Η χρήση υπηρεσιών ‘Τεχνολογίας Πληροφορικής και Επικοινωνιών’ (ΤΠΕ) έχει σε μεγάλη έκταση διεισδύσει στο χώρο των Χρηματοοικονομικών Υπηρεσιών γεγονός το οποίο έχει επηρεάσει τον κλάδο σε σχέση με τον τρόπο παροχής και πρόσβασης στις συγκεκριμένες υπηρεσίες.
Αφενός οι ραγδαίες τεχνολογικές εξελίξεις και αφετέρου η πανδημία COVID-19 ώθησε τους καταναλωτές να στραφούν περισσότερο στο διαδίκτυο και τις χρηματοοικονομικές επιχειρήσεις να προσαρμοστούν στη ζήτηση υιοθετώντας εργαλεία ΤΠΕ μέσα από ένα ευρύ φάσμα τεχνολογιών και εφαρμογών που διευκολύνουν την ευφυή επεξεργασία δεδομένων, την αυτόνομη επικοινωνία συστημάτων και την ανταλλαγή δομημένου περιεχομένου.
Στη σύγχρονη εποχή έννοιες και όροι όπως η Ψηφιακή Τραπεζική, Online συναλλαγές και επενδύσεις, Καινοτομίες στην Χρηματοοικονομική (FinTech) και Εποπτική (SupTech) τεχνολογία, Τεχνητή Νοημοσύνη (AI), Μεγάλα Δεδομένα (Big Data), Κυβερνοασφάλεια (Cyber Security), Τεχνολογίες νέφους (cloud computing), Blockchain, Προστασία δεδομένων (Data Protection) χρησιμοποιούνται ευρέως και είναι πλέον κατανοητοί από μεγάλο μέρος των επενδυτών.
Οι επιχειρήσεις, με στόχο τη βελτίωση της αποδοτικότητας και της εμπειρίας του πελάτη τους αλλά και την επίτευξη οικονομιών κλίμακας βασίστηκαν σε ‘Τρίτους Παρόχους Υπηρεσιών ΤΠΕ (ΤΠΥ-ΤΠΕ) για να υποστηρίξουν τις μεταβαλλόμενες ανάγκες τους με προϊόντα και υπηρεσίες υψηλής τεχνολογίας. H συγκεκριμένη τάση, που προσέφερε νέες ευκαιρίες καινοτομίας, και ανταγωνισμού στην ποιότητα των παρεχόμενων χρηματοοικονομικών υπηρεσιών, ανέδειξε ταυτόχρονα την ανάγκη υιοθέτησης ρυθμιστικού πλαισίου που να περιλαμβάνει τους ΤΠΥ-ΤΠΕ ως προς τον τρόπο που επηρεάζουν τη διαχείριση κινδύνων ψηφιακού χαρακτήρα και σχετίζονται με την ασφάλεια δεδομένων στον κυβερνοχώρο, την ψηφιακή αποκατάσταση συστημάτων, την επιχειρησιακή συνέχεια κ.α.
Το ρυθμιστικό πλαίσιο της Ευρωπαϊκής Ένωσης (ΕΕ) για την διαχείριση των κινδύνων στο νέο ψηφιακό περιβάλλον, όπως αυτό έχει διαμορφωθεί στον χρηματοοικονομικό τομέα, είναι κατακερματισμένο και υψώνει εμπόδια στους εμπλεκόμενους φορείς και κατ’ επέκταση στη λειτουργία της αγοράς. Ξεχωριστά νομοθετήματα καλύπτουν συγκεκριμένες ανάγκες διαχείρισης κινδύνων χωρίς να αντιμετωπίζουν συνολικά, κατά τον χρόνο έκδοσής τους, όλες τις συνιστώσες της επιχειρησιακής ανθεκτικότητας ΤΠΕ που εισήγαγε ο ψηφιακός μετασχηματισμός των επιχειρήσεων.
Στις 22 Δεκεμβρίου 2022 δημοσιεύτηκε στην επίσημη εφημερίδα της Ευρωπαϊκής Ένωσης ο Κανονισμός (ΕΕ) 2022/2554, γνωστός και ως Digital Operational Resilience Act (DORA), ο οποίος ως ενιαία νομοθετική πράξη αναβάθμισε τους κανόνες σχετικά με τους κινδύνους χρήσης ΤΠΕ συνδυάζοντας επιπλέον για πρώτη φορά με συνεκτικό τρόπο όλες τις ισχύουσες διατάξεις που αφορούν στον ψηφιακό κίνδυνο του χρηματοοικονομικού τομέα.
Ο Κανονισμός DORA ξεδιπλώνεται με στοχευμένους κανόνες για ένα συνεκτικό πλαίσιο διαχείρισης κινδύνων ΤΠΕ (ICT Risk Management Framework), για την οργανωμένη αναφορά και ταξινόμηση συμβάντων ΤΠΕ (ICT Incident Reporting), για τις προηγμένες δοκιμές ψηφιακής καταπόνησης συστημάτων ΤΠΕ (Resilience Testing) και για την θεσμοθέτηση, για πρώτη φορά, πλαισίου άμεσης εποπτείας των κρίσιμων ΤΠΥ-ΤΠΕ (Oversight Framework).
Η περίοδος εφαρμογής του DORA έχει οριστεί στα δύο έτη από την δημοσίευση του Κανονισμού και αναμένεται να τεθεί σε πλήρη εφαρμογή εντός του πρώτου τριμήνου του 2025. Στο διάστημα αυτό, με τη συμμετοχή των εμπλεκόμενων φορέων μέσω διαδικασιών διαβούλευσης, ένα σύνολο ρυθμιστικών και εφαρμοστικών τεχνικών προτύπων εξειδικεύουν διατάξεις του Κανονισμού για την διευκόλυνση της εφαρμογής του.
Το πεδίο εφαρμογής του Κανονισμού DORA επηρεάζει μεγάλο φάσμα των συμμετεχόντων στον χρηματοοικονομικό τομέα που εκτείνεται από τα Πιστωτικά Ιδρύματα και τα Συστήματα Πληρωμών μέχρι τα Χρηματιστήρια και τα Συνταξιοδοτικά-Ασφαλιστικά Ταμεία (Χρηματοοικονομικές Οντότητες).
Στη φιλοσοφία του ο Κανονισμός εμπεριέχει την Αρχή της Αναλογικότητας (Proportionality Principle) σύμφωνα με την οποία οι Χρηματοοικονομικές Οντότητες ενώ ακολουθούν παρόμοια προσέγγιση για την διαχείριση και την αντιμετώπιση των κινδύνων ΤΠΕ, το πλαίσιο των κοινών αρχών και κανόνων του συναρτάται από το μέγεθός τους, την πολυπλοκότητα των διαδικασιών που εφαρμόζουν και των υπηρεσιών που προσφέρουν και το προφίλ κινδύνων στους οποίους είναι εκτεθειμένες. Υπό προϋποθέσεις, προβλέπεται για τις Χρηματοοικονομικές Οντότητες η εφαρμογή απλοποιημένου πλαισίου διαχείρισης κινδύνου ΤΠΕ ή/και η εξαίρεση εφαρμογής της νομοθεσίας για τις πολύ μικρές επιχειρήσεις.
Ενώ ο DORA επιβαρύνει λειτουργικά τις υπηρεσίες ελέγχου, διαχείρισης κινδύνου και παρακολούθησης ΤΠΕ των εποπτευόμενων φορέων, αυξάνοντας τις απαιτήσεις συμμόρφωσης για την ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας ταυτόχρονα μειώνει το κόστος συμμόρφωσής τους με τα επιμέρους κατακερματισμένα και συχνά επικαλυπτόμενα νομοθετήματα. Η ολιστική προσέγγιση που ακολουθεί ο Κανονισμός στον χρηματοοικονομικό χώρο προσφέρει πλεονεκτήματα που προσδίδουν αξία στη λειτουργία των επιχειρήσεων. Με την ενσωμάτωση των ρυθμίσεων, αποδεικνύεται η δέσμευση της εταιρείας για συνέχεια στην παροχή υπηρεσιών προς τους πελάτες της, για αύξηση του δείκτη εμπιστοσύνης των πελατών της, για αποτελεσματική διαχείριση κινδύνων, για τη βέλτιστη κατανομή πόρων λειτουργίας και για την αναζήτηση ανταγωνιστικών πλεονεκτημάτων.
Για παράδειγμα, οι επιχειρήσεις του χρηματοοικονομικού χώρου που εφαρμόζουν τακτικά πολιτικές δοκιμών κυβερνοασφάλειας και δοκιμές ψηφιακής καταπόνησης, όπως παρουσιάζονται στον DORA, μπορούν να ποσοτικοποιούν και να βελτιώνουν την κυβερνουγειϊνή των συστημάτων τους ώστε να διαχειρίζονται καλύτερα ή και να αποτρέπουν πιθανά συμβάντα που σχετίζονται με τις ΤΠΕ. Αυτό με τη σειρά του οικοδομεί σχέση εμπιστοσύνης/συνέπειας της εταιρείας με τους πελάτες και τους συνεργάτες της, δεδομένου ότι οι τελευταίοι εκτιμούν την ασφάλεια και την σταθερότητα των συναλλαγών τους και των προσωπικών τους πληροφοριών σε ένα χώρο ο οποίος βρίσκεται όλο και περισσότερο στο στόχαστρο κυβερνοαπειλών.
Ένα επιπλέον παράδειγμα του τρόπου με τον οποίο ο DORA προσθέτει αξία στις επιχειρήσεις του χρηματοοικονομικού τομέα σχετίζεται με την παροχή υπηρεσιών ΤΠΕ από τρίτους, οι οποίοι επίσης εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού μέσο του νέου Ευρωπαϊκού εποπτικού πλαισίου που υλοποιείται (Oversight Framework). Σύμφωνα με τον DORA, οι ΤΠΥ- ΤΠΕ και ιδιαίτερα όσοι κατατάσσονται στην κατηγορία των κρίσιμων παρόχων πρέπει να συμμορφώνονται με τις απαιτήσεις του Κανονισμού ως προς την ποιότητα των υπηρεσιών τους στο πλαίσιο ενός τυποποιημένου συμβατικού τοπίου εξωτερικής ανάθεσης εργασιών ΤΠΕ σε ολόκληρη την Ευρωπαϊκή Ένωση.
Έτσι, ο DORA δεν εκλαμβάνεται μόνο ως μια επιπρόσθετη δαπάνη συμμόρφωσης που επηρεάζει αρνητικά τον ισολογισμό μιας επιχείρησης, αλλά μάλλον περισσότερο ως αναπτυξιακό εργαλείο που στηρίζει την αξιοπιστία των παρεχόμενων υπηρεσιών δημιουργώντας παράλληλα προστιθέμενη αξία για τις επιχειρήσεις.
Η συμμόρφωση των χρηματοοικονομικών οντοτήτων με τους κανόνες για την ψηφιακή επιχειρησιακή ανθεκτικότητα είναι όμως η μια πλευρά του νομίσματος. Η άλλη, που αφορά στη συστηματική και αποτελεσματική εποπτεία που ασκείται από τις αρμόδιες αρχές, σε σχέση πάντα με την ψηφιακή επιχειρησιακή ανθεκτικότητα, συμπληρώνει το πακέτο μέτρων υγιεινής στο χώρο παροχής των χρηματοοικονομικών υπηρεσιών.
Οι προκλήσεις που εισάγονται με τον νέο Κανονισμό (DORA) στην Ελλάδα, ιδιαίτερα για την Τράπεζα της Ελλάδος, την Επιτροπή Κεφαλαιαγοράς, το Υπουργείο Ψηφιακής Διακυβέρνησης αφορούν στην προσαρμογή των εποπτικών διαδικασιών στο νέο περιβάλλον και κυρίως στην αλλαγή κουλτούρας με στόχο την αποτελεσματική εποπτεία με πρακτικές που βασίζονται σε ψηφιακά δεδομένα (data driven supervisory practices) και σε ΤΠΕ.
Η προσαρμογή στις προκλήσεις προϋποθέτει συνδυασμό τεχνικών γνώσεων και αναλυτικών δεξιοτήτων με εξειδίκευση στην κανονιστική συμμόρφωση. Η διαρκής ενημέρωση/ επιμόρφωση των στελεχών του χρηματοοικονομικού χώρου στις νέες τεχνολογίες, ο συντονισμός συνεργασιών και εποπτικών ενεργειών σε εθνικό και ευρωπαϊκό επίπεδο, η διάθεση επιπλέον πόρων και η προσέλκυση προσωπικού με επάρκεια στην καινοτομία, στη διαχείριση δεδομένων καθώς και στην κυβερνοασφάλεια αποτελούν επιλογές στρατηγικού σχεδιασμού των ενδιαφερόμενων φορέων.
Συνοψίζοντας, σημειώνεται ότι η ταχύτητα με την οποία εφαρμόζονται οι τεχνολογικοί νεωτερισμοί στον χρηματοοικονομικό χώρο επιβάλει τη συμμετοχή όλων των εμπλεκόμενων φορέων ώστε να επιτευχθεί η χρήσιμη ισορροπία ανάμεσα στην καινοτομία και την κανονιστική συμμόρφωση για μια επιχειρησιακά ανθεκτική χρηματοοικονομική βιομηχανία. Ως εκ τούτου, η δημοσίευση του Κανονισμού DORA στη συγκεκριμένη χρονική στιγμή έρχεται να διαμορφώσει ένα ενιαίο κανονιστικό πλαίσιο για την ψηφιακή επιχειρησιακή ανθεκτικότητα υποστηρίζοντας έτσι τις επιχειρήσεις να αξιοποιήσουν τις ευκαιρίες του ψηφιακού μετασχηματισμού αλλά και να διαχειριστούν αποτελεσματικά τους κινδύνους που προκύπτουν.
O Δρ. Γεώργιος Μπανάβας, Προϊστάμενος στο Περιφερειακό Γραφείο Θεσσαλονίκης Επιτροπή Κεφαλαιαγοράς, είναι Ηλεκτρολόγος Μηχανικός και έχει διδακτορικό στην Επιστήμη των Υπολογιστών.
Latest News
Γήρανση του πληθυσμού και μετανάστευση στην Ελλάδα
Ο παγκόσμιος πληθυσμός θα συνεχίσει να αυξάνεται μέχρι το 2090 προσεγγίζοντας τα 11 δισ. άτομα
Οχήματα: Όσα πρέπει να ξέρετε για την άρση ψηφιακής ακινησίας
Ποια είναι η διαδικασία για την άρση ακινησίας για ΙΧ οχήματα
Ψηφιακή έκδοση και διαβίβαση παραστατικών διακίνησης (ΣΤ’ Μέρος)
Τύποι παραστατικών ψηφιακής παρακολούθησης διακίνησης αγαθών
Οι διεθνείς οργανισμοί απέναντι στο «America First 2.0»
Οι νέες συνθήκες και το δόγμα America First
Αθλητές της παραγωγής Redux
Τι αφορά το αντικίνητρο της υψηλής φορολογίας της ειδικευμένης μισθωτής εργασίας
Η αναγκαιότητα της Ελεγκτικής του Δημοσίου και τα σύγχρονα εργαλεία ορθολογικής διαχείρισης του δημοσίου χρήματος
Η Ελεγκτική του Δημοσίου αποτελεί «θεμέλιο λίθο» στο πλαίσιο της σύγχρονης δημοσιονομικής διαχείρισης,
Τα ελληνικά ομόλογα... αλλάζουν πίστα - Η αναβάθμιση της Scope και η απόδοση του 10ετούς
Πώς φθάσαμε στην αναβάθμιση του ελληνικού αξιόχρεου από τη Scope Ratings - Τα ελληνικά ομόλογα αλλάζουν επίπεδο
Πότε θα καταβληθεί το δώρο Χριστουγέννων - Πόσα χρήματα θα πάρετε [παραδείγματα]
Το δώρο Χριστουγέννων πρέπει να καταβληθεί μέχρι 21 Δεκεμβρίου 2024 και η μη καταβολή του διώκεται ποινικά
Η προφητεία των 100 χιλιάδων δολαρίων στο Bitcoin ανοίγει την όρεξη για το Ethereum
Το επενδυτικό κλίμα παραμένει καλό σε παγκόσμιο επίπεδο και επιτρέπει ανάληψη πιο ριψοκίνδυνων θέσεων, όπως σε διάφορα κρυπτονομίσματα.
Ψηφιακή πλατφόρμα για τα οχήματα myCAR – Άρση ακινησίας
Προϋποθέσεις – Τέλη Κυκλοφορίας και Ασφαλιστήριο Συμβόλαιο