Revista Top Quality Management

Publicat în data de 10.02.2025

Regulamentul DORA – Digital Operational Resilience Act

Regulamentul european 2.554/2022 privind reziliența operațională digitală a sectorului financiar (cunoscut, pe scurt, drept „DORA”) a fost oficializat pe final de 2022 și se aplică efectiv din 17 ianuarie 2025. UE a adoptat DORA, un fel de GDPR al siguranței cibernetice pentru organizațiile din sectorul financiar.

Ce este DORA?

DORA a fost concepută ca răspuns la creșterea dependenței industriei financiare de tehnologia digitală și la vulnerabilitățile asociate acesteia. Riscurile cibernetice au devenit una dintre principalele amenințări la adresa stabilității financiare, iar incidentele majore de securitate pot avea efecte devastatoare asupra băncilor, companiilor de asigurări și altor instituții financiare.

Pentru a înțelege cum se implementează DORA trebuie înțelese principiile abordării generale a celor care reglementează/supraveghează, prin aplicare principiului raționamentului calificat, principiul proporționalității și a principiul documentării, la care se adaugă principiul același risc, aceeași abordare.

Conceptul security by design se extinde de la proiectarea și dezvoltarea software la toate componentele de risc și operaționale aferente activităților unei entități financiare, la definirea produselor și serviciilor. Scopul final este păstrarea unor servicii sigure pentru client, pentru susținerea încrederii în sistemul financiar.

Într-o lume din ce în ce mai digitalizată, dematerializată, riscurile operaționale trebuie să aibă un tratament special, dincolo de abordarea prudențială, financiară (cum erau tratate de reglementările Basel IV/Solvency II până acum).

Riscuri operaționale

Riscurile operaționale sunt cele generate de procese necorespunzătoare (procese nestructurate sau implementate eronat, fără puncte de control, fără indicatori de performanță de proces, fără indicatori de risc extrași din indicatorii de performanță, absența monitorizării), oameni (erori, nemulțumiri, fraude interne, lipsă de instruire etc), sisteme (implementarea si gestionare necorespunzătoare a sistemelor tehnice, lipsa monitorizării, lipsa evidențelor și a managementul activelor și serviciilor, și neindentificare/neplasarea/nemonitorizarea acestora pe procese care susțin o activitate de business, lipsă patchuri, logurilor etc) și mediul extern (în care criminalitatea informatică, fraudele externe necesită o atenție sporită, alături de furnizori necorespunzători sau tehnologii emergente (AI, DLT, IoT, etc) neadaptate corespunzător).

Cum se implementează DORA?

DORA are în vedere patru piloni pe care companiile din sectorul financiar trebuie să îi ia în considerare pentru a înțelege maniera în care practicile lor privind tehnologia informației și comunicațiilor, reziliența operațională și cibernetică, dar și managementul riscurilor rezultate în urma colaborării cu terți asigură continuitatea funcțiilor lor critice.

Primul pilon presupune crearea unui cadru de management al riscului în jurul unui set de principii și cerințe cheie în vederea gestionării riscului privind tehnologia informației și comunicațiilor.

Al doilea pilon vizează modalitatea de raportare a incidentelor, entitățile financiare fiind nevoite să notifice astfel de cazuri în 24 de ore de la producere. În decurs de o lună, organizația compromisă este nevoită să identifice cauza primară a atacului folosind instrumente de detecție și răspuns instrumente de detecție și răspuns implementate cu ajutorul echipelor operaționale care trebuie să dea dovadă de o serie de abilități speciale în domeniu. Tehnologiile care pot sprijini procesele de detecție și răspuns sunt soluții cu care principalii jucătorii din sistemul bancar sunt cel mai probabil la zi, activând într-un sector deja puternic reglementat.

