قانون المرونة التشغيلية الرقمية (DORA) هو إطار تنظيمي أنشأه الاتحاد الأوروبي لتعزيز المرونة الرقمية للكيانات المالية ضد الاضطرابات المتعلقة بالأمن السيبراني وتكنولوجيا المعلومات والاتصالات (ICT). تمت صياغتها في سبتمبر 2020 وصدق عليها البرلمان الأوروبي في عام 2022، وستدخل اللوائح حيز التنفيذ في يناير 2025.
تشير DORA إلى تحول كبير في تنظيم الأمن السيبراني. وينصب تركيزها على ضمان قدرة الشركات على الحفاظ على العمليات في مواجهة الاضطرابات الشديدة الناجمة عن التهديدات السيبرانية وقضايا تكنولوجيا المعلومات والاتصالات الهامة.
وستشهد اللوائح إنشاء نهج إشرافي موحد. وعلى وجه التحديد، ستقوم الهيئة المصرفية الأوروبية (EBA)، والهيئة الأوروبية للتأمين والمعاشات المهنية (EIOPA)، والهيئة الأوروبية للأوراق المالية والأسواق (ESMA) بالإشراف على الامتثال على مستوى الاتحاد الأوروبي.
وستعمل هذه المنظمات بشكل وثيق مع السلطات الإشرافية الوطنية لتبادل المعلومات ومراقبة الامتثال. تنص هذه اللائحة على أن المؤسسات المالية يمكنها منع التهديدات السيبرانية والتخفيف منها والصمود والاستجابة والتعافي من جميع أنواع الاضطرابات المتعلقة بتكنولوجيا المعلومات والاتصالات.
ما هو المطلوب للوفاء بلوائح DORA؟
للامتثال لـ DORA، يجب على الشركات معالجة عدة مجالات. أولاً، يحتاجون إلى إنشاء عمليات قوية لإدارة المخاطر، والتي تتضمن الخطوات التالية:
-
تحديد وتصنيف وتوثيق الوظائف والأصول الهامة.
-
المراقبة المستمرة لجميع مصادر مخاطر تكنولوجيا المعلومات والاتصالات لوضع تدابير الحماية والوقاية، بما في ذلك الكشف الفوري عن الأنشطة الشاذة.
-
تنفيذ سياسات مخصصة وشاملة لاستمرارية الأعمال وخطط التعافي من الكوارث، بما في ذلك الاختبارات السنوية التي تغطي جميع الوظائف الداعمة.
-
إنشاء آليات للتعلم والتطور من الأحداث الخارجية وحوادث تكنولوجيا المعلومات والاتصالات الخاصة بالمنظمة.
بمجرد إنشاء ذلك، يجب النظر في الإدارة الفعالة للحوادث وتصنيفها والإبلاغ عنها. يجب على المؤسسات تنفيذ قدرات الإنذار المبكر لاكتشاف وإدارة الحوادث السيبرانية وإكمال التقارير في الوقت المناسب. تتطلب هذه اليقظة مركز عمليات أمنية مخصصًا (SOC). لكي تكون الشركات متوافقة، ستحتاج إلى برامج اختبار مستقلة تركز على المخاطر، وتتضمن استراتيجيات الاختبار التكنولوجية والبشرية.
يمكن أن تشمل هذه الاستراتيجيات إدارة سطح الهجوم، وقدرات تكنولوجيا الضمان المستمر، واختبار الاختراق، واختبار الفريق الأحمر والفريق الأرجواني – وهو مزيج من محاكاة اختبار الاختراق والاستجابات الدفاعية.
ونظرًا لكون مشاركة المعرفة جزءًا مهمًا من DORA، فمن المتوقع أن تستخدم الشركات معلومات قيمة عن التهديدات والمعلومات الاستخباراتية وأن تجعلها متاحة لمجتمع الأعمال الأوسع، مما يساعد الآخرين على إدارة مخاطر الطرف الثالث. ومع تطور المشهد، هناك حاجة إلى ضمان مستمر للحماية من تهديدات المخاطر المستمرة.
في الفترات التي تتزايد فيها العوامل الصعبة المترابطة – عصر الضمان 4.0 – يعد التنقل في مسار آمن عبر هذا المشهد أمرًا ضروريًا.
