وبلاگ

You are currently viewing DORA – پیمایش در چشم انداز انعطاف پذیری عملیاتی اتحادیه اروپا – TechToday

DORA – پیمایش در چشم انداز انعطاف پذیری عملیاتی اتحادیه اروپا – TechToday


DORA – تقویت و هماهنگ سازی انعطاف پذیری عملیاتی در اتحادیه اروپا.

مقاله کامل را در https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/ ببینید

EU DORA اجتناب ناپذیر است و اثرات موجی فراتر از اتحادیه خواهد داشت. این جایگزین دستورالعمل‌های خاص صنعت قبلی در مورد پایداری عملیاتی می‌شود و با هماهنگ کردن راهنمایی‌ها در حوزه‌های تمرکز کلیدی در سراسر امور مالی، بر تفاوت‌های ملی غلبه می‌کند.
زنجیره ارزش صنعتی برای ایجاد یک چارچوب مشترک در سراسر اتحادیه. این بینش تأثیرات کلان DORA را با خلاصه کردن بخش‌های کلیدی متن کامل DORA برای تعریف زیر بررسی می‌کند:

  1. DORA و 5 حوزه تمرکز آن چیست؟
  2. چرا DORA مهم است؟
  3. DORA برای چه کسانی درخواست می کند؟
  4. DORA مطابقت در مقابل عدم انطباق.

فناوری‌های دیجیتال برای شرکت‌ها در بازارهای مالی و سرمایه جهانی برای پشتیبانی از سیستم‌های پیچیده ضروری هستند، آنها برای ارائه عملکردهای تجاری معمولی و فعالیت‌های درآمدزا حیاتی هستند. دیجیتالی شدن و ارتباط متقابل ناشی از آن
کارایی بیشتر و صرفه جویی در هزینه را فراهم می کند، اما خطرات فناوری اطلاعات و ارتباطات (ICT) را افزایش می دهد و آسیب پذیری سیستم مالی را در برابر تهدیدات یا اختلالات سایبری افزایش می دهد.

با وجود سیاست های هدفمند و ابتکارات قانونی در سطح ملی، اتحادیه اروپا (EU) نیاز اساسی به هماهنگ سازی و تقویت انعطاف پذیری عملیاتی در کشورهای عضو خود را برای محافظت از یکپارچگی و اثربخشی داخلی تشخیص می دهد.
بازار، به ویژه با توجه به افزایش تهدیدات سایبری1 و اختلال
حوادث 2. نمایی که اخیرا توسط Liquidnet3 تکرار شده است:

یک صنعت به اندازه ضعیف ترین حلقه آن قوی است […] سال 2024 نه تنها نمایانگر بررسی دقیق‌تر نظارتی در مورد انطباق، خطرات و کنترل‌ها، و همچنین قابلیت همکاری فناوری، بلکه مسئولیت فردی برای عملکرد بهینه اکوسیستم نیز خواهد بود.

در پاسخ به چالش‌های تاب‌آوری مداوم، اتحادیه اروپا قانون مقاومت عملیاتی دیجیتال (DORA) را برای تقویت امنیت فناوری اطلاعات و ارتباطات و انعطاف‌پذیری عملیاتی نهادهای مالی معرفی کرد.

DORA و 5 حوزه تمرکز آن چیست؟

DORA در 14 دسامبر 2022 توسط پارلمان اروپا و شورا تصویب شد و مطابق با آن تا 17 ژانویه 2025 الزامی شد. هدف این مقررات تجمیع و بهبود انعطاف پذیری عملیاتی دیجیتال در چشم انداز مالی است
تاکنون به طور جداگانه در قوانین مختلف اتحادیه از طریق یک چارچوب مشترک 4 برای انعطاف پذیری عملیاتی دیجیتال پرداخته شده است
برای نهادهای مالی برای مقاومت و بازیابی بهتر از نقض ها و حوادث ICT.