Testarea rezilienței operaționale reprezintă al treilea pilon pe care DORA îl reglementează, stabilind standarde la nivelul UE în vederea realizării acestor exerciții. Companiile care au depășit un anumit prag de maturitate – prag care va fi specificat într-un standard tehnic de reglementare ce nu a fost încă adoptat – trebuie să efectueze teste de securitate bazate pe informații despre amenințări cibernetice actuale (Threat-Led Penetration Testing) la fiecare trei ani, excepție făcând cazurile în care aceste dispoziții sunt modificate de autoritățile naționale. În țara noastră, Banca Națională a României a adoptat cadrul TIBER-RO în mai 2022, care se aplică instituțiilor financiare pe care le supraveghează. Acesta presupune testarea rezilienței cibernetice a companiilor din sectorul financiar la fiecare trei ani, iar cele care în prezent se pregătesc pentru implementarea regulamentului nr. 6/2022 privind cadrul de desfășurare a testelor de reziliență cibernetică TIBER-RO pot avea încredere că această activitate le va fi utilă în vederea respectării cerințelor avansate de testare specificate de DORA.
Prin reziliență operațională digitală, actul normativ se referă la „capacitatea unei entități financiare de a construi, a asigura și a reevalua integritatea și fiabilitatea sa operațională, prin asigurarea, în mod direct sau indirect, utilizând servicii oferite de furnizori terți de servicii TIC, a întregii game de capacități legate de TIC care sunt necesare pentru a aborda securitatea rețelelor și a sistemelor informatice utilizate de o entitate financiară și care sprijină furnizarea continuă de servicii financiare și calitatea acestora, inclusiv pe întreaga durată a perturbărilor.”

În final, al patrulea pilon precizează necesitatea adoptării unei strategii holistice în ceea ce privește gestionarea relației cu terții, care să permită o monitorizare completă din partea companiei.

Cerințele DORA

Astfel, regulamentul european vine cu un set uniform de cerințe privind securitatea rețelelor și a sistemelor informatice care sprijină procesele operaționale ale entităților financiare. Acestea se referă, în esență, la:

• cerințe aplicabile entităților financiare în legătură cu:
  • gestionarea riscurilor legate de IT&C;
  • o raportarea incidentelor majore legate de IT&C și notificarea voluntară a amenințărilor cibernetice semnificative către autorități;
  • o raportarea de către instituțiile de credit, instituțiile de plată, prestatorii de servicii de informare cu privire la conturi și instituțiile emitente de monedă electronică, către autorități, a incidentelor operaționale sau de securitate majore legate de plăți;
  • o testarea rezilienței operaționale digitale;
  • o schimbul de informații și de date operative cu privire la amenințările cibernetice și vulnerabilități;
  • o măsuri pentru buna gestionare a riscurilor IT&C generate de părți terțe;
• cerințe în legătură cu acordurile contractuale încheiate între furnizorii terți de servicii IT&C și entitățile financiare;
• reguli privind instituirea și desfășurarea cadrului de supraveghere pentru furnizorii terți esențiali de servicii IT&C, atunci când furnizează servicii entităților financiare;
• reguli privind cooperarea între autorități și norme privind supravegherea și asigurarea conformității de către autorități în legătură cu toate aspectele vizate de regulament.

În ceea ce privește lista entităților financiare vizate de Regulamentul DORA (există și unele excepții), este vorba, în linii mari, de:

• instituțiile de credit; instituțiile de plată, prestatorii de servicii de informare cu privire la conturi; instituțiile emitente de monedă electronică;
• firmele de investiții; prestatorii de servicii de criptoactive și emitenții de tokenuri raportate la active; depozitarii centrali de titluri de valoare; contrapărțile centrale; locurile de tranzacționare; registrele centrale de tranzacții; administratorii de fonduri de investiții alternative;
• societățile de administrare;
• furnizorii de servicii de raportare a datelor;
• întreprinderile de asigurare și de reasigurare; intermediarii de asigurări, intermediarii de reasigurări și intermediarii de asigurări auxiliare;
• instituțiile pentru furnizarea de pensii ocupaționale;
• agențiile de rating de credit;
• administratorii de indici de referință critici;
• furnizorii de servicii de finanțare participativă;
• registrele centrale de securitizări;
• furnizorii terți de servicii IT&C.

