סיכוני ICT עלולים לגרום לשיבושים באספקת שירותים פיננסיים ובתוך כך להשפיע על חברות, וארגונים ממגזרים שונים ובתרחישי קיצון אף על המשק כולו. אשר על כן, וכיוון שהמגזר הפיננסי תלוי יותר ויותר בטכנולוגית עלית ובחברות היי-טק, דבר שהופך אותם בין היתר לחשופים להתקפות סייבר, יש צורך להבטיח את חוסנם התפעולי הדיגיטלי.
לשם כך התקין האיחוד האירופי את תקנת חוסן התפעולי הדיגיטלי
1 (DORA) שנועדה להגביר את אבטחת הסייבר והחוסן של מוסדות פיננסיים כדי לצמצם סיכוני ניהול תקשוב (ICT) באמצעות החלת סטנדרטיזציה של נהלי ניהול סיכונים.
תקנות אלה, שנכנסו לתוקף בתחילת 2023 חלות על כל המוסדות הפיננסיים באיחוד האירופי, לרבות בנקים, חברות השקעות ומוסדות אשראי, ועל ספקי שירותי קריפטו ופלטפורמות מימון המונים. כמו-כן תקנות אלה חלות גם על ספקי שירותים של צד שלישי המספקים מערכות ושירותי ICT, כגון חברות מחשב ענן ומאגרי מידע ועיבוד נתונים, וכן חברות המציעות שירותי מידע חיוניים של צד שלישי, כגון סוכנויות דירוג אשראי וספקי ניתוח נתונים.
שנתיים לאחר תחולת התקנות, יכנס ב-17.1.2025 לתוקף החלק האופרטיבי של התקנות המעניק לרשות הפיקוח הפיננסית של האיחוד האירופי
2, לצד רשויות האכיפה המדינתית, סמכויות אכיפה, כאשר בסמכותה להטיל על גופים שלא יעמדו ברגולציה קנסות של עד 1% מהמחזור היומי הממוצע שלהם, לתקופה מקסימלית של חצי שנה. כמו-כן הרגולטור יכול לדרוש ממוסדות פיננסים להתקין אמצעי אבטחה ואף להטיל עונשים על ספקי ICT שאינם עומדים בדרישות של DORA.
ה-DORA נוגעת במספר נושאים שעניינם ניהול סיכוני ICT וקיומה של פרקטיקה המבטיחה זיהוי ודיווח של כשלים, כדלקמן:
- ניהול סיכונים בתקשוב - עקרונות ודרישות על מסגרת ניהול סיכונים בתקשוב.
- ניהול סיכונים של צד שלישי ICT - ניטור ספקי סיכונים של צד שלישי וכן עיגון סעיפים מתאימים בחוזי ההתקשרות עם הספקים.
- בדיקת חוסן תפעולי דיגיטלי - בדיקות בסיסיות ומתקדמות כדי לוודא עמידה בתקנות.
- אירועי ICT- דיווח לרשויות המוסמכות על אירועים משמעותיים הקשורים באירועי תקשוב (כגון התקפות סייבר, הונאה וכו').
- שיתוף מידע - חילופי מידע והתראות על איומי סייבר.
- פיקוח על ספקי צד שלישי קריטיים - קיום מסגרת לפיקוח על ספקי ICT קריטיים של צד שלישי.
האם רגולציה זו חלה על חברות ישראליות?
ובכן, לאור תחולתן של התקנות, ה-DORA חלה על כל החברות הפיננסיות והחברות המספקות שירותי ICT, ללא קשר למקום מושבן. לכן לדוגמה בנקים ישראלים שלהם סניפים באירופה או חברות ICT לתאגידים פיננסים של האיחוד האירופי, יכולים למצוא עצמם כפופים לרגולציה זו.
אתגר לקציני ציות
הקודקס המקצועי של קציני ציות מחייב אותם לרכוש ידע על אודות הנושאים שבתחומם, וכך קובע הקוד האתי "קצין הציות יהיה בעל ידע עדכני בכל התחומים הרלוונטיים שעלולים להידרש מכוח תפקידו, ויפעל כדי להתעדכן ולרכוש ידע/השכלה כדי להבטיח שיש בכוחו לתת מענה לאתגרי הציות עמם הארגון בו הוא פועל מתמודד
3". אשר על כן, וכיוון שרגולציה זו נוגעת באופן טבעי בהם, נדרשים בראש ובראשונה קציני הציות ללמוד להכיר את התקנות, ולבחון האם הן חלות על התאגיד בו הם מכהנים, וככל שהתקנות חלות לפעול, כדלקמן:
א. בחן את מוכנות הארגון לתקנות ה-DORA.
ב. הצע לאור האמור מפת דרכים לטיפול בפערי ציות, בהתבסס על ממצאי ניתוח הפערים.
ג. מפה את ספקי ה-ICT הקריטיים של הארגון - מדובר בספקי שירותי תקשוב דיגיטליים ונתונים (DATA) המקבלים גישה למערכות הפיננסיות של הבנק, לצורך התקנת חומרה/תוכנה ומתן תמיכה טכנית.
ד. הבטח כי ספקי ה-ICT הקריטיים של הארגון הם יישמו פרקטיקת ציות כדי להבטיח שהם פועלית בהתאם ל-DORA.
ה. עדכן את תוכנית הציות (תוכנית אכיפה) של הארגון כדי לכלול בה גם את תקנות ה-DORA.
ו. ודא כי מתבצעים מבדקי חדירה וכי המערכת עונה על הקריטריונים הקבועים בתקנות.
ז. בדוק שתוכניות התגובה לאירועים של הארגון כוללים גם הוראות בנושא ניהול אירועי ICT.
ח. בצע ניטור מתמשך של סיכוני ICT כדי להבטיח שהארגון מזהה סיכונים, נוקט הליכים נדרשים ומדווח ומתעד כנדרש.
סיכום
התלות במגזר הפיננסי מאז ומעולם הייתה קריטית לקיומו של משק בכך אין חדש, אך פרופילי הסיכון אליהם הבנקים חשופים השתנו עם השנים, וכיום הם בראש ובראשונה נוגעים במערכת התקשוב הארגוני. לאור האמור, ולאור השלכות לכך, התקין כאמור הפרלמנט האירופי תקנות היוצרות בינה וביה אסדרה שסנקציות כבדות לצדה, ואם לשפוט לפי מה שאירוע עם ה-GDPR, אין להוציא מכלל אפשרות כי גרסה שלהם תוטמע גם בישראל.
אסדרה זו גם ממחישה את החשיבות בהעסקתם של קציני ציות מוסמכים (CCO), המצוידים בכלים מתאימים והנושאים באחריות ללמוד על השלכות של התקנות החדשות. ככאלה קציני ציות, לא רק מסייעים לארגון במתן משוב על עמידתם בתקנות, אלה הם מהווים מעין סוכני חדשנות (Innovation agents), המסייעים לארגונם להיערך מבעוד מועד לתמורות הרגולטוריות.