|
Αφενός
οι ραγδαίες τεχνολογικές εξελίξεις και αφετέρου
η πανδημία COVID-19 ώθησε τους καταναλωτές να
στραφούν περισσότερο στο διαδίκτυο και τις
χρηματοοικονομικές επιχειρήσεις να προσαρμοστούν
στη ζήτηση υιοθετώντας εργαλεία ΤΠΕ μέσα από ένα
ευρύ φάσμα τεχνολογιών και εφαρμογών που
διευκολύνουν την ευφυή επεξεργασία δεδομένων,
την αυτόνομη επικοινωνία συστημάτων και την
ανταλλαγή δομημένου περιεχομένου.
Στη
σύγχρονη εποχή έννοιες και όροι όπως η Ψηφιακή
Τραπεζική, Online συναλλαγές και επενδύσεις,
Καινοτομίες στην Χρηματοοικονομική (FinTech) και
Εποπτική (SupTech) τεχνολογία, Τεχνητή Νοημοσύνη
(AI), Μεγάλα Δεδομένα (Big Data),
Κυβερνοασφάλεια (Cyber Security), Τεχνολογίες
νέφους (cloud computing), Blockchain, Προστασία
δεδομένων (Data Protection) χρησιμοποιούνται
ευρέως και είναι πλέον κατανοητοί από μεγάλο
μέρος των επενδυτών.
Οι
επιχειρήσεις, με στόχο τη βελτίωση της
αποδοτικότητας και της εμπειρίας του πελάτη τους
αλλά και την επίτευξη οικονομιών κλίμακας
βασίστηκαν σε ‘Τρίτους Παρόχους Υπηρεσιών ΤΠΕ
(ΤΠΥ-ΤΠΕ) για να υποστηρίξουν τις μεταβαλλόμενες
ανάγκες τους με προϊόντα και υπηρεσίες υψηλής
τεχνολογίας. H συγκεκριμένη τάση, που προσέφερε
νέες ευκαιρίες καινοτομίας, και ανταγωνισμού
στην ποιότητα των παρεχόμενων χρηματοοικονομικών
υπηρεσιών, ανέδειξε ταυτόχρονα την ανάγκη
υιοθέτησης ρυθμιστικού πλαισίου που να
περιλαμβάνει τους ΤΠΥ-ΤΠΕ ως προς τον τρόπο που
επηρεάζουν τη διαχείριση κινδύνων ψηφιακού
χαρακτήρα και σχετίζονται με την ασφάλεια
δεδομένων στον κυβερνοχώρο, την ψηφιακή
αποκατάσταση συστημάτων, την επιχειρησιακή
συνέχεια κ.α.
Το
ρυθμιστικό πλαίσιο της Ευρωπαϊκής Ένωσης (ΕΕ)
για την διαχείριση των κινδύνων στο νέο ψηφιακό
περιβάλλον, όπως αυτό έχει διαμορφωθεί στον
χρηματοοικονομικό τομέα, είναι κατακερματισμένο
και υψώνει εμπόδια στους εμπλεκόμενους φορείς
και κατ’ επέκταση στη λειτουργία της αγοράς.
Ξεχωριστά νομοθετήματα καλύπτουν συγκεκριμένες
ανάγκες διαχείρισης κινδύνων χωρίς να
αντιμετωπίζουν συνολικά, κατά τον χρόνο έκδοσής
τους, όλες τις συνιστώσες της επιχειρησιακής
ανθεκτικότητας ΤΠΕ που εισήγαγε ο ψηφιακός
μετασχηματισμός των επιχειρήσεων.
Στις 22
Δεκεμβρίου 2022 δημοσιεύτηκε στην επίσημη
εφημερίδα της Ευρωπαϊκής Ένωσης ο Κανονισμός
(ΕΕ) 2022/2554, γνωστός και ως Digital
Operational Resilience Act (DORA), ο οποίος ως
ενιαία νομοθετική πράξη αναβάθμισε τους κανόνες
σχετικά με τους κινδύνους χρήσης ΤΠΕ
συνδυάζοντας επιπλέον για πρώτη φορά με
συνεκτικό τρόπο όλες τις ισχύουσες διατάξεις που
αφορούν στον ψηφιακό κίνδυνο του
χρηματοοικονομικού τομέα.
Ο
Κανονισμός DORA ξεδιπλώνεται με στοχευμένους
κανόνες για ένα συνεκτικό πλαίσιο διαχείρισης
κινδύνων ΤΠΕ (ICT Risk Management Framework),
για την οργανωμένη αναφορά και ταξινόμηση
συμβάντων ΤΠΕ (ICT Incident Reporting), για τις
προηγμένες δοκιμές ψηφιακής καταπόνησης
συστημάτων ΤΠΕ (Resilience Testing) και για την
θεσμοθέτηση, για πρώτη φορά, πλαισίου άμεσης
εποπτείας των κρίσιμων ΤΠΥ-ΤΠΕ (Oversight
Framework).
