מהו חוק DORA? על חוק החוסן התפעולי הדיגיטלי

חוק החוסן התפעולי הדיגיטלי (Dora – Digital Operational Resilience Act)  ייכנס לתוקף בינואר 2025. החוק מהווה מסגרת רגולטורית של האיחוד האירופי, שנועדה לחזק את יכולתו של המגזר הפיננסי להתמודד עם שיבושים בטכנולוגיות מידע ותקשורת (ICT) ולהתאושש מהם במהירות וביעילות.

הרגולציה במסגרת DORA שואפת לקדם הרמוניה בתקני החוסן התפעולי בכל רחבי האיחוד האירופאי, מתוך מטרה לנהל סיכונים בצורה מיטבית ולשמור על יציבותה של המערכת הפיננסית.

היקף ותחולה

רגולציית ה-DORA חלה על מגוון גופים פיננסיים, לרבות:

• Ÿ מוסדות אשראי
• Ÿ שירותי תשלום
• Ÿ בתי השקעות
• Ÿ חברות ביטוח
• Ÿ מתווכים פיננסיים אחרים

בנוסף למוסדות פיננסיים, רגולציית ה-DORA חלה גם על צדדים שלישיים המספקים שירותי ICT, כולל ספקי שירותי ענן, חברות ניתוח נתונים וספקי טכנולוגיית IoT (האינטרנט של הדברים), אשר שירותיהם חיוניים לתשתיות הפיננסיות.

חשוב לציין כי תחולתה של רגולציית ה-DORA היא אקסטרטריטוריאלית; כלומר, גם ספקי ICT שאינם מהאיחוד האירופי יהיו כפופים לרגולציה זו, ככל ששירותיהם נדרשים להפעלת מוסדות או מוצרים פיננסיים המבוססים באיחוד האירופי. תחולה אקסטרטריטוריאליות זו משפיעה על ישויות הממוקמות מחוץ לאיחוד האירופי, אשר מקיימות קשרים עסקיים עם גופים פיננסיים באיחוד. לפיכך, כל חברה ישראלית צד ג' המספקת שירותים קריטיים להפעלת מוצרים פיננסיים, כגון מערכות בנקאיות או שירותי ביטוח, עשויה להיכנס תחת תחולת ה-DORA.

הדרישות העיקריות

כדי להבטיח עמידה בדרישות ה-DORA, יש לענות על מספר עקרונות מרכזיים:

• ניהול סיכוני ICT: על גופים פיננסיים לפתח ולתחזק "תוכנית חוסן" לניהול סיכוני ICT, כולל יצירת מערכות לאיתור ולצמצום אירועיICT  וכן ביצוע הערכות סיכונים באופן שוטף.
• דיווח על אירועים: מוסדות נדרשים לדווח לרגולטורים על אירועי ICT המשפיעים באופן משמעותי על השירותים הפיננסיים, תוך פרקי זמן ספציפיים. הדיווחים נועדו להבטיח שקיפות ולסייע לרגולטורים בניטור סיכונים מערכתיים.
• בדיקת חוסן תפעולי דיגיטלי: חלה חובה לבצע מבדקים של מערכי החוסן התפעולי באופן קבוע, לרבות בדיקות מבוססות תרחישים ספציפיים, מבדקי חדירות ותרגילים להתאוששות מאסון. למוסדות גדולים יותר מומלץ להסתייע בגורם חיצוני כדי לבצע את מבדקי המערכות.
• ניהול סיכוני צדדים שלישיים: מוסדות פיננסיים צריכים להבטיח שהחוזים עם ספקי ה-ICT כוללים הוראות בנושאי ניטור, מבדקי חוסן ודיווחים על אירועי אבטחה. המוסדות נושאים באחריות לפיקוח על נותני השירותים גם כאשר הם ניתנים באמצעות מיקור חוץ.
• שיתוף מידע: רגולציית ה-DORA מעודדת את המוסדות לשתף מידע על איומים וסכנות בתחום ה-ICT ובכך מקדמת חוסן קולקטיבי בענף הפיננסי.

תקופת המעבר

רגולציית ה-DORA אומצה בתאריך ה-28 בנובמבר 2022 ותיכנס לתוקף באופן מלא בתאריך ה-17 בינואר 2025. תקופת מעבר זו מעניקה לגופים פיננסיים ולספקי ה-ICT שלהם זמן ליישם את האמצעים הנדרשים לעמידה בסטנדרטים הרגולטוריים החדשים.

מה כדאי לחברות לעשות כבר עכשיו?

ככל שמתקרב מועד הכניסה לתוקף (17.1.2025), חברות צריכות לנקוט בפעולות הבאות כדי לוודא שהן מגיעות אליו מוכנות:

• Ÿבחינת פערי ציות: יש לבחון את נהלי ניהול סיכוני ה-ICT ואת נהלי החוסן התפעולי הקיימים כדי לזהות פערים בין האמצעים הקיימים לבין דרישות רגולציית ה-DORA.
• Ÿחיזוק ניהול הסיכונים: יש לשפר את מסגרות ניהול הסיכונים הפנימיות על-ידי יישום אמצעים כגון הערכות סיכונים קבועות, הצפנה ושיטות כתיבת קוד מאובטחות.
• Ÿהקמת מנגנוני דיווח על אירועי אבטחה: יש לקבוע נהלים ברורים לדיווח על אירועי ICT בהתאם לדרישות רגולציית ה-DORA, תוך שמירה על תקשורת עם הרגולטורים מבעוד מועד.
• Ÿהיערכות למבדקי חוסן: יש להתחיל להתכונן ולבצע מבדקי חוסן תפעולי, לרבות מבדקי חדירות ובחינות מבוססות תרחישים ספציפיים.
• Ÿסקירת ההסכמים עם ספקים צד ג': יש לוודא שהחוזים עם ספקי ICT כוללים מנגנוני ניטור ומבדקי חוסן, דיווח על אירועי אבטחה וסעיפי יציאה מהחוזה כדי להגן על המשכיות השירות.

מסקנות

ככל שמועד כניסת הרגולציה לתוקף מתקרב, חשוב שגופים פיננסיים וספקי ה-ICT שלהם ינקטו בצעדים פרואקטיביים מבעוד מועד כדי לעמוד בדרישות הציות החדשות. יישור קו עם הדרישות של רגולציית ה-DORA לא רק יבטיח ציות, אלא גם ישפר את החוסן הכולל של המוסדות שלכם בסביבה הדיגיטל-פיננסית.

***

מחלקת הפרטיות, הבינה המלאכותית והסייבר במשרד ברנע תשמח להעניק סיוע בהיערכות לציות לרגולציית ה-DORA.