وبموجب DORA، يجب على جميع الشركات إدراج مخاطر تكنولوجيا المعلومات والاتصالات من أطراف ثالثة ضمن أطر إدارة تكنولوجيا المعلومات والاتصالات الخاصة بها. ومع ظهور حوادث تكنولوجيا المعلومات والاتصالات أو الأمن السيبراني، يتطلب إطار عمل DORA أن يكون لدى الشركات آليات جاهزة لتعزيز قدر أكبر من المرونة، سواء حدثت هذه الحوادث لها أو لطرف ثالث.
والأهم من ذلك، أن الامتثال لـ DORA هو عملية مستمرة. إن المرونة في مجال الأمن السيبراني تعني أن المؤسسات بحاجة إلى الاستعداد للهجمات المتكررة. ويتطلب ذلك إجراء اختبارات منتظمة للأشخاص والعمليات والتكنولوجيا، والتعاون مع مقدمي الخدمات الخارجيين لإجراء اختبارات اختراق متقدمة تعتمد على التهديدات كل ثلاث سنوات.
ما هي الإجراءات التي يتعين على الشركات اتخاذها الآن؟
من المرجح أن يتضمن الطريق إلى الامتثال سد العديد من الفجوات. يجب أن تبدأ الشركات بتحليل شامل للفجوات، بما في ذلك مراجعة تفصيلية لحالة المرونة التشغيلية الحالية، ومقارنتها بمتطلبات DORA. وينبغي أن يتضمن تحليل الفجوات فحصًا دقيقًا لجميع السياسات والإجراءات والوثائق الحالية المتعلقة بإدارة مخاطر تكنولوجيا المعلومات والاتصالات، والاستجابة للحوادث، واختبار المرونة.
عند الانتهاء من تحليل الفجوات، تتضمن الخطوة التالية إنشاء استراتيجيات لسد الفجوات المحددة. ويتطلب ذلك تحديد الإجراءات المحددة اللازمة لتحقيق الامتثال، بما في ذلك المواعيد النهائية، وتخصيص الموارد، وتعيين المسؤولية عن كل مهمة. إن تحديد أولويات تدابير تخفيف المخاطر بناءً على مدى خطورة المخاطر المحددة وتأثيرها المحتمل يمكن أن يساعد في ضمان معالجة المجالات الأكثر أهمية أولاً.
بعد إنشاء الإستراتيجية، تأتي مرحلة تنفيذ الإستراتيجية، والتي قد تتضمن إدخال تقنيات جديدة، وتعزيز الأنظمة الحالية، وتحديث الوثائق. ويجب أن تتضمن استراتيجية التجسير الاختبار والمراقبة مع الأطر المعمول بها لتسهيل التحسين المستمر، والقدرة على تقديم الأدلة في حالة طلب هيئة إشرافية ذلك.
يوفر تحقيق الامتثال لـ DORA فوائد كبيرة للشركات، بما في ذلك تعزيز المرونة وتجنب العقوبات وزيادة الثقة من الجهات التنظيمية والعملاء وأصحاب المصلحة.
ما هي المساعدة المتاحة؟
بالنسبة للعديد من الشركات، فإن تحقيق الامتثال لـ DORA لا يفي بالالتزامات التنظيمية فحسب، بل يزيد أيضًا من الثقة والموثوقية في عملياتها الرقمية. في المشهد المالي الرقمي الذي يتزايد باستمرار، تعد السمعة الجيدة أمرًا بالغ الأهمية للحفاظ على ثقة أصحاب المصلحة. يعد تلبية متطلبات DORA بمثابة مهمة كبيرة تتطلب معرفة متخصصة، مما يجعل من المستحسن الدخول في شراكة مع موفري خدمات الضمان الخارجيين. إن الاستفادة من هذه الخبرة الشاملة في اللوائح المالية يمكن أن تجعل عملية تحقيق الامتثال أكثر سلاسة وتمنح جميع أصحاب المصلحة راحة البال عندما يعلمون أنهم ملتزمون.
قد يكون التنقل في المشهد التنظيمي أمرًا شاقًا، خاصة عند ظهور أطر عمل جديدة لأول مرة. ومع ذلك، يعد الامتثال لـ DORA خطوة أساسية للمؤسسات المالية العاملة داخل الاتحاد الأوروبي.