Η
περίοδος εφαρμογής του DORA έχει οριστεί στα δύο
έτη από την δημοσίευση του Κανονισμού και
αναμένεται να τεθεί σε πλήρη εφαρμογή εντός του
πρώτου τριμήνου του 2025. Στο διάστημα αυτό, με
τη συμμετοχή των εμπλεκόμενων φορέων μέσω
διαδικασιών διαβούλευσης, ένα σύνολο ρυθμιστικών
και εφαρμοστικών τεχνικών προτύπων εξειδικεύουν
διατάξεις του Κανονισμού για την διευκόλυνση της
εφαρμογής του.
Το πεδίο
εφαρμογής του Κανονισμού DORA επηρεάζει μεγάλο
φάσμα των συμμετεχόντων στον χρηματοοικονομικό
τομέα που εκτείνεται από τα Πιστωτικά Ιδρύματα
και τα Συστήματα Πληρωμών μέχρι τα Χρηματιστήρια
και τα Συνταξιοδοτικά-Ασφαλιστικά Ταμεία
(Χρηματοοικονομικές Οντότητες).
Στη
φιλοσοφία του ο Κανονισμός εμπεριέχει την Αρχή
της Αναλογικότητας (Proportionality Principle)
σύμφωνα με την οποία οι Χρηματοοικονομικές
Οντότητες ενώ ακολουθούν παρόμοια προσέγγιση για
την διαχείριση και την αντιμετώπιση των κινδύνων
ΤΠΕ, το πλαίσιο των κοινών αρχών και κανόνων του
συναρτάται από το μέγεθός τους, την
πολυπλοκότητα των διαδικασιών που εφαρμόζουν και
των υπηρεσιών που προσφέρουν και το προφίλ
κινδύνων στους οποίους είναι εκτεθειμένες. Υπό
προϋποθέσεις, προβλέπεται για τις
Χρηματοοικονομικές Οντότητες η εφαρμογή
απλοποιημένου πλαισίου διαχείρισης κινδύνου ΤΠΕ
ή/και η εξαίρεση εφαρμογής της νομοθεσίας για
τις πολύ μικρές επιχειρήσεις.
Ενώ ο
DORA επιβαρύνει λειτουργικά τις υπηρεσίες
ελέγχου, διαχείρισης κινδύνου και παρακολούθησης
ΤΠΕ των εποπτευόμενων φορέων, αυξάνοντας τις
απαιτήσεις συμμόρφωσης για την ενίσχυση της
ψηφιακής επιχειρησιακής ανθεκτικότητας
ταυτόχρονα μειώνει το κόστος συμμόρφωσής τους με
τα επιμέρους κατακερματισμένα και συχνά
επικαλυπτόμενα νομοθετήματα. Η ολιστική
προσέγγιση που ακολουθεί ο Κανονισμός στον
χρηματοοικονομικό χώρο προσφέρει πλεονεκτήματα
που προσδίδουν αξία στη λειτουργία των
επιχειρήσεων. Με την ενσωμάτωση των ρυθμίσεων,
αποδεικνύεται η δέσμευση της εταιρείας για
συνέχεια στην παροχή υπηρεσιών προς τους πελάτες
της, για αύξηση του δείκτη εμπιστοσύνης των
πελατών της, για αποτελεσματική διαχείριση
κινδύνων, για τη βέλτιστη κατανομή πόρων
λειτουργίας και για την αναζήτηση ανταγωνιστικών
πλεονεκτημάτων.
Για
παράδειγμα, οι επιχειρήσεις του
χρηματοοικονομικού χώρου που εφαρμόζουν τακτικά
πολιτικές δοκιμών κυβερνοασφάλειας και δοκιμές
ψηφιακής καταπόνησης, όπως παρουσιάζονται στον
DORA, μπορούν να ποσοτικοποιούν και να
βελτιώνουν την κυβερνουγειϊνή των συστημάτων
τους ώστε να διαχειρίζονται καλύτερα ή και να
αποτρέπουν πιθανά συμβάντα που σχετίζονται με
τις ΤΠΕ. Αυτό με τη σειρά του οικοδομεί σχέση
εμπιστοσύνης/συνέπειας της εταιρείας με τους
πελάτες και τους συνεργάτες της, δεδομένου ότι
οι τελευταίοι εκτιμούν την ασφάλεια και την
σταθερότητα των συναλλαγών τους και των
προσωπικών τους πληροφοριών σε ένα χώρο ο οποίος
βρίσκεται όλο και περισσότερο στο στόχαστρο
κυβερνοαπειλών.
Ένα
επιπλέον παράδειγμα του τρόπου με τον οποίο ο
DORA προσθέτει αξία στις επιχειρήσεις του
χρηματοοικονομικού τομέα σχετίζεται με την
παροχή υπηρεσιών ΤΠΕ από τρίτους, οι οποίοι
επίσης εμπίπτουν στο πεδίο εφαρμογής του
Κανονισμού μέσο του νέου Ευρωπαϊκού εποπτικού
πλαισίου που υλοποιείται (Oversight Framework).
Σύμφωνα με τον DORA, οι ΤΠΥ- ΤΠΕ και ιδιαίτερα
όσοι κατατάσσονται στην κατηγορία των κρίσιμων
παρόχων πρέπει να συμμορφώνονται με τις
απαιτήσεις του Κανονισμού ως προς την ποιότητα
των υπηρεσιών τους στο πλαίσιο ενός
τυποποιημένου συμβατικού τοπίου εξωτερικής
ανάθεσης εργασιών ΤΠΕ σε ολόκληρη την Ευρωπαϊκή
Ένωση.
Έτσι, ο
DORA δεν εκλαμβάνεται μόνο ως μια επιπρόσθετη
δαπάνη συμμόρφωσης που επηρεάζει αρνητικά τον
ισολογισμό μιας επιχείρησης, αλλά μάλλον
περισσότερο ως αναπτυξιακό εργαλείο που στηρίζει
την αξιοπιστία των παρεχόμενων υπηρεσιών
δημιουργώντας παράλληλα προστιθέμενη αξία για
τις επιχειρήσεις.
Η
συμμόρφωση των χρηματοοικονομικών οντοτήτων με
τους κανόνες για την ψηφιακή επιχειρησιακή
ανθεκτικότητα είναι όμως η μια πλευρά του
νομίσματος. Η άλλη, που αφορά στη συστηματική
και αποτελεσματική εποπτεία που ασκείται από τις
αρμόδιες αρχές, σε σχέση πάντα με την ψηφιακή
επιχειρησιακή ανθεκτικότητα, συμπληρώνει το
πακέτο μέτρων υγιεινής στο χώρο παροχής των
χρηματοοικονομικών υπηρεσιών.
Οι
προκλήσεις που εισάγονται με τον νέο Κανονισμό
(DORA) στην Ελλάδα, ιδιαίτερα για την Τράπεζα
της Ελλάδος, την Επιτροπή Κεφαλαιαγοράς, το
Υπουργείο Ψηφιακής Διακυβέρνησης αφορούν στην
προσαρμογή των εποπτικών διαδικασιών στο νέο
περιβάλλον και κυρίως στην αλλαγή κουλτούρας με
στόχο την αποτελεσματική εποπτεία με πρακτικές
που βασίζονται σε ψηφιακά δεδομένα (data driven
supervisory practices) και σε ΤΠΕ.
Η
προσαρμογή στις προκλήσεις προϋποθέτει συνδυασμό
τεχνικών γνώσεων και αναλυτικών δεξιοτήτων με
εξειδίκευση στην κανονιστική συμμόρφωση. Η
διαρκής ενημέρωση/ επιμόρφωση των στελεχών του
χρηματοοικονομικού χώρου στις νέες τεχνολογίες,
ο συντονισμός συνεργασιών και εποπτικών
ενεργειών σε εθνικό και ευρωπαϊκό επίπεδο, η
διάθεση επιπλέον πόρων και η προσέλκυση
προσωπικού με επάρκεια στην καινοτομία, στη
διαχείριση δεδομένων καθώς και στην
κυβερνοασφάλεια αποτελούν επιλογές στρατηγικού
σχεδιασμού των ενδιαφερόμενων φορέων.
Συνοψίζοντας, σημειώνεται ότι η ταχύτητα με την
οποία εφαρμόζονται οι τεχνολογικοί νεωτερισμοί
στον χρηματοοικονομικό χώρο επιβάλει τη
συμμετοχή όλων των εμπλεκόμενων φορέων ώστε να
επιτευχθεί η χρήσιμη ισορροπία ανάμεσα στην
καινοτομία και την κανονιστική συμμόρφωση για
μια επιχειρησιακά ανθεκτική χρηματοοικονομική
βιομηχανία. Ως εκ τούτου, η δημοσίευση του
Κανονισμού DORA στη συγκεκριμένη χρονική στιγμή
έρχεται να διαμορφώσει ένα ενιαίο κανονιστικό
πλαίσιο για την ψηφιακή επιχειρησιακή
ανθεκτικότητα υποστηρίζοντας έτσι τις
επιχειρήσεις να αξιοποιήσουν τις ευκαιρίες του
ψηφιακού μετασχηματισμού αλλά και να
διαχειριστούν αποτελεσματικά τους κινδύνους που
προκύπτουν.
O Δρ.
Γεώργιος Μπανάβας, Προϊστάμενος στο Περιφερειακό
Γραφείο Θεσσαλονίκης Επιτροπή Κεφαλαιαγοράς,
είναι Ηλεκτρολόγος Μηχανικός και έχει
διδακτορικό στην Επιστήμη των Υπολογιστών.
Πρώτη
δημοσίευση στον Οικονομικό Ταχυδρόμο |
