ما أهمية قانون المرونة التشغيلية الرقمية (DORA)

بقلم: جوزيف فيليبوس، قائد الخدمات المدارة، iGCB Intellect Design Arena Ltd.

قانون المرونة التشغيلية الرقمية (DORA) للقطاع المالي هو مطلب تنظيمي يحدد الحد الأدنى من المعايير للشركات المالية لضمان توافر وسلامة ومرونة خدماتها وأنظمتها الحيوية. من شأن هذا القانون أن يضع إطارًا تنظيميًا لمقدمي الخدمات الرقمية لضمان أن تكون أنظمتهم وخدماتهم آمنة وموثوقة ويمكنها الاستمرار في العمل أثناء الأزمات.

الغرض من قانون DORA هو حماية الأمن القومي والسلامة العامة والاقتصاد من خلال تحسين مرونة البنية التحتية الرقمية الحيوية ضد التهديدات السيبرانية. سيُنشئ القانون هيئة تنظيمية جديدة تتمتع بسلطات لفرض الامتثال وفرض عقوبات على عدم الامتثال، وسيتطلب من مقدمي الخدمات تنفيذ معايير الأمن السيبراني، ووضع خطط قوية لإدارة الحوادث، وتقييم وإدارة مخاطر سلسلة التوريد، وتبادل المعلومات حول التهديدات والحوادث السيبرانية.

وهي مبادرة تشريعية طُرحت مؤخرًا بشأن الأمن السيبراني في الاتحاد الأوروبي، وتستهدف القطاع المالي على وجه التحديد. ومن خلال فهمي للمتطلبات، فهي مصممة لاستكمال لوائح الأمن السيبراني الأفقية الحالية، مثل التوجيه المتعلق بأمن الشبكات والمعلومات (NISD) واللائحة العامة لحماية البيانات (GDPR) المعترف بها على نطاق واسع.

قانون دورانا مقابل اللائحة العامة لحماية البيانات

اللائحة العامة لحماية البيانات (GDPR) هي مجموعة من القواعد التي تحكم حماية وخصوصية البيانات الشخصية للأفراد في الاتحاد الأوروبي والمملكة المتحدة. تنطبق هذه اللوائح على معالجة البيانات الشخصية في جميع القطاعات.

في حين يهدف كل من قانون مسؤولية حماية البيانات واللائحة العامة لحماية البيانات إلى ضمان حماية البيانات وأمنها، إلا أنهما يخدمان أغراضًا مختلفة ولهما نطاقات مختلفة. يركز قانون مسؤولية حماية البيانات على ضمان مرونة الخدمات المالية، بينما يركز النظام الأوروبي العام لحماية البيانات على حماية البيانات الشخصية وحقوق الخصوصية.

الهدف:

يتصدى الاتحاد الأوروبي بفعالية للمخاطر المتزايدة للهجمات الإلكترونية من خلال تنفيذ تدابير لتعزيز أمن تكنولوجيا المعلومات في المؤسسات المالية، بما في ذلك البنوك وشركات التأمين وشركات الاستثمار. أحد هذه التدابير هو قانون المرونة التشغيلية الرقمية (DORA)، الذي يسعى إلى ضمان قدرة القطاع المالي في أوروبا على الحفاظ على مرونته في مواجهة أي خلل تشغيلي كبير.

يشمل هذا التشريع الجديد مقدمي خدمات تكنولوجيا المعلومات والاتصالات (DORA) من الأطراف الثالثة المهمين لخدمات تكنولوجيا المعلومات والاتصالات (ICT)، بما في ذلك المنصات السحابية وتحليلات البيانات وخدمات التدقيق، والتي تستخدمها الكيانات المالية. يخضع مقدمو الخدمات هؤلاء أيضًا للوائح التنظيمية الموضحة في هذا التشريع الجديد. وهو يضع إطارًا تنظيميًا للمرونة التشغيلية الرقمية، مما يتطلب من جميع الشركات التأكد من أن لديها القدرة على الصمود والاستجابة والتعافي من جميع أشكال الاضطرابات والتهديدات المتعلقة بتكنولوجيا المعلومات والاتصالات.

الركائز الأساسية:

يوفر قانون المرونة التشغيلية الرقمية (DORA) إطار عمل شامل للمرونة الرقمية يغطي مجالات متعددة.

1. إطار إدارة مخاطر تكنولوجيا المعلومات والاتصالات: معايير الأمن السيبراني التي سيطلب من مقدمي الخدمات تنفيذ تدابير الأمن السيبراني المناسبة لحماية أنظمتهم وخدماتهم من التهديدات السيبرانية. إنشاء وصيانة أنظمة وأدوات قوية لتكنولوجيا المعلومات والاتصالات تخفف من تأثير مخاطر تكنولوجيا المعلومات والاتصالات.

2. إدارة حوادث تكنولوجيا المعلومات والاتصالات وتصنيفها والإبلاغ عنها: سيُطلب من مقدمي الخدمات وضع خطط قوية لإدارة الحوادث للاستجابة للحوادث الإلكترونية والتعافي منها.

3. اختبار المرونة التشغيلية الرقمية: يجب تحديد أي أوجه قصور أو ثغرات ومعالجتها على الفور، وفقًا لخطورتها، إما بإزالتها بسرعة أو تنفيذ تدابير مضادة مناسبة.

4. إدارة مخاطر مزودي الطرف الثالث: سيُطلب من مقدمي الخدمات تقييم وإدارة المخاطر التي يشكلها موردوهم، بما في ذلك مقدمي الخدمات من الأطراف الثالثة.

5. تبادل المعلومات: يتم تشجيع الكيانات المالية على تبادل المعلومات حول التهديدات والحوادث السيبرانية لتحسين الأمن العام ومرونة البنية التحتية الرقمية.

تهدف هذه الركائز إلى ضمان أن تكون البنية التحتية الرقمية الحيوية آمنة ومرنة وقادرة على الاستمرار في العمل أثناء الأزمات.

الجدول الزمني:

في 27 ديسمبر 2022، نشرت الجريدة الرسمية للاتحاد الأوروبي النص النهائي لقانون المرونة التشغيلية الرقمية (DORA) في 27 ديسمبر 2022، وذلك في الجريدة الرسمية للاتحاد الأوروبي بوصفه اللائحة (الاتحاد الأوروبي) 2022/2554.

المصدر: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554

تم التقاط هذا الجدول الزمني من مقال نشرته شركة Deloitte.