.

DORA's 5 aandachtsgebieden:

  1. ICT-risicobeheer.
  2. ICT-gerelateerd Incident Management, Classificatie & Rapportage.
  3. Digitale operationele veerkrachttesten.
  4. ICT Risicobeheer van derden.
  5. Regelingen voor het delen van informatie.

Waarom is DORA belangrijk?

DORA bouwt voort op en vervangt eerdere branchespecifieke richtlijnen om verschillen te overbruggen en consolideert op consistente wijze richtlijnen voor belangrijke gebieden in de gehele waardeketen. Het is uniek omdat het een gemeenschappelijk toezichtskader op vakbondsniveau introduceert
kritische externe ICT-leveranciers, zoals aangewezen door de Europese toezichthoudende autoriteiten (ESA’s)5.

Nu de financiële sector afhankelijk is van digitale ICT-systemen en naarmate de interconnectiviteit toeneemt, zullen ICT-risico’s en kwetsbaarheden in de hele Unie een steeds ontwrichtender grensoverschrijdend effect hebben, wat het effect van operationele verstoringen en cybercriminaliteit versterkt.
bedreigingen voor financiële bedrijven. DORA erkent dat digitalisering nu kritische financiële functies omvat6 als
betalingen, effectenclearing, algoritmische handel en backoffice-activiteiten. Het heeft tot doel de operationele veerkracht van deze functies te versterken om de algehele financiële stabiliteit te behouden en het consumentenvertrouwen binnen de interne markten te beschermen. DORA streeft naar behoud
het marktvertrouwen te vergroten door te zorgen voor een naadloze levering van financiële diensten, zelfs tijdens uitdagende scenario’s.

Op wie is DORA van toepassing?

DORA is van toepassing op alle financiële instellingen in de EU en op de externe ICT-dienstverleners die diensten leveren om hen te ondersteunen. Een recent inzicht10 aangesproken
dit. De DORA-verordening van de EU introduceert specifieke en prescriptieve vereisten voor alle financiëlemarktdeelnemers.

DORA – Financiële entiteiten

Om aan DORA te voldoen, moeten financiële entiteiten ICT-risicobeheerpraktijken verbeteren, waaronder het identificeren, beoordelen en beperken van risico's die verband houden met digitale activiteiten. DORA introduceert ook verplichtingen voor het snel melden van ICT-incidenten aan de
relevante autoriteiten voor verstoringen van kritieke functies. Ook moeten instellingen regelmatig verschillende verstoringen simuleren om de operationele veerkracht en het herstelvermogen te testen.

DORA benadrukt met name dat financiële entiteiten het ICT-risico van derden van hun dienstverleners moeten beoordelen en beheren en ervoor moeten zorgen dat contractuele regelingen de operationele veerkracht aanpakken. Dit heeft betrekking op de concentratie van risico (DORA artikel 2911)
en volgt incidenten zoals de OPRA-storing12en cybercriminaliteit gericht op cruciale leveranciers
in de financiële toeleveringsketen, zoals de Ion Group-hack van vorig jaar13 or
leveranciers van cloudcomputing14Wanneer een
Eén incident heeft mogelijk gevolgen voor meerdere financiële entiteiten.

Opgemerkt moet worden dat de impact van storingen niet beperkt blijft tot bedrijven en eindgebruikers, met gevolgen die mogelijk overslaan op de persoonlijke financiën, zoals blijkt uit de DBS-bank15 vroeger
dit jaar.

DORA – Afhankelijkheden van derden en operationele veerkracht

Financiële entiteiten vertrouwen steeds meer op externe leveranciers om cruciale onderdelen van hun activiteiten en diensten te leveren. DORA heeft vervolgens ook aanzienlijke gevolgen voor de afhankelijkheden van derden. Deze derde partijen omvatten cloudserviceproviders,
dataleveranciers, softwareontwikkelaars en andere technologiepartners. Het uitbesteden van bepaalde functies kan de efficiëntie vergroten en de kosten verlagen, maar brengt, zoals we bij Ion hebben gezien, ook nieuwe risico's met zich mee. Autoriteiten moeten nu verder kijken dan de veerkracht van individuele gereguleerde organisaties
bedrijven en beoordelen de bredere operationele veerkracht van de sector.