5 حوزه تمرکز DORA:

  1. مدیریت ریسک فناوری اطلاعات و ارتباطات
  2. مدیریت، طبقه بندی و گزارش حوادث ICT.
  3. تست انعطاف پذیری عملیاتی دیجیتال.
  4. مدیریت ریسک ICT شخص ثالث.
  5. قراردادهای اشتراک اطلاعات

چرا DORA مهم است؟

DORA برای رسیدگی به شکاف‌ها بر اساس و جایگزین دستورالعمل‌های خاص صنعت قبلی می‌شود و به طور مداوم راهنمایی‌ها را در زمینه‌های کلیدی در سراسر زنجیره ارزش یکپارچه می‌کند. این منحصر به فرد است زیرا چارچوب مشترکی را برای نظارت در سطح اتحادیه معرفی می کند
ارائه دهندگان مهم ICT شخص ثالث که توسط مقامات نظارتی اروپا (ESA) تعیین شده اند.

از آنجایی که بخش مالی به سیستم‌های دیجیتال ICT متکی است و با رشد اتصالات متقابل، خطرات و آسیب‌پذیری‌های فناوری اطلاعات و ارتباطات تأثیرات برون مرزی فزاینده‌ای در سراسر اتحادیه خواهد داشت و اثرات اختلالات عملیاتی و فضای سایبری را تشدید می‌کند.
تهدید در شرکت های مالی DORA تشخیص می‌دهد که دیجیتالی‌سازی در حال حاضر عملکردهای مالی حیاتی را در بر می‌گیرد
پرداخت ها، تسویه اوراق بهادار، معاملات الگوریتمی و عملیات پشتیبان. هدف آن تقویت انعطاف پذیری عملیاتی این عملکردها برای حفظ ثبات مالی کلی و محافظت از اعتماد مصرف کننده در بازارهای داخلی است. هدف DORA حفظ است
اطمینان بازار با اطمینان از ارائه یکپارچه خدمات مالی حتی در سناریوهای چالش برانگیز.

DORA برای چه کسانی درخواست می کند؟

DORA برای همه مؤسسات مالی در اتحادیه اروپا و ارائه دهندگان خدمات ICT شخص ثالث که خدماتی را برای حمایت از آنها ارائه می دهند، اعمال می شود. توجه به یک بینش اخیر جلب شده است10
این. مقررات اتحادیه اروپا DORA الزامات خاص و تجویزی را برای همه فعالان بازار مالی معرفی می کند.

DORA – نهادهای مالی

برای رعایت DORA، نهادهای مالی باید شیوه‌های مدیریت ریسک ICT خود را بهبود بخشند، که شامل شناسایی، ارزیابی و کاهش خطرات مرتبط با عملیات دیجیتال می‌شود. DORA همچنین تعهداتی را برای گزارش فوری حوادث ICT معرفی می کند
مقامات مربوطه برای اختلالات عملکردی حیاتی. علاوه بر این، موسسات باید به طور منظم اختلالات مختلف را برای آزمایش انعطاف‌پذیری عملیاتی و قابلیت‌های بازیابی شبیه‌سازی کنند.

به طور خاص، DORA تأکید می کند که نهادهای مالی باید ریسک ICT شخص ثالث ارائه دهندگان خدمات خود را ارزیابی و مدیریت کنند و اطمینان حاصل کنند که ترتیبات قراردادی به انعطاف پذیری عملیاتی می پردازد. این به تمرکز ریسک اشاره دارد (بخش 2911 DORA)
و حوادثی مانند قطع OPRA12 و جرایم سایبری که تامین کنندگان مهم را هدف قرار می دهند را ردیابی می کند
در زنجیره تامین مالی مانند هک گروه یون در سال گذشته13 یا
ارائه دهندگان محاسبات ابری14 که در آن الف
یک حادثه به طور بالقوه بر چندین نهاد مالی تأثیر می گذارد.

