Ροή
Στο «μικροσκόπιο» των τραπεζών και των εποπτικών αρχών μπαίνουν οι κίνδυνοι που συνδέονται με τρίτα συνεργαζόμενα μέρη και που μπορεί να αποβούν αντανακλαστικά μοιραίοι για την ευστάθεια των χρηματοπιστωτικών οργανισμών. Το ζήτημα αναδύεται ειδικά με την ολοένα αυξανόμενη εξάρτηση των χρηματοπιστωτικών ιδρυμάτων από την τεχνολογία, αλλά και την διαδεδομένη πρακτική του outsourcing.
Στο πλαίσιο αυτό, η ΕΚΤ θα απλώσει εποπτικό «χέρι» σε συνεργαζόμενες με τις τράπεζες επιχειρήσεις και οργανισμούς, ενώ και οι ίδιες οι τράπεζες θα έχουν πλέον το δικαίωμα να επιθεωρούν τους συνεργαζόμενους με αυτές σε όσο συχνή βάση επιθυμούν, για το εάν τηρούν συγκεκριμένες προδιαγραφές ασφαλείας που θέτει η Ευρωπαϊκή Αρχή Τραπεζών. Έτσι, θα πρέπει να διασφαλίζεται ότι π.χ. η Microsoft με την οποία συνεργάζεται η Χ τράπεζα, δεν θα μπορεί να χακαριστεί. Σε διαφορετική περίπτωση, ο κίνδυνος ενός ατυχήματος στην Microsoft θα μπορούσε να προκαλέσει τριγμούς στην τράπεζα ή και να αποβεί μοιραίος από την στιγμή μάλιστα που τα data των τραπεζών θα περάσουν καθολικά στο cloud.
Ο νέος κίνδυνος και η θωράκιση των τραπεζών έναντι αυτού αναμένεται να είναι το νέο «hot thing» της προσεχούς διετίας, φέρνοντας «επανάσταση» στα δεδομένα και στην προσαρμογή τους σε αυτά, όπως έγινε αντίστοιχα με την οδηγία PSD II για την πρόσβαση σε λογαριασμούς πληρωμών. Όπως είχε αποκαλύψει το insider.gr ήδη από τα τέλη του 2021, κλιμάκια του SSM θα έρχονταν στην Αθήνα τον Φεβρουάριο του 2022 προκειμένου να ελέγξουν κατά πόσον οι εξωτερικές συμβάσεις των τραπεζών είναι διασφαλισμένες από κινδύνους που μπορεί να αντιμετωπίσει ο τρίτος συνεργάτης και οι οποίοι θα επέφεραν ενδεχομένως αποτελέσματα ντόμινο στους τραπεζικούς οργανισμούς.
Ο κίνδυνος των συμβάσεων εξωτερικής ανάθεσης θα ερχόταν, έτσι, να προστεθεί στους κινδύνους που εποπτεύει ο SSM στις τράπεζες. Πλέον, ο νέος κίνδυνος που αφορά τόσο σε κινδύνους εξωτερικών αναθέσεων, όσο και σε συνεργασίες με τρίτες εταιρείες εντός της τράπεζας, ορίζεται με κοινοτικό κανονισμό και κατευθυντήριες γραμμές από την ΕΒΑ (European Banking Authority).
Τραπεζίτες αναφέρουν στο insider.gr τον κανονισμό της ΕΕ, DORA (Digital Operational Resilience Act), ο οποίος προβλέπει για την ψηφιακή επιχειρησιακή ανθεκτικότητα των τραπεζών. Πριν από τον DORA, τα χρηματοπιστωτικά ιδρύματα διαχειρίζονταν τις κύριες κατηγορίες λειτουργικού κινδύνου κυρίως με την κατανομή κεφαλαίων, αλλά δεν διαχειρίζονταν όλες τις συνιστώσες της λειτουργικής ανθεκτικότητας.
Ο κανονισμός DORA στοχεύει να διασφαλίσει ότι όλοι οι συμμετέχοντες στο χρηματοπιστωτικό σύστημα διαθέτουν τις απαραίτητες δικλείδες ασφαλείας για τον μετριασμό των επιθέσεων στον κυβερνοχώρο και άλλων κινδύνων. Η προτεινόμενη νομοθεσία θα απαιτεί από τις εταιρείες να διασφαλίζουν ότι μπορούν να αντέξουν όλους τους τύπους διαταραχών και απειλών που σχετίζονται με τις τεχνολογίες πληροφορικής.
Υπάρχει ένα ευρύ φάσμα οντοτήτων που επηρεάζονται από τον DORA. Καλύπτει τράπεζες, ιδρύματα πληρωμών, εταιρείες επενδύσεων, παρόχους υπηρεσιών κρυπτογράφησης κ.ά. Επιπλέον, κρίσιμοι τρίτοι πάροχοι Τεχνολογιών Πληροφοριών και Επικοινωνίας (ΤΠΕ) ρυθμίζονται επίσης βάσει του κανονισμού.
Η εφαρμογή του νόμου της ΕΕ για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) έχει μία διετή περίοδο προσαρμογής, με τις τράπεζες, τους λοιπούς χρηματοοικονομικούς οργανισμούς και τους κρίσιμους παρόχους ΤΠΕ να πρέπει να συμμορφωθούν με τον DORA έως τις 17 Ιανουαρίου 2025. Ένας πρώτος «σταθμός» στην προσαρμογή αυτή είναι η 1η Ιανουαρίου 2024.