DORA benadrukt het belang van robuuste risicobeheerpraktijken voor afhankelijkheden van derden, met als doel de algehele veerkracht van de financiële sector in het digitale tijdperk te versterken. Deze omvatten:

  1. Brede reikwijdte van ICT-risico's van derden – Om de operationele veerkracht in de financiële sector te vergroten, werpt DORA een breed net uit om ICT-risico's van derden te definiëren. Bijvoorbeeld DORA artikel 3 (18)16 definieert
    ICT-derdenrisico zoals elk ICT-risico – Artikel 3, lid 517 – die voor een financiële entiteit kunnen ontstaan ​​uit het gebruik van geleverde ICT-diensten
    door een externe dienstverlener, onderaannemers of uitbestedingsregelingen.
  2. Risicobeheerpraktijken voor externe leveranciers – DORA schrijft passende risicobeheerpraktijken voor externe leveranciers voor om de operationele risico's die verband houden met relaties met derden te verminderen en de veerkracht te garanderen. Het beoogt ook een geharmoniseerde implementatie te implementeren
    regelgevingskader voor het risicobeheer van externe leveranciers in de hele EU (artikel 1518).
  3. Kritieke externe ICT-leveranciers – DORA erkent de cruciale rol van ICT-dienstverleners in de financiële dienstverlening. Als een derde partij als kritisch wordt beschouwd, zoals in sommige gevallen CJC, moet deze aan de eisen van DORA voldoen. Met name kritische derde partijen
    buiten de EU zijn verplicht een dochteronderneming binnen de EU op te richten – artikel 31, lid 1219 – hoewel preambule (82)20 aantekeningen
    de eis “mag de externe ICT-dienstverlener er niet van weerhouden ICT-diensten en daarmee samenhangende technische ondersteuning te leveren vanuit faciliteiten en infrastructuur die zich buiten de Unie bevinden.”

Over operationele veerkracht en DORA-compliance zei Gina Wee, Chief Information Officer bij CJC: “Van het implementeren van robuuste encryptie en strikte toegangscontrole tot het uitvoeren van regelmatige audits, handhaaft CJC een hoog nalevingsniveau om ervoor te zorgen dat gegevens
beveiliging. Gecombineerd met proactieve planning, adaptieve procedures en een cultuur van voortdurende verbetering garanderen wij een ononderbroken dienstverlening aan onze klanten. We hopen dat onze toewijding aan informatiebeveiliging, operationele veerkracht en verantwoordingsplicht ons daarbij zal helpen
klanten gemoedsrust en vertrouwen in onze managed services.”

DORA-naleving versus niet-naleving

Het risico van niet-naleving

Het niet naleven van DORA kan leiden tot reputatieschade, financiële verliezen en wettelijke boetes. Bedrijven die niet aan de eisen van DORA voldoen, riskeren operationele verstoringen, ontevredenheid van klanten en mogelijke juridische gevolgen.

DORA-naleving – 3 overwegingen en best practices

Om aan DORA te voldoen, moeten financiële instellingen de bestaande afhankelijkheden van derden volledig in kaart brengen en inzicht krijgen in de diensten van uitbestede functies om kritische afhankelijkheden te identificeren. Stap 2 beoordeelt de veerkracht van de in kaart gebrachte afhankelijkheden
om de operationele capaciteiten, beveiligingsmaatregelen en rampenherstelplannen van hun dienstverlener te evalueren. Ten slotte moeten contractuele overeenkomsten met derde partijen specifiek ingaan op de vereisten voor operationele veerkracht. Hierin zijn voorzieningen voor incidenten opgenomen
rapportage, bedrijfscontinuïteit en hersteltijddoelstellingen.

Om compliant te blijven, kunnen financiële instellingen verschillende stappen ondernemen om best practices te implementeren om continue naleving van DORA te garanderen. Deze omvatten:

  1. Due diligence – Wanneer u externe leveranciers selecteert, voer dan een grondig due diligence-onderzoek uit, waarbij u rekening houdt met hun staat van dienst op het gebied van prestaties, financiële stabiliteit en operationele veerkracht.
  2. Scenariotesten – Simuleer verschillende scenario's met derden om de effectiviteit van herstelplannen te testen. Hiertoe behoren cyberaanvallen, systeemstoringen en natuurrampen.
  3. Continue monitoring – Controleer regelmatig de prestaties en naleving van externe partijen en wees voorbereid op aanpassing als de houding van de veerkracht verandert.

Laatste woorden:

DORA is niet alleen een verordening; het is een strategische kans om uw operationele veerkracht te vergroten en vertrouwen op te bouwen in het digitale tijdperk. Als toonaangevend advies- en dienstverlener op het gebied van marktdatatechnologie voor de mondiale financiële markten behandelt CJC zijn standpunt
als een kritische externe leverancier van door marktgegevens beheerde diensten aan de kapitaalmarktgemeenschap serieus te nemen. Ongeacht het serviceniveau zijn de DORA-conforme normen en transparantie out-of-the-box van CJC, dat meermaals bekroond advies biedt,
beheerde services, cloudoplossingen, waarneembaarheid en professionele commerciële beheerservices voor missiekritieke marktdatasystemen. CJC is leveranciersneutraal en ISO 27001-gecertificeerd, waardoor de partners van CJC de vrijheid hebben om zich te concentreren op hun kernactiviteiten.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.