لازم به ذکر است که تأثیر قطع‌ها به مشاغل و کاربران نهایی محدود نمی‌شود، و عواقب آن به طور بالقوه به امور مالی شخصی نیز سرایت می‌کند که قبلاً توسط DBS bank15 نشان داده شد.
امسال.

DORA – وابستگی های شخص ثالث و انعطاف پذیری عملیاتی

از آنجایی که واحدهای مالی به طور فزاینده ای به ارائه دهندگان شخص ثالث برای ارائه بخش های حیاتی عملیات و خدمات خود متکی هستند، DORA نیز به طور قابل توجهی بر وابستگی های شخص ثالث تأثیر می گذارد. این اشخاص ثالث شامل ارائه دهندگان خدمات ابری هستند،
ارائه دهندگان داده، توسعه دهندگان نرم افزار و سایر شرکای فناوری. برون سپاری عملکردهای خاص می تواند کارایی را بهبود بخشد و هزینه ها را کاهش دهد، اما همانطور که در مورد Ion دیدیم، خطرات جدیدی را نیز به همراه دارد. اکنون مقامات باید به فراتر از پایداری مقررات فردی نگاه کنند
شرکت ها و ارزیابی پایداری عملیاتی گسترده تر این بخش.

DORA بر اهمیت شیوه‌های صحیح مدیریت ریسک برای وابستگی‌های شخص ثالث با هدف تقویت انعطاف‌پذیری کلی بخش مالی در عصر دیجیتال تأکید می‌کند. آنها عبارتند از:

  1. پوشش گسترده ریسک ICT شخص ثالث – برای بهبود انعطاف پذیری عملیاتی در بخش خدمات مالی، DORA شبکه گسترده ای را برای تعریف ریسک ICT شخص ثالث ایجاد می کند. به عنوان مثال، ماده 3 (18) 16 DORA تعریف می کند
    خطر ICT برای شخص ثالث به عنوان هر خطر ICT – ماده 3 (5)، 17 – که ممکن است برای یک واحد مالی ناشی از استفاده از خدمات ICT ارائه شده ایجاد شود.
    از یک ارائه دهنده خدمات شخص ثالث، پیمانکاران فرعی یا ترتیبات برون سپاری.
  2. شیوه های مدیریت ریسک برای ارائه دهندگان شخص ثالث – DORA شیوه های مدیریت ریسک مناسب را برای ارائه دهندگان شخص ثالث الزام می کند تا ریسک های عملیاتی مرتبط با روابط شخص ثالث را کاهش داده و انعطاف پذیری را تضمین کند. همچنین هدف آن اجرای هماهنگ است
    چارچوب نظارتی برای مدیریت ریسک ارائه دهندگان شخص ثالث در سراسر اتحادیه اروپا (ماده 1518).
  3. ارائه دهندگان ICT شخص ثالث مهم – DORA نقش حیاتی ارائه دهندگان خدمات ICT در خدمات مالی را تشخیص می دهد. اگر شخص ثالثی حیاتی در نظر گرفته شود، مانند CJC در برخی موارد، باید الزامات DORA را برآورده کند. به ویژه اشخاص ثالث مهم
    شرکت های غیر اتحادیه اروپا ملزم به ایجاد یک شرکت تابعه در اتحادیه اروپا هستند – ماده 31 (12) 19 – اگرچه مقدمه (82) 20 تبصره
    این الزام “نباید مانع از ارائه خدمات ICT و پشتیبانی فنی مرتبط از تاسیسات و زیرساخت های واقع در خارج از اتحادیه توسط یک ارائه دهنده خدمات مهم ICT شخص ثالث شود”.

