على الرغم من أنه كان أمامهم عامين للتحضير للتشريع القادم، كشفت دراسة اليوم أن أقلية كبيرة من مؤسسات الخدمات المالية في المملكة المتحدة من المقرر أن تفوت الموعد النهائي في 17 يناير 2025 للامتثال لمتطلبات الاتحاد الأوروبي. قانون المرونة التشغيلية الرقمية (دورا).
وفقا لمسح Censuswide بتكليف من أورانج للدفاع السيبراني، تقول 43% من مؤسسات الخدمات المالية البريطانية إنها لا تزال تستكشف DORA ولن تكون متوافقة لمدة ثلاثة أشهر أخرى على الأقل، مما يعرضها لخطر كبير من الغرامات التنظيمية.
يعتقد 200 من كبار مسؤولي أمن المعلومات وصناع القرار السيبراني في المملكة المتحدة الذين تم استطلاع آرائهم نيابة عن Orange بأغلبية ساحقة أن DORA سيكون مفيدًا وسيعزز بشكل كبير المرونة الشاملة عبر الاتحاد الأوروبي ونظامه البيئي الأوسع.
ومع ذلك، لا تزال العوائق التي تحول دون الامتثال قائمة، حيث وصف المشاركون في الاستطلاع عددًا كبيرًا من القضايا – ويتعلق معظمها بمؤسساتهم الخاصة وليس بتشريعات DORA. وجدت أورانج أن هذه المشكلات تشمل الافتقار إلى تحديد الأولويات في المنظمة الأوسع (28%)، والجدول الزمني القصير للامتثال (25%)، والافتقار إلى المهارات والمعرفة المحددة (24%)، والافتقار إلى الرؤية في سلاسل التوريد و شركاء الطرف الثالث (23%). وللتغلب على هذه التحديات، قال 97% إنهم يفكرون في الاستعانة بالدعم الخارجي.
وقال حوالي 84% إنهم حصلوا على ميزانية كافية أو أكثر من كافية للامتثال، بالإضافة إلى دراسة موازية مختبرات روبيريك زيرو أفادت اليوم أن حوالي 47٪ من مؤسسات الخدمات المالية في المملكة المتحدة أنفقت أكثر من مليون يورو (842000 جنيه إسترليني) على تدابير الامتثال.
DORA لا تفرض أي شيء عن طريق المتطلبات الثورية. ويمكن معالجة معظم هذه المخاطر من خلال الاستثمار في التقييمات الشاملة للمخاطر السيبرانية، والإبلاغ المتكامل عن الحوادث، واختبار المرونة السيبرانية، والحوكمة عبر الأطر
ريتشارد ليندسي، أورانج سايبر ديفنس
“إن المشهد التنظيمي في الاتحاد الأوروبي مزدحم للغاية، مع وجود العديد من المعايير والقوانين المتداخلة المعمول بها الآن. وقال ريتشارد ليندسي، المستشار الاستشاري الرئيسي في شركة Orange Cyberdefense: “هناك الكثير مما يجب التنقل فيه، ونحن نشهد بشكل متزايد الشركات تتخذ نهجًا أكثر تفاعلية تجاه متطلبات الامتثال بمجرد أن يصبح التهديد بالأعمال الانتقامية ملموسًا”.
“ومع ذلك، فإن البقاء في حالة عدم الامتثال يمكن أن يكون له عواقب وخيمة، مع فرض غرامات تصل إلى 2% من إجمالي المبيعات السنوية العالمية واحتمال فرض غرامات تزيد عن مليون يورو على القيادة العليا الفردية.
“لم يكن مشهد التهديد أكثر تقلبًا من أي وقت مضى. إن صناعة الخدمات المالية تشكل هدفاً جذاباً للجهات الفاعلة السيئة، ولم تكن احتمالات الاختراق أعلى من أي وقت مضى. ومن خلال تنفيذ التغييرات المطلوبة، يمكن للشركات تجنب الغرامات غير المرغوب فيها والدعاية السلبية، والأهم من ذلك، بناء المرونة في مواجهة التهديدات الرقمية.
“دورا لا تفرض أي شيء عن طريق المتطلبات الثورية. ويمكن معالجة معظم هذه المخاطر من خلال الاستثمار في التقييمات الشاملة للمخاطر السيبرانية، والإبلاغ المتكامل عن الحوادث، واختبار المرونة السيبرانية، والحوكمة عبر الأطر. ولكن، كما هو الحال دائمًا في مجال الأمن السيبراني، فإن الساعة تدق”.
بالإضافة إلى ذلك، أشارت أورانج إلى أن التقديم الرسمي لـ DORA يأتي بعد ثلاثة أشهر فقط وافق الاتحاد الأوروبي على توجيه الشبكة وأنظمة المعلومات 2 (NIS2) في أكتوبر 2024، قد تفسر الحاجة إلى معالجة متطلبات الامتثال السيبراني الأوسع والمتطلبات المتداخلة في كلا المجموعتين من اللوائح سبب شعور غالبية المشاركين بالإيجابية تجاه DORA، على الرغم من توقع التأخير في تحقيق الامتثال.
ما هي دورا؟
في جوهرها، دورا يهدف إلى تعزيز الأمن السيبراني في مؤسسات الخدمات المالية وتحسين مرونة القطاع في جميع أنحاء أوروبا. وهي تعمل على تنسيق قواعد المرونة التشغيلية التي تنطبق على 20 نوعًا مختلفًا من الكيانات المالية، مثل البنوك وشركات التأمين وموردي التكنولوجيا الخارجيين.
وفقًا لبروكسل، أصبح التنظيم مثل DORA ضروريًا لأن اعتماد صناعة الخدمات المالية على تكنولوجيا المعلومات والنظام البيئي التكنولوجي يجعلها عرضة بشدة للاضطرابات السيبرانية، وإذا لم تتم إدارتها بشكل صحيح، فقد يمتد ذلك إلى الاقتصاد الأوسع.
تحكم DORA عددًا من المجالات، مثل أطر إدارة مخاطر تكنولوجيا المعلومات، ومراقبة مخاطر الطرف الثالث والإشراف على الموردين، واختبار المرونة التشغيلية، والإبلاغ عن الحوادث السيبرانية، وتبادل المعلومات والاستخبارات.
سوناتيب وقال ميتون زافيري، نائب رئيس هندسة الحلول: “إذا اللائحة العامة لحماية البيانات علمتنا أي شيء، هو أن جهود الامتثال في اللحظة الأخيرة تؤدي إلى الصداع وأنصاف الحلول. مثل العديد من قوانين الاتحاد الأوروبي، قد يتم سحب الشركات البريطانية إلى النطاق حيث يمتد القانون إلى ما هو أبعد من المؤسسات المالية الأوروبية ويتعمق في سلاسل توريد البرمجيات الخاصة بها.
“هذه مشكلة كبيرة بالنسبة للشركات في المملكة المتحدة التي يقع عملاؤها الأوروبيون تحت نطاق اللائحة التنظيمية. إن العقوبات المالية الصارمة المفروضة على عدم الامتثال تشكل حافزاً كافياً للمؤسسات المالية في الاتحاد الأوروبي لتقول لشركائها: “إذا لم تكن ممتثلاً، فنحن بحاجة إلى شخص ملتزم”.
وأضاف: “بدلاً من أن تكون عبئًا، يجب على المؤسسات في المملكة المتحدة أن تنظر إلى DORA كفرصة لتبسيط الأنظمة والعمليات من خلال الاستفادة من الأتمتة، وتعزيز سلاسل توريد البرمجيات الخاصة بها، واعتماد نهج استباقي لتخفيف المخاطر وإدارة نقاط الضعف. إذا أصبحت DORA مثل اللائحة العامة لحماية البيانات، فإن إعطاء الأولوية للامتثال الآن سيفتح الأبواب مع اعتماد أشكال من هذا المعيار في المملكة المتحدة.
