Autor: Silvia Uscov
Pe 17 ianuarie 2025, va intra în aplicare Regulamentul privind Reziliența Operațională Digitală (DORA), marcând un moment important pentru sectorul financiar din Uniunea Europeană. Acest regulament face parte din eforturile UE de a asigura stabilitatea și securitatea serviciilor financiare în era digitală, impunând cerințe stricte pentru toate entitățile financiare reglementate.
DORA promite să aducă o schimbare semnificativă în modul în care sectorul financiar european gestionează riscurile digitale, punând un accent mai mare pe prevenția proactivă și pe planificarea pentru incidente cibernetice. Aceasta este o etapă crucială în adaptarea la un peisaj financiar și tehnologic în continuă evoluție.
De asemenea, în cadrul DORA, evaluarea furnizorilor terți joacă un rol crucial în asigurarea conformității instituțiilor financiare cu cerințele de securitate și reziliență. Procesul de evaluare este detaliat și trebuie să acopere multiple aspecte ale relației dintre instituțiile financiare și furnizorii lor.
Procesul de evaluare a furnizorilor terți conform DORA implică mai multe etape cheie, care asigură că toți furnizorii care interacționează cu instituțiile financiare respectă standardele necesare de securitate și pot gestiona eficient riscurile asociate:
a) Identificarea și clasificarea furnizorilor: Înainte de a începe evaluarea, instituțiile financiare trebuie să identifice și să clasifice furnizorii terți bazându-se pe nivelul de risc pe care îl prezintă și pe importanța serviciilor pe care le oferă. Aceasta determină profunzimea și frecvența evaluărilor necesare.
b) Analiza riscului: Fiecare furnizor este evaluat pentru a determina riscurile potențiale pe care le-ar putea introduce în operațiunile financiare. Acest proces include analiza securității cibernetice, a măsurilor de protecție a datelor, a capacitatii de a respecta legislația relevantă și a stabilității financiare.
c) Audituri și inspecții: Instituțiile financiare trebuie să efectueze audituri regulare ale furnizorilor terți. Aceste audituri pot include verificarea conformității cu cerințele de securitate, inspecții la fața locului și evaluări ale procedurilor de gestionare a incidentelor și de recuperare după incidente.
d) Evaluarea continuă: Evaluarea furnizorilor terți nu este un eveniment unic; este un proces continuu care necesită reevaluare periodică pentru a asigura că furnizorii rămân în conformitate cu standardele DORA și cu cele mai bune practici în industrie. Aceasta include monitorizarea performanței și a conformității furnizorilor pe parcursul duratei contractului.
e) Planuri de acțiune și remediere: Dacă evaluările dezvăluie deficiențe sau probleme, instituțiile financiare trebuie să elaboreze planuri de acțiune pentru a adresa aceste probleme. Aceasta poate implica renegocierea termenilor contractuali, îmbunătățirea măsurilor de securitate sau chiar schimbarea furnizorului dacă riscurile nu pot fi mitigate acceptabil.
După cum se poate observa, un aspect important ține de colaborarea dintre personalul tehnic din IT și cybersecurity cu personalul juridic, echipele de Legal din cadrul instituțiilor financiare devenind extrem de importante pentru a sprijini conformitatea cu DORA pentru că este un regulament nu foarte ușor de parcurs prin prisma multiplelor obligații ce se execută pe mai multe paliere.
Ca avocat, din practică pot să confirm faptul că instituțiile din sectorul financiar au transmis deja acte adiționale către terți furnizori pentru a se asigura că sunt acoperite și cerințele contractuale stipulate de DORA. De altfel, este cel mai cuprinzător regulament pe care UE l-a adoptat și în cadrul căruia sunt detaliate noi condiții contractuale sub care sistemul financiar trebuie să opereze mai ales pentru a se asigura că terții furnizori respectă standarde optime de securitate, mergând chiar până la condițiile în care în care o astfel de relație contractuală poate înceta astfel încât să se asigure entității financiare respective posibilitatea concretă de a putea negocia și intra într-o altă relație contractuală dacă nu se mai dorește continuarea colaborării cu terțul furnizor. Cu toate acestea, aș atrage atenția că, pentru a negocia astfel de contracte sau acte adiționale cu terții furnizori, mai întâi trebuie încadrat terțul furnizor pe clasa de riscuri din evaluarea de risc deoarece nu există un standard impus tuturor (furnizorii esențiali, furnizorii care sprijină funcții critice sau important vs. ceilalți furnizori), aspect care nu este întotdeauna respectat și care conduce la negocieri contractuale pe o durată mai mare decât cea preconizată inițial. În acest sens, și terțul furnizor ar trebui să colaboreze cu un avocat specializat în acest domeniu pentru a nu-și asuma o suită de obligații contractuale mai mari chiar decât posibilitatea sa concretă de a le executa deoarece, în cazul unui incident, va fi răspunzător nu conform DORA, ci conform condițiile contractuale pe care se presupune că le-a negociat având lângă el un avocat.
Implementarea DORA este văzută atât ca o provocare, cât și ca o oportunitate pentru sectorul financiar. Pe de o parte, costurile inițiale legate de conformitate pot fi semnificative, în special pentru instituțiile medii și mici. Pe de altă parte, creșterea rezilienței cibernetice poate reduce costurile pe termen lung asociate cu incidentele de securitate și poate crește încrederea consumatorilor în serviciile financiare digitale. În cele din urmă, acest proces ajută la protejarea nu doar a instituțiilor individuale, ci și a întregului sistem financiar, contribuind astfel la stabilitatea economică și financiară a Uniunii Europene.
| Știri BVB