DORA ترفع من مخاطر الاستخدام السحابي في الخدمات المالية
الاتحاد الأوروبي (EU) قانون المرونة التشغيلية الرقمية أو DORA هو معلم رئيسي لمستقبل السحابة في الخدمات المالية. وهو يعترف بالدور الحيوي الذي تلعبه التكنولوجيا السحابية في تقديم الخدمات المصرفية الحديثة. وفي الوقت نفسه، يسلط تقرير دورا الضوء على المخاطر الكارثية التي يمكن أن يسببها انقطاع الخدمة ليس فقط على عملاء البنك الفردي، ولكن على الاقتصاد بأكمله.
لا ينبغي أن نخمن الاتحاد الأوروبي هنا. غرامات ضخمة من اللائحة العامة لحماية البيانات لقد شكلت سابقة ويجب على شركات التكنولوجيا أن تكون حذرة. ومع وجود قائمة الموردين التي لم يتم الانتهاء منها بعد ولكنها في تزايد، فإننا نتفهم مدى ذلك في NetApp.
اعتبارًا من عام 2025، سيواجه عدد لا يحصى من المنظمات خطرًا حقيقيًا للغاية يتمثل في فرض غرامات باهظة إذا ارتكبت خطأً. ويجب على الشركات أن تبدأ في التفكير في هذا الأمر الآن، حيث ستمتد العقوبات حتى إلى مقدمي خدمات تكنولوجيا المعلومات والاتصالات. وتشمل الغرامات المقترحة لعدم الامتثال دفعاً دورياً بنسبة 1% من متوسط حجم التداول اليومي في جميع أنحاء العالم.
إذًا، ما هي دورا؟ ماذا يعني بالنسبة للشركات وكيف يمكنهم تجنب الوقوع في الفخ بمجرد دخوله حيز التنفيذ؟
فهم دورا
وببساطة، تسعى DORA إلى معالجة إدارة مخاطر تكنولوجيا المعلومات والاتصالات في الخدمات المالية، والعمل جنبًا إلى جنب مع لوائح إدارة مخاطر تكنولوجيا المعلومات والاتصالات الحالية المعمول بها بالفعل في جميع أنحاء الاتحاد الأوروبي.
تهدف DORA إلى إنشاء أسس عالمية و توفير إطار لإدارة وتخفيف المخاطر. وسوف يتم ذلك عن طريق إزالة الثغرات والازدواجية وأي اشتباكات قد تنشأ بين مختلف اللوائح المعمول بها بالفعل.
ومن خلال إنتاج مجموعة مشتركة من القواعد، يجب على DORA أن تجعل الحياة أسهل للمؤسسات العاملة في الخدمات المالية أو على أطرافها. وإذا نجح هذا الالتزام فإن هذا من شأنه أن يعمل على تعزيز مرونة النظام المالي في الاتحاد الأوروبي، وإخضاع كل مؤسسة لنفس المعايير.
ومع ذلك، حتى الآن، ركزت لوائح إدارة المخاطر للمؤسسات المالية في الاتحاد الأوروبي في المقام الأول على ضمان حصول الشركات على موارد كافية ورأس مال لتغطية المخاطر التشغيلية. على الرغم من بعض الخطوات الاستباقية التي اتخذتها الهيئات التنظيمية في الاتحاد الأوروبي، مثل إصدار المبادئ التوجيهية بشأن إدارة المخاطر الأمنية وتكنولوجيا المعلومات والاتصالات، إلا أن هذه لم تنطبق على جميع شركات الخدمات المالية على قدم المساواة. وقد أدى ذلك إلى اعتماد الهيئات التنظيمية في كثير من الأحيان على مبادئ عامة بدلاً من المعايير الفنية الدقيقة المتفق عليها.
علاوة على ذلك، ومع وجود فجوات في التنظيم، فقد شهدنا حتى دول الاتحاد الأوروبي الفردية تصدر متطلباتها الخاصة. على الرغم من أن هذا ليس مثاليًا من منظور تنظيمي، إلا أن اللوائح التنظيمية غير المدروسة أو المصححة جعلت من الصعب على المؤسسات في قطاع الخدمات المالية التنقل في هذا المجال بثقة.
التحضير لدورا
يؤثر نطاق DORA على جميع المؤسسات المالية في الاتحاد الأوروبي. ومن الجدير بالذكر أنه يمتد أيضًا إلى أولئك الذين تم استبعادهم عادةً من اللوائح المالية – أي مقدمي خدمات تكنولوجيا المعلومات والاتصالات أو الأنظمة الخارجية الذين يدعمون مؤسسات الخدمات المالية، بالإضافة إلى الحلول الإدارية ومقدمي الخدمات السحابية.
ويمكن تقسيمها إلى خمس ركائز أساسية، والتي سيتم تنفيذها بشكل متناسب؛ 1) إدارة مخاطر تكنولوجيا المعلومات والاتصالات، 2) الإبلاغ عن الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات، 3) اختبار مرونة العمليات الرقمية، 4) مخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات و5) مشاركة المعلومات.
في حين أن هذا قد يبدو أمرًا شاقًا للوهلة الأولى، فمن المهم ملاحظة أن الكيانات الأصغر حجمًا لن تخضع لنفس المعايير التي تخضع لها المؤسسات المالية الكبرى. يتم أيضًا تشجيع مشاركة المعلومات ولكنها ليست مطلوبة. يعد هذا بالفعل خطوة تغيير مهمة ليس فقط بالنسبة للصناعة، بل للموردين أيضًا.
النتائج؟ تواجه الشركات المالية مجموعة جديدة من التحديات والمخاطر أثناء استعدادها لتطبيق قانون DORA في عام 2025.
ماذا يعني هذا؟
حسنًا، تغطي هذه الركائز الخمس بشكل أساسي مجالين رئيسيين: المرونة والسحابة.
من أجل المرونة السيبرانية، تريد DORA تقليل تهديد الهجمات وسؤال المؤسسات عن كيفية ضمان توفر الخدمة وإعداد التقارير. جانب آخر مهم هو كيف يمكنهم ضمان التعافي. إننا نشهد عددًا متزايدًا من الهجمات الإلكترونية، مثل برامج الفدية، التي تترك الكيانات المالية في طي النسيان.
سيكون النهج المتكامل لمرونة DORA هو تبادل المعلومات مع كل من المنظمين والأقران. ويخضع هذا لفرضية مفادها أنه كلما زادت المعلومات التي نشاركها، زادت قدرتنا على زيادة الوعي والحماية من التهديدات المحتملة والناشئة. سيكون هذا مألوفًا وغير مريح للقطاع. أصبحت الكيانات المالية أكثر من معتادة على تبادل المعلومات مع الجهات التنظيمية، وأقل من ذلك مع المنافسين.
المجال الأساسي الثاني هو مخاطر تركيز السحابة في الصناعة. وهذا أمر مثير للاهتمام بشكل خاص، حيث أن الجهات التنظيمية تقبل السحابة كمنصة فعالة للخدمات المالية. ينبغي للمرء أن يقارن هذا فقط بالوقت الذي كان فيه الناس يخشون وضع بيانات العملاء في السحابة – واليوم، يقبل المنظمون الآن أن التقنيات السحابية موجودة لتبقى.
ولعل الأهم من ذلك هو أن DORA تعتزم وضع ضوابط لتقليل مخاطر انقطاع الخدمة مع موفري الخدمات السحابية. وفي المقابل، الأمل هو تجنب أي آثار على اقتصاد الدولة.
كيف يمكن للمنظمات التعامل مع هذا بشكل صحيح؟
تمت الموافقة على قانون DORA من قبل البرلمان الأوروبي، وأمام المنظمات ما يزيد قليلاً عن عام قبل أن يدخل التشريع حيز التنفيذ في عام 2025. لذلك يجب على المنظمات استغلال هذا الوقت بفعالية، والتركيز على إنضاج إطار المرونة الرقمية الخاص بها. وللقيام بذلك، يجب عليهم بناء قدراتهم وعملياتهم للتأكد من أنهم على استعداد لإجراء التقييمات والاختبارات والتقارير السنوية المطلوبة.
ستصبح DORA بمثابة “قانون خاص” في هذا المجال، مما يعني أنها ستكون لها الأسبقية على أي لوائح متداخلة مثل NIS أو وكالة الفضاء الأوروبية القواعد الارشادية. بالنسبة للشركات، هذا يعني أنه يجب عليها استخدام DORA كنقطة مرجعية رئيسية لتجنب أي ثغرات في العمليات قبل دخول هذه اللائحة حيز التنفيذ. بعد ذلك، ستكون أفضل الممارسات لضمان المرونة والامتثال هي تحقيق التوازن بين النظر إلى DORA باعتباره تحديًا تقنيًا بقدر ما هو تحدي تنظيمي.
وهذا يعني أن DORA ثقافية وإجرائية. إنه يعتمد على تبادل المعلومات والفرق المختلفة. لا يمكن أن تكون DORA مجرد مشكلة تتعلق بتكنولوجيا المعلومات والاتصالات، حيث يجب إشراك الفرق لجمع المعلومات ومشاركتها بشكل جيد. سيؤدي القيام بذلك إلى تحسين اتصالاتهم، داخليًا وخارجيًا. يعد هذا أمرًا ضروريًا لأن التعاون والتشاور الأفضل بين الفرق سيعزز التنقل الناجح لـ DORA. ستحتاج فرق المخاطر والأمن وتكنولوجيا المعلومات إلى العمل معًا جنبًا إلى جنب. في الواقع، قد يمثل تحقيق المستوى المطلوب من التعاون الداخلي تحديًا أكبر من تقديم التقارير الخارجية.
ومن الممكن أن يساعد الاستثمار في تحسين ممارسات الإدارة الداخلية أيضًا. ستحتاج المنظمات ذات النضج الأقل على هذه الجبهة إلى استثمار المزيد من الموارد والأموال لاكتساب القدرة والقدرة على تحقيق الامتثال لـ DORA. إن معالجة هذا الأمر عاجلاً وليس آجلاً هو التركيز الآن. إذا فشلت الشركات في تبني موقف الثقافة الوقائية، فمن المرجح أن يكون النهج التفاعلي مكلفًا.
ستيف راكهام هو الرئيس التنفيذي للتكنولوجيا (CTO) للخدمات المالية في نت اب