جینا وی، مدیر ارشد اطلاعات در CJC، در مورد انعطاف‌پذیری عملیاتی و انطباق با DORA گفت: «از اجرای رمزگذاری قوی و کنترل‌های دسترسی دقیق گرفته تا انجام ممیزی‌های منظم، CJC سطوح بالایی از انطباق را برای حفاظت از داده‌ها حفظ می‌کند.
امنیت. همراه با برنامه ریزی فعال، رویه های تطبیقی ​​و فرهنگ بهبود مستمر، ما خدمات مستمر را به مشتریان خود تضمین می کنیم. ما امیدواریم که تعهد ما به امنیت اطلاعات، انعطاف‌پذیری عملیاتی و مسئولیت‌پذیری محقق شود
آرامش خاطر مشتریان و اعتماد به خدمات مدیریت شده ما.»

DORA مطابقت در مقابل عدم انطباق

خطر عدم رعایت

عدم رعایت DORA می تواند منجر به آسیب به شهرت، ضرر مالی و مجازات های قانونی شود. کسب‌وکارهایی که از DORA پیروی نمی‌کنند، خطر اختلال در عملیات، نارضایتی مشتری و عواقب قانونی احتمالی را دارند.

DORA Compliance – 3 ملاحظات و بهترین شیوه ها

برای پیروی از DORA، موسسات مالی باید به طور جامع وابستگی های شخص ثالث موجود را ترسیم کنند و درک خدمات برون سپاری را برای شناسایی وابستگی های حیاتی ترکیب کنند. مرحله 2 استحکام وابستگی های نقشه برداری شده را ارزیابی می کند
قابلیت‌های عملیاتی، اقدامات امنیتی و طرح‌های بازیابی فاجعه‌ای ارائه‌دهنده خدمات خود را ارزیابی کنند. در نهایت، توافقات قراردادی با اشخاص ثالث باید به طور خاص به الزامات انعطاف پذیری عملیاتی بپردازد. این شامل مقررات مربوط به حوادث می شود
اهداف گزارش، تداوم کسب و کار و زمان بازیابی.

برای حفظ سازگاری، موسسات مالی می توانند چندین گام برای اجرای بهترین شیوه ها برای اطمینان از تداوم انطباق DORA بردارند. آنها عبارتند از:

  1. دقت لازم – هنگام انتخاب فروشندگان شخص ثالث، با در نظر گرفتن سوابق کاری، ثبات مالی و پایداری عملیاتی، بررسی دقیقی انجام دهید.
  2. تست سناریو – شبیه سازی سناریوهای مختلف با اشخاص ثالث برای آزمایش اثربخشی طرح های بازیابی. این باید شامل حملات سایبری، خرابی سیستم و بلایای طبیعی باشد.
  3. نظارت مستمر – عملکرد و انطباق شخص ثالث را به طور منظم زیر نظر داشته باشید، در صورت تغییر وضعیت انعطاف پذیری، آماده سازگاری باشید.

کلمات پایانی:

DORA فقط یک مقررات نیست. این یک فرصت استراتژیک برای بهبود انعطاف پذیری عملیاتی شما و ایجاد اعتماد در عصر دیجیتال است. CJC به عنوان یک مشاور پیشرو در زمینه فناوری داده و ارائه دهنده خدمات در بازارهای مالی جهانی، موقعیت خود را مورد توجه قرار می دهد
به عنوان یک ارائه دهنده شخص ثالث مهم خدمات مبتنی بر داده های بازار، به طور جدی به جامعه بازار سرمایه. صرف نظر از سطح خدمات، استانداردهای منطبق با DORA و شفافیت از CJC که مشاوره برنده چندین جایزه را ارائه می دهد، آماده است.
خدمات مدیریت شده، راه حل های ابری، مشاهده پذیری و خدمات حرفه ای مدیریت تجاری برای سیستم های داده بازار حیاتی. CJC فروشنده خنثی است و دارای گواهینامه ISO 27001 است که به شرکای CJC اجازه می دهد تا روی تجارت اصلی خود تمرکز کنند.



Source link