Act normativ

Actul normativ este destul de complex și include capitole întregi despre gestionarea riscurilor de IT&C, gestionarea, clasificarea și raportarea incidentelor legate de IT&C, testarea rezilienței operaționale digitale și gestionarea riscurilor de IT&C generate de părți terțe. În ceea ce privește verificarea și sancționarea companiilor care încalcă prevederile DORA, aceste chestiuni trebuie stabilite la nivel național de către fiecare stat membru al UE.

Conform preambulului documentului, necesitatea unor reguli noi de securitate cibernetică vine în contextul în care activitatea domeniului financiar este de-a dreptul dependentă de IT&C:
În era digitală, tehnologia informației și a comunicațiilor sprijină sistemele complexe utilizate pentru activitățile de zi cu zi. Aceasta susține activitatea economiilor noastre în sectoare-cheie, inclusiv în sectorul financiar, și îmbunătățește funcționarea pieței interne. Creșterea gradului de digitalizare și de interconectare amplifică, de asemenea, riscurile IT&C, ceea ce face ca societatea în ansamblu — și sistemul financiar, în special — să fie mai vulnerabilă la amenințările cibernetice sau la perturbările din domeniul IT&C. Deși utilizarea extensivă a sistemelor IT&C și gradul ridicat de digitalizare și conectivitate sunt în prezent caracteristicile de bază ale activităților entităților financiare din Uniune, reziliența digitală a acestora trebuie încă să fie mai bine abordată și integrată în cadrele lor operaționale mai ample.

În ultimele decenii, utilizarea IT&C a dobândit un rol esențial în furnizarea serviciilor financiare, ajungând în prezent să aibă o importanță critică în ceea ce privește operarea funcțiilor zilnice uzuale ale tuturor entităților financiare. Astăzi, digitalizarea acoperă, de exemplu, plățile, care au trecut tot mai mult de la metodele bazate pe numerar și pe suportul de hârtie la utilizarea soluțiilor digitale, precum și compensarea și decontarea titlurilor de valoare, tranzacționarea electronică și algoritmică, operațiunile de creditare și de finanțare, creditarea de la persoană la persoană, ratingul de credit, gestionarea creanțelor și operațiunile de tip back-office. Sectorul asigurărilor a fost, de asemenea, transformat prin utilizarea IT&C, de la apariția intermediarilor de asigurări care își oferă serviciile online folosind InsurTech, până la subscrierea de asigurări folosind mijloace digitale. Finanțele nu numai că au devenit în mare parte digitale în întregul sector, ci digitalizarea a aprofundat, de asemenea, interconexiunile și dependențele din interiorul sectorului financiar, precum și relaționarea cu furnizorii terți de infrastructură și servicii.

Comitetul european pentru risc sistemic a reafirmat într-un raport din 2020 care abordează riscul cibernetic sistemic modul în care nivelul ridicat existent de interconectare dintre entitățile financiare, piețele financiare și infrastructurile pieței financiare și, în special, interdependențele dintre sistemele lor IT&C ar putea constitui o vulnerabilitate sistemică, deoarece incidentele cibernetice localizate s-ar putea răspândi rapid de la oricare dintre cele aproximativ 22.000 de entități financiare ale Uniunii la întregul sistem financiar, nestingherite de limitele geografice. Breșele grave de securitate a IT&C care au loc în sectorul financiar nu afectează doar entitățile financiare luate separat. Acestea facilitează, de asemenea, propagarea vulnerabilităților localizate la nivelul canalelor de transmisie financiară și pot avea consecințe negative asupra stabilității sistemului financiar al Uniunii, cum ar fi generarea de retrageri masive de lichiditate și o pierdere generală a încrederii în piețele financiare.

Concluzie

În România, implementarea DORA vine cu provocări specifice, precum necesitatea adaptării rapide la cerințele europene, integrarea noilor reglementări în sistemele operaționale existente și coordonarea eficientă între instituțiile financiare și autoritățile naționale.

Articol semnat de: Auditor intern Iuliana – Monica BEȚIU