Του Μιχαήλ Πελοσιάν και Αιμίλιου Χαραλάμπους
Με την ταχεία τεχνολογική πρόοδο που σημειώνεται, οι νομοθέτες της ΕΕ προσπαθούν ενεργά να συμβαδίσουν και να ενισχύσουν τις ρυθμιστικές διατάξεις στους τομείς της κυβερνοασφάλειας. Κοντά στην κορυφή των πρωτοσέλιδων είναι ο Νόμος για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) βάσει του Κανονισμού (ΕΕ) 2022/2554, ο οποίος τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και θα ισχύει από τις 17 Ιανουαρίου 2025.
Η DORA δημιουργήθηκε με σκοπό να αντιμετωπίσει τις απαιτήσεις ανθεκτικότητας και ασφάλειας για τις χρηματοοικονομικές οντότητες και τα συστήματα ΤΠΕ τους, με δύο βασικούς στόχους:
Ενώ η DORA έχει διαφορετικούς πυλώνες, συμπεριλαμβανομένων αρχών και απαιτήσεων σχετικά με τα πλαίσια διαχείρισης κινδύνου ΤΠΕ, βασικών και προηγμένων δοκιμών και αναφοράς σημαντικών περιστατικών που σχετίζονται με τις ΤΠΕ στις αρμόδιες αρχές, δίνει επίσης έμφαση σε βασικές συμβατικές διατάξεις - τα ζητήματα που πρέπει να ληφθούν υπόψη υπόψη πριν από τη σύναψη σύμβασης για τη χρήση υπηρεσιών ΤΠΕ, τις συνθήκες υπό τις οποίες θα πρέπει να μπορεί να τερματιστεί, τις στρατηγικές εξόδου που πρέπει να εφαρμοστούν και τις γενικές διατάξεις που πρέπει να συμπεριληφθούν.
Σε ποιους ισχύει;
Το DORA ισχύει για όλα τα χρηματοπιστωτικά ιδρύματα εντός της ΕΕ, συμπεριλαμβανομένων παραδοσιακών οντοτήτων όπως τράπεζες, εταιρείες επενδύσεων και πιστωτικά ιδρύματα, καθώς και μη παραδοσιακές οντότητες όπως παρόχους υπηρεσιών κρυπτογράφησης και πλατφόρμες crowdfunding.
Είναι σημαντικό ότι η DORA επεκτείνεται επίσης σε ορισμένες οντότητες που συνήθως δεν εμπίπτουν στο πεδίο εφαρμογής των οικονομικών κανονισμών. Για παράδειγμα, οι τρίτοι πάροχοι υπηρεσιών που προσφέρουν συστήματα και υπηρεσίες ΤΠΕ σε χρηματοπιστωτικές εταιρείες —όπως οι πάροχοι υπηρεσιών cloud και τα κέντρα δεδομένων— πρέπει να συμμορφώνονται με τις απαιτήσεις της DORA. Επιπλέον, η DORA καλύπτει εταιρείες που παρέχουν κρίσιμες υπηρεσίες πληροφοριών τρίτων, συμπεριλαμβανομένων των οργανισμών αξιολόγησης πιστοληπτικής ικανότητας και των παρόχων ανάλυσης δεδομένων.
Γιατί να προσέχει κανείς;
Σε αντίθεση με πολλές νομοθεσίες που ζητούν από τις εταιρείες να αναλάβουν δράση χωρίς αντιδράσεις, η DORA έχει δώσει προτεραιότητα στις κυρώσεις προκειμένου να διασφαλίσει τη συμμόρφωση με τις διατάξεις της.
Οι εταιρείες που παραβιάζουν τις απαιτήσεις ενδέχεται να αντιμετωπίσουν οικονομικές κυρώσεις έως και 2% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών τους ή, για ιδιώτες, μέγιστο πρόστιμο 1.000.000 ευρώ. Το ακριβές πρόστιμο θα καθοριστεί με βάση τη σοβαρότητα της παράβασης και το επίπεδο συνεργασίας της οικονομικής οντότητας με τις αρχές.
Ομοίως, οι χρηματοπιστωτικές οντότητες που δεν αναφέρουν σημαντικά περιστατικά που σχετίζονται με τις ΤΠΕ ή σημαντικές απειλές στον κυβερνοχώρο σύμφωνα με την εντολή της DORA ενδέχεται να υπόκεινται σε πρόστιμα. Οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ που ταξινομούνται ως «κρίσιμοι» από τις Ευρωπαϊκές Εποπτικές Αρχές (ΕΟΔ) ενδέχεται να επισύρουν κυρώσεις έως 5.000.000 ευρώ ή, στην περίπτωση ιδιωτών, μέγιστο πρόστιμο 500.000 ευρώ για μη συμμόρφωση με τις απαιτήσεις του Κανονισμού. Οι ΕΕΑ θα έχουν την εξουσία να επιβάλλουν αυτά τα πρόστιμα.
Σκέψεις πριν από τη σύναψη συμβάσεων σχετικά με τη χρήση υπηρεσιών ΤΠΕ:
Σύμφωνα με το άρθρο 28 παράγραφος 4 της DORA, οι χρηματοοικονομικές οντότητες θα πρέπει:
Η πρόθεση είναι φυσικά να διασφαλιστεί ότι οι εταιρείες γνωρίζουν με ποιον συνάπτουν συμβατική σχέση και ποιοι είναι οι σχετικοί κίνδυνοι – όπως συμβαίνει με κάθε σωστή σύμβαση, τεχνολογική ή μη.
Λήξη και έξοδος από συμβόλαια:
Σύμφωνα με το άρθρο 28 παράγραφος 7 της DORA, οι χρηματοοικονομικές οντότητες θα πρέπει να διαθέτουν διατάξεις που θα τους επιτρέπουν να καταγγείλουν τις συμβάσεις τους για υπηρεσίες ΤΠΕ σε περιπτώσεις που:
Ενώ, σύμφωνα με το άρθρο 28 παράγραφος 8, οι χρηματοπιστωτικές οντότητες ενθαρρύνονται να εφαρμόζουν στρατηγικές εξόδου, οι οποίες θα πρέπει να λαμβάνουν υπόψη τους κινδύνους που ενδέχεται να προκύψουν από την αποτυχία, την επιδείνωση των υπηρεσιών ή τυχόν άλλες διακοπές στον τρίτο πάροχο. Αυτές οι στρατηγικές εξόδου θα πρέπει να επιτρέπουν στις χρηματοπιστωτικές οντότητες να εξέρχονται από τις συμβατικές τους ρυθμίσεις χωρίς να διακόπτουν τις επιχειρηματικές τους δραστηριότητες ή να περιορίζουν τη συμμόρφωσή τους με τους κανονισμούς και χωρίς να βλάπτουν τη συνέχεια και την ποιότητα των υπηρεσιών τους.
Διατάξεις που περιλαμβάνουν:
Σύμφωνα με το άρθρο 30 της DORA, οι συμβατικές ρυθμίσεις θα πρέπει να περιλαμβάνουν διαφορετικές πτυχές λαμβάνοντας υπόψη εάν η χρήση υπηρεσιών ΤΠΕ υποστηρίζει κρίσιμες ή σημαντικές λειτουργίες. Ως μια σύντομη επισκόπηση, ορισμένες από τις βασικές διατάξεις που πρέπει να συμπεριληφθούν είναι:
Συνολικά, κατά τη διαπραγμάτευση συμβατικών ρυθμίσεων, οι χρηματοοικονομικές οντότητες και οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ εξετάζουν τη χρήση τυπικών συμβατικών ρητρών που έχουν αναπτυχθεί από τις δημόσιες αρχές για συγκεκριμένες υπηρεσίες.
Καθώς ο DORA είναι ένας από τους πολλούς κανονισμούς κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση, οι χρηματοπιστωτικές εταιρείες θα πρέπει να προσπαθήσουν να παραμένουν ενημερωμένες με τις πρόσφατες ενημερώσεις και να συμμορφώνονται με τις πιο πρόσφατες διατάξεις, προκειμένου να διασφαλίζουν ομαλή και μακροπρόθεσμη λειτουργία παράλληλα με το ρυθμιστικό τεχνολογικό τοπίο.
Ο Μιχαήλ Πελόζι και ο Αιμίλιος Χαραλάμπους είναι δικηγόροι της Elias Neocleous & Co LLC.
