1. מה זה DORA?
DORA – Digital Operational Resilience Act (חוק החוסן התפעולי הדיגיטלי) היא רגולציה אירופאית הקובעת כללי ניהול סיכוני טכנולוגיית תקשורת ומידע (ICT) על-ידי ישויות פיננסיות. בנוסף, הרגולציה מציבה דרישות בכל הנוגע לאבטחת סייבר, לדיווחים על אירועים טכנולוגיים חריגים, לסיכוני צד שלישי ולפיקוח על ספקי שירותי ICT קריטיים.
2. על מי חלה רגולציית ה-DORA?
DORA חלה על מוסדות פיננסיים באיחוד האירופי (כגון בנקים, חברות ביטוח, קרנות השקעה, ספקי שירותי תשלום ופלטפורמות קריפטו) וגם על ספקי צד שלישי של שירותי ICT שלהם (לרבות פלטפורמות ענן, ספקי SaaS, חברות אבטחת סייבר וספקי טכנולוגיה אחרים למוסדות פיננסיים באיחוד האירופי).
3. האם DORA חלה גם על חברות מחוץ לאיחוד האירופי?
כן. DORA עשויה לחול על חברות המספקות שירותי ICT למוסדות פיננסיים באיחוד האירופי, ללא קשר למדינת ההתאגדות. ההשפעה עשויה להיות ישירה (כספקיות שירותים קריטיים למוסדות פיננסיים) או בעקיפין (דרך התחייבויות חוזיות מול ישויות פיננסיות באיחוד האירופי). לא בטוחים איפה אתם עומדים? אנחנו כאן לעזור לכם.
4. אני ספק שירותי ICT העובד עם מוסד פיננסי באיחוד האירופי. איך DORA משפיעה עליי?
DORA עשויה להשפיע עליך באחת משלושת הדרכים הבאות:
- באופן ישיר, אם אתה מסווג באופן רשמי כ-“ספק ICT קריטי” על-ידי הרגולטורים באיחוד האירופי, אתה כפוף באופן ישיר לפיקוח ולחובות הציות תחת DORA;
- מבחינה חוזית, ככל שהשירותים שלך נחשבים כ-“תומכים בפונקציות קריטיות או חשובות” לפעילות הישות הפיננסית, ציות ל-DORA עשוי להיות אחד הדרישות בחוזה שלך עם אותה ישות פיננסית;
- באופן מינימלי. על ישויות פיננסיות לנהל את כל סיכוני ה-ICT שלהן, כך שאם אתה לא ספק ICT קריטי תיתכן הקלה בחובותיך החוזיות תחת DORA.
5. מה ההגדרה של “שירותים קריטיים” תחת DORA?
שירותים קריטיים הם שירותי ICT אשר שיבושם עלול להשפיע על יציבותו או חוסנו של המגזר הפיננסי של האיחוד האירופי, ולא רק על חברה בודדה. מונח זה משמש ככלי בעת ההחלטה האם ספק מסוים עומד בקריטריונים להיות מסווג כספק צד שלישי קריטי (CTTP) ברמה הרגולטורית של האיחוד האירופי. זאת להבדיל מספקי שירותים אשר “תומכים בפונקציות קריטיות או חשובות” של ישויות פיננסיות בודדות (ראה בהמשך).
6. מה ההגדרה של “פונקציה קריטית או חשובה” תחת DORA?
זהו שירות או פונקציה אשר שיבושו עלול להשפיע באופן משמעותי על פעילותה או יציבותה של ישות פיננסית בודדה. קביעה זו דורשת ניתוח פרטני של כל מקרה לגופו ולוקחת בחשבון גורמים כגון מהותיות הפונקציה, יכולת החלפתה, רלוונטיות חוצה גבולות ותלות תפעולית.
7. אילו סוגים של התחייבויות חוזיות עשויים לחול?
ה-DORA מחייבת ישויות פיננסיות לכלול סעיפים ספציפיים בחוזים שלהן עם ספקי ICT, במיוחד ספקים אשר תומכים בפונקציות קריטיות או חשובות. סעיפים אלה עשויים לכלול: בקרות אבטחה וסיכונים; היערכות לטפל באירועים טכנולוגיים חריגים ודווחים עליהם; זכויות ביקורת ופיקוח; תכנון סיום התקשרות ועוד. ההתחייבויות משתנות בהתאם לסיווג הספק ולהערכת הסיכונים של הישות הפיננסית עצמה.
8. כיצד החברה שלי צריכה להתכונן?
כצעד ראשון, יש להעריך האם השירותים שלך נחשבים קריטיים או חשובים לישות הפיננסית שבה אתה תומך. קביעה זו תשפיע על רמת הציות המצופה ממך. שנית, יש לבחון מחדש את החוזים, אמצעי האבטחה ותהליכי הטיפול באירועים שלך ולבצע את ההתאמות הנדרשות. כל מקרה הוא שונה – אנו עומדים לשירותך לגבש את הגישה הנכונה באופן פרטני עבור כל לקוח.
9. האם DORA כבר נכנסה לתוקף?
כן. DORA נכנסה לתוקף מלא בתאריך ה-17 בינואר 2025, ועל ישויות פיננסיות – כמו גם ספקי ה-ICT שלהן – לציית לה. עם זאת, היישום עשוי להיות שונה בין מדינה למדינה באיחוד האירופי. תחומי שיפוט מסוימים אימצו אותה מהר יותר או הוסיפו דרישות מקומיות, בעוד רשויות בתחומי שיפוט מקומיים עדיין עובדות על התאמת נוהלי הפיקוח שלהן, דבר העשוי להשפיע על היקף התחולה ועל השלכותיה באופן מקומי, בהתאם למיקום הישות הפיננסית הרלבנטית.
10. מה יקרה אם לא נציית?
אם אתה מסווג באופן רשמי כ-ספק ICT קריטי, אי-ציות עלול להוביל לפעולה רגולטורית ישירה ולסנקציות. אם אין לך סיווג כזה, אי-ציות עלול לגרום לקנסות חוזיים או לביטול החוזה, לפגיעה במוניטין או לאיבוד לקוחות. צריך לזכור כי ישויות פיננסיות נמצאות תחת לחץ להפגין ציות ועשויות להפסיק לעבוד עם ספקים שאינם מיישרים קו עם חובות הציות.
לברושור העדכון המלא – לחצו כאן להורדה
****
מחלקת פרטיות, סייבר ובינה מלאכותית מעניק ייעוץ מעשי לגבי ציות ל-DORA למוסדות פיננסיים, לחברות פינטק ולספקי שירותי ICT, המקיף ניהול סיכוני סייבר, פיקוח על ספקי צד שלישי, התחייבויות חוזיות והיערכות לאירועים טכנולוגיים חריגים. ניסיון חוצה הגבולות, לצד הידע הרגולטורי המעמיק שיש לצוות המחלקה, מאפשרים למשרד להעניק מעטפת מלאה של ייעוץ ללקוחות לגבי יישום יעיל של דרישות ה-DORA והפחתת סיכונים משפטיים ותפעוליים.
המחלקה עומדת לרשותכם לכל שאלה בנושא זה.