PwC: Băncile, asigurătorii şi societăţile de investiţii trebuie să-şi adapteze strategiile de securitate cibernetică la noile norme privind rezilienţa operaţională digitală, adoptate de UE
Numărându-se printre ţintele preferate ale hackerilor, băncile, societăţile de asigurări şi firmele de investiţii trebuie să-şi întărească mai mult securitatea cibernetică până la finalul anului 2024, pentru a se conforma cerinţelor Actului legislativ privind rezilienţa operaţională digitală (DORA), adoptat de Consiliul European la finele lunii noiembrie. DORA este cea mai importantă iniţiativă de reglementare a UE privind rezilienţa operaţională şi securitatea cibernetică în sectorul serviciilor financiare, pentru a se asigura că sectorul financiar european este capabil să reziste în cazul unor perturbări operaţionale grave.
Publicată pentru prima dată în septembrie 2020, ca parte a Pachetului privind finanţele digitale (DFP) al Uniunii, perioada de punere în aplicare a DORA va dura 24 de luni, ceea ce înseamnă că firmele trebuie să se conformeze cerinţelor până la sfârşitul anului 2024.
Care sunt cerinţele DORA?
Aproape fiecare tip de instituţie financiară din UE va trebui să se asigure că furnizorii săi şi controalele de securitate ale acestora respectă standardele de rezilienţă, iar eforturile solicitate entităţilor financiare vor fi proporţionale cu riscurile potenţiale. Totodată, DORA stabileşte cerinţe uniforme pentru securitatea reţelelor şi a sistemelor informatice ale companiilor din sectorul financiar, precum şi ale părţilor terţe critice care le furnizează servicii legate de TIC (tehnologii ale informaţiei şi comunicaţiilor), cum ar fi platformele cloud sau serviciile de analiză a datelor. Mai mult, furnizorii de servicii TIC din ţări terţe vor trebui să-şi înfiinţeze filiale pe teritoriul UE, astfel încât supravegherea să poată fi pusă în aplicare în mod corespunzător.
În ceea ce priveşte Directiva NIS, aceasta continuă să se aplice, DORA abordând posibilele suprapuneri prin derogări.
Aspectele care necesită transpunere la nivel naţional vor fi adoptateîn legislaţia fiecărui stat membru al UE. În acelaşi timp, autorităţile europene de supraveghere relevante din domeniul bancar, al valorilor mobiliare şi al asigurărilor vor elabora standarde tehnice care vor trebui respectate de toate instituţiile din domeniul serviciilor financiare.
Contextul cibernetic. La ce trebuie să fie atente companiile?
Breşele de securitate a datelor reprezintă o ameninţare omniprezentă în lumea digitală, chiar dacă au fost făcute progrese în ultimii ani, iar anul 2023 se profilează ca un nou test de rezilienţă pentru companii şi cu presiuni tot mai mari pentru a asigura securitatea şi confidenţialitatea datelor, potrivit studiului Digital Trust Insights Survey 2023 realizat de PwC. În acest context, este nevoie de un nivel mai ridicat de colaborare între sectorul public şi cel privat pentru o raportare mai clară a incidentelor, gestionarea riscurilor şi planificarea continuităţii afacerii şi a recuperării în caz de dezastru.
Impactul atacurilor cibernetice merge mult mai departe de costul financiar direct, prejudiciile menţionate de organizaţiile afectate de un astfel de incident în ultimii trei ani fiind pierderea clienţilor, pierderea datelor clienţilor şi daune aduse reputaţiei sau mărcii. În pofida faptului că atacurile cibernetice continuă să coste companiile milioane de dolari, mai puţin de 40% dintre directorii chestionaţi în cadrul Digital Trust Insights afirmă că au atenuat complet expunerea la riscurile de securitate cibernetică într-o serie de domenii critice,
