Regulament DORA: Din 2025, firmele din domeniul financiar capătă noi obligații de securitate cibernetică

Regulamentul european 2.554/2022 privind reziliența operațională digitală a sectorului financiar (cunoscut, pe scurt, drept „DORA”) a fost oficializat pe final de 2022 și se aplică efectiv din 17 ianuarie 2025.

Prin reziliență operațională digitală, actul normativ se referă la „capacitatea unei entități financiare de a construi, a asigura și a reevalua integritatea și fiabilitatea sa operațională, prin asigurarea, în mod direct sau indirect, utilizând servicii oferite de furnizori terți de servicii TIC, a întregii game de capacități legate de TIC care sunt necesare pentru a aborda securitatea rețelelor și a sistemelor informatice utilizate de o entitate financiară și care sprijină furnizarea continuă de servicii financiare și calitatea acestora, inclusiv pe întreaga durată a perturbărilor.”

Astfel, regulamentul european vine cu un set uniform de cerințe privind securitatea rețelelor și a sistemelor informatice care sprijină procesele operaționale ale entităților financiare. Acestea se referă, în esență, la:

• cerințe aplicabile entităților financiare în legătură cu:
  • gestionarea riscurilor legate de IT&C;
  • raportarea incidentelor majore legate de IT&C și notificarea voluntară a amenințărilor cibernetice semnificative către autorități;
  • raportarea de către instituțiile de credit, instituțiile de plată, prestatorii de servicii de informare cu privire la conturi și instituțiile emitente de monedă electronică, către autorități, a incidentelor operaționale sau de securitate majore legate de plăți;
  • testarea rezilienței operaționale digitale;
  • schimbul de informații și de date operative cu privire la amenințările cibernetice și vulnerabilități;
  • măsuri pentru buna gestionare a riscurilor IT&C generate de părți terțe;
• cerințe în legătură cu acordurile contractuale încheiate între furnizorii terți de servicii IT&C și entitățile financiare;
• reguli privind instituirea și desfășurarea cadrului de supraveghere pentru furnizorii terți esențiali de servicii IT&C, atunci când furnizează servicii entităților financiare;
• reguli privind cooperarea între autorități și norme privind supravegherea și asigurarea conformității de către autorități în legătură cu toate aspectele vizate de regulament.

În ceea ce privește lista entităților financiare vizate de Regulamentul DORA (există și unele excepții), este vorba, în linii mari, de:

• instituțiile de credit; instituțiile de plată, prestatorii de servicii de informare cu privire la conturi; instituțiile emitente de monedă electronică;
• firmele de investiții; prestatorii de servicii de criptoactive și emitenții de tokenuri raportate la active; depozitarii centrali de titluri de valoare; contrapărțile centrale; locurile de tranzacționare; registrele centrale de tranzacții; administratorii de fonduri de investiții alternative;
• societățile de administrare;
• furnizorii de servicii de raportare a datelor;
• întreprinderile de asigurare și de reasigurare; intermediarii de asigurări, intermediarii de reasigurări și intermediarii de asigurări auxiliare;
• instituțiile pentru furnizarea de pensii ocupaționale;
• agențiile de rating de credit;
• administratorii de indici de referință critici;
• furnizorii de servicii de finanțare participativă;
• registrele centrale de securitizări;
• furnizorii terți de servicii IT&C.

Actul normativ este destul de complex și include capitole întregi despre gestionarea riscurilor de IT&C, gestionarea, clasificarea și raportarea incidentelor legate de IT&C, testarea rezilienței operaționale digitale și gestionarea riscurilor de IT&C generate de părți terțe. În ceea ce privește verificarea și sancționarea companiilor care încalcă prevederile DORA, aceste chestiuni trebuie stabilite la nivel național de către fiecare stat membru al UE.

Conform preambulului documentului, necesitatea unor reguli noi de securitate cibernetică vine în contextul în care activitatea domeniului financiar este de-a dreptul dependentă de IT&C:

„În era digitală, tehnologia informației și a comunicațiilor sprijină sistemele complexe utilizate pentru activitățile de zi cu zi. Aceasta susține activitatea economiilor noastre în sectoare-cheie, inclusiv în sectorul financiar, și îmbunătățește funcționarea pieței interne. Creșterea gradului de digitalizare și de interconectare amplifică, de asemenea, riscurile IT&C, ceea ce face ca societatea în ansamblu -- și sistemul financiar, în special -- să fie mai vulnerabilă la amenințările cibernetice sau la perturbările din domeniul IT&C. Deși utilizarea extensivă a sistemelor IT&C și gradul ridicat de digitalizare și conectivitate sunt în prezent caracteristicile de bază ale activităților entităților financiare din Uniune, reziliența digitală a acestora trebuie încă să fie mai bine abordată și integrată în cadrele lor operaționale mai ample.

În ultimele decenii, utilizarea IT&C a dobândit un rol esențial în furnizarea serviciilor financiare, ajungând în prezent să aibă o importanță critică în ceea ce privește operarea funcțiilor zilnice uzuale ale tuturor entităților financiare. Astăzi, digitalizarea acoperă, de exemplu, plățile, care au trecut tot mai mult de la metodele bazate pe numerar și pe suportul de hârtie la utilizarea soluțiilor digitale, precum și compensarea și decontarea titlurilor de valoare, tranzacționarea electronică și algoritmică, operațiunile de creditare și de finanțare, creditarea de la persoană la persoană, ratingul de credit, gestionarea creanțelor și operațiunile de tip back-office. Sectorul asigurărilor a fost, de asemenea, transformat prin utilizarea IT&C, de la apariția intermediarilor de asigurări care își oferă serviciile online folosind InsurTech, până la subscrierea de asigurări folosind mijloace digitale. Finanțele nu numai că au devenit în mare parte digitale în întregul sector, ci digitalizarea a aprofundat, de asemenea, interconexiunile și dependențele din interiorul sectorului financiar, precum și relaționarea cu furnizorii terți de infrastructură și servicii.

Comitetul european pentru risc sistemic a reafirmat într-un raport din 2020 care abordează riscul cibernetic sistemic modul în care nivelul ridicat existent de interconectare dintre entitățile financiare, piețele financiare și infrastructurile pieței financiare și, în special, interdependențele dintre sistemele lor IT&C ar putea constitui o vulnerabilitate sistemică, deoarece incidentele cibernetice localizate s-ar putea răspândi rapid de la oricare dintre cele aproximativ 22.000 de entități financiare ale Uniunii la întregul sistem financiar, nestingherite de limitele geografice. Breșele grave de securitate a IT&C care au loc în sectorul financiar nu afectează doar entitățile financiare luate separat. Acestea facilitează, de asemenea, propagarea vulnerabilităților localizate la nivelul canalelor de transmisie financiară și pot avea consecințe negative asupra stabilității sistemului financiar al Uniunii, cum ar fi generarea de retrageri masive de lichiditate și o pierdere generală a încrederii în piețele financiare.”