Silvia USCOV, avocat: 15.000 de furnizori de servicii ICT pentru sectorul financiar din UE trebuie să fie conformi cu DORA, regulamentul privind reziliența operațională digitală în sectorul financiar

15.000 de furnizori de servicii IT pentru sectorul financiar, la nivelul UE, trebuie să fie conformi cu DORA, regulamentul privind reziliența operațională digitală în sectorul financiar, care este intrat în vigoare și va fi aplicabil începând cu ianuarie 2025, a spus Silvia USCOV Managing Partner USCOV Attorneys at law, la Forumul Romania Digitala 2024, organizat de Financial Intelligence, pe 18 iunie.

Potrivit DORA, avocații au un rol în zona de consultanță, pentru că trebuie negociate contracte cu furnizorii terți de servicii ICT și trebuie renegociate contractele vechi, a spus Silvia Uscov:  “Ar trebui să fie introduse clauze clare de acces la furnizorul terț, de audit, inclusiv din partea autorității de supraveghere, de monitorizare a terțului, obligații de informare în sarcina terțului, în măsura în care sunt incidente sau orice alte aspecte. Dacă, de exemplu, schimbă măsurile de securitate pe care le are deja implementate, trebuie să treacă printr-un nou proces de autorizare la nivelul entității financiare. De asemenea, dacă acordă asistență în caz de incident, trebuie să fie specificat în mod expres. Trebuie specificate clauzele de încetare ale contractelor, pentru că, bineînțeles, trebuie să fie furnizate în continuare serviciile respective. Nu trebuie să existe momente de întrerupere. Toate aceste aspecte trebuie să fie clar negociate.“

Potrivit avocatei, se dă o putere mai mare de negociere de partea entității financiare, pentru că este nevoie de încredere în sistemul financiar: “DORA are aplicabilitate, din ianuarie 2025, dar deja a intrat în vigoare, ceea ce înseamnă că toți cei cărora le este adresată ar trebui să fi făcut deja demersurile pentru a deveni compliant. Nu este vorba numai despre entități financiare tradiționale, ci intrăm și în zona de crypto, exchange-uri, emitenții de token uri și așa mai departe.

Si aceștia trebuie să fie compliant cu DORA, pe lângă, bineînțeles, furnizorii terți esențiali de servicii ICT pentru entitățile financiare. Aici vorbim despre software, servicii de analize de date, vorbim despre cei care furnizează servicii de cybersecurity, dar și consultanți în domeniul ICT. Sunt destul de mulți. N-aș zice că toată lumea este pregătită, s-ar putea ca unii nici măcar să nu știe că trebuie să fie compliant cu DORA. Mai degrabă asta aș crede eu. Pe site-ul Autorității Europene de Supraveghere, ar fi indentificați aproximativ 15.000 de astfel de furnizori la nivelul Uniunii Europene. Și nu cred că toți sunt pregătiți, dar entitățile financiare sunt cele care ar trebui să le aducă la cunoștință. Se menționează chiar faptul că ar trebui ca acești furnizori să fie incluși în programe de pregătire de către entitățile financiare pentru a fi compliant cu DORA.”

Regulamentul mai stipuleaza că membrii organelor de conducere sunt responsabili pentru a asigura un buget eficient, astfel încât să fii compliant cu DORA, a mai spus avocata: “Compliant cu DORA inseamnă că trebuie să implementezi acele politici și proceduri din regulament. Trebuie ai proceduri de raportare a incidentelor. DORA vorbește despre clasificarea amenințărilor, a incidentelor și a procedurilor de modificare, testarea rezilienței operaționale, inclusiv testarea TLPT bazata pe amenințări.

DORA este un regulament, are aplicabilitate directă, din 17 ianuarie 2025. Este exact ca o lege. Vine cumva in plus fata de directiva NIS 2, numai că Dora introduce mult mai multe entități financiare sub aripa de standardizare în domeniul securității cibernetice și a rezilienței.“

Referitor la sancțiuni, Dora mentioneaza sancțiuni administrative și măsuri de remediere, a spus Silvia Uscov: “Merge pe o formulă de notificare să oprești activitatea respectivă, care ar fi ilegală. Vorbește și despre existența unor sancțiuni pecuniare, dar lasă la îndemâna statelor membre competența să le stabilească. Pentru furnizori, sumele sunt prevăzute în mod expres, 1% din cifra de afaceri medie zilnică globală a furnizorului terț esențial de servicii ICT, din exercițiul financiar precedent, 1% pe zi de întârziere.

Se pot institui și sancțiuni penale. De asemenea, poate fi atrasă și răspunderea membrilor organelor de conducere sau a oricăror altor persoane responsabile daca acele entități nu sunt conforme cu DORA”.