Γράφει ο Συμεών Καλαματιανός, Διευθυντής – Επικεφαλής Υπηρεσιών Τεχνολογίας και Ψηφιακής Διασφάλισης, ΣΟΛ Crowe Συμβουλευτική
Σε μια εποχή που χαρακτηρίζεται από τον επιταχυνόμενο ψηφιακό μετασχηματισμό των οικονομιών, αλλά και τη δυναμική είσοδο της Τεχνητής Νοημοσύνης στο προσκήνιο, η «ψηφιακή επιχειρησιακή ανθεκτικότητα» αποτελεί μια από τις κορυφαίες προκλήσεις που αντιμετωπίζουν οι διοικήσεις των επιχειρήσεων παγκοσμίως, μαζί, φυσικά, με αυτή της βιώσιμης ανάπτυξης.
Η Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (Digital Operational Resilience) δεν εξαντλείται στην Κυβερνοασφάλεια αλλά αποτυπώνει τη συνολική ικανότητα ενός οργανισμού να διατηρεί απρόσκοπτα τις βασικές του λειτουργίες παρά τις απειλές που υφίσταται σε σχέση με τη διακοπή ή τη διαταραχή της ομαλής λειτουργίας των ψηφιακών του συστημάτων, των διαδικασιών/ διεργασιών ή υποδομών του οι οποίες βασίζονται σε ΤΠΕ (Digital Risk).
Εστιάζει λοιπόν στην προστασία των Ψηφιακών Τεχνολογιών της επιχείρησης, μέσω της οποίας εξασφαλίζεται η ανθεκτικότητα των υποδομών ΤΠΕ, των δικτύων, των εφαρμογών ΤΠΕ και των δεδομένων στις διάφορες ψηφιακές απειλές όπως κυβερνοεπιθέσεις, αστοχίες συστημάτων, φυσικές καταστροφές και ανθρώπινα λάθη, λαμβάνοντας τα κατάλληλα προληπτικά και διορθωτικά/ κατασταλτικά μέτρα.
Η αντίστροφη μέτρηση για τη συμμόρφωση των επιχειρήσεων με το νέο Ρυθμιστικό Πλαίσιο της Ευρωπαϊκής Ένωσης για την ψηφιακή επιχειρησιακή ανθεκτικότητα έχει ήδη ξεκινήσει. Η θέσπιση των παρακάτω δύο νομοθετικών πράξεων επιφέρει αρκετές νέες και σημαντικές υποχρεώσεις για τις επιχειρήσεις:
- Ο κανονισμός (ΕΕ) 2022/2554 για την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα, γνωστός και ως DORA (Digital Operational Resilience Act) και
- Η οδηγία (ΕΕ) 2022/2555 NIS2 (Network Information Security 2) για την προστασία της ασφάλειας και τη θωράκιση της λειτουργίας των εταιρειών που παρέχουν υπηρεσίες κρίσιμων υποδομών.
Κανονισμός Digital Operational Resilience Act (DORA)
Ο νέος Κανονισμός DORA αποσκοπεί στη θωράκιση του τομέα των χρηματοοικονομικών υπηρεσιών (Financial Services) και ως εκ τούτου το πεδίο εφαρμογής του εκτείνεται από τα Πιστωτικά Ιδρύματα, τα ιδρύματα Πληρωμών και τα ιδρύματα ηλεκτρονικού Χρήματος, μέχρι τις οντότητες που συνδέονται με τη λειτουργία Χρηματιστηρίων/ Αγορών Κεφαλαίων, όπως τόπους διαπραγμάτευσης, Κεντρικά Αποθετήρια Τίτλων, Κεντρικοί Αντισυμβαλλόμενοι, επιχειρήσεις επενδύσεων, παρόχους υπηρεσιών κρυπτοστοιχείων και εταιρείες διαχείρισης, όπως επίσης τις ασφαλιστικές εταιρείες, τα ασφαλιστικά ταμεία κλπ.
Ο Κανονισμός περιλαμβάνει επίσης και τους παρόχους υπηρεσιών Τεχνολογιών Πληροφορικής & Επικοινωνιών («ΤΠΕ»), λόγω του υψηλού βαθμού διασυνδεσιμότητας των παραγόντων του χρηματοπιστωτικού συστήματος και της συνεχούς ψηφιοποίησης των υποδομών και των υπηρεσιών τους.
Ο Κανονισμός αποτελεί μία ενιαία νομοθετική πράξη η οποία βελτιώνει το ρυθμιστικό πλαίσιο της Ευρωπαϊκής Ένωσης (ΕΕ) για τη διαχείριση των κινδύνων στο νέο ψηφιακό περιβάλλον για τον χρηματοοικονομικό τομέα. Στο πλαίσιο αυτό, καλύπτει όλες τις συνιστώσες για την ψηφιακή επιχειρησιακή ανθεκτικότητα, συνδυάζοντας, για πρώτη φορά με συνεκτικό τρόπο, όλες τις ισχύουσες διατάξεις που αφορούν στον ψηφιακό κίνδυνο.
Οι κανονιστικές απαιτήσεις βάσει του DORA κατηγοριοποιούνται σε θεματικές ενότητες οι οποίες και αποτελούν τους βασικούς Πυλώνες της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας:
- Διαχείριση κινδύνων ΤΠΕ
- Διαχείριση, ταξινόμηση και αναφορά συμβάντων που σχετίζονται με ΤΠΕ
- Διεξαγωγή δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας
- Διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ
- Ρυθμίσεις ανταλλαγής πληροφοριών σχετικά με κυβερνοαπειλές
Οι βασικές παράμετροι για τη λήψη αποφάσεων από τις Οντότητες του τομέα των Χρηματοοικονομικών Υπηρεσιών, αναφορικά με τη συμμόρφωση τους με τον Κανονισμό DORA, είναι οι ακόλουθοι:
- Η σημασία της έγκαιρης συμμόρφωσης – Ο Κανονισμός τίθεται σε εφαρμογή 17 Ιανουαρίου 2025.
- Η Αναλογικότητα στη συμμόρφωση.
- Οι εξελίξεις σε σχέση με την έκδοση Ρυθμιστικών Τεχνικών Προτύπων (RTS)
- Η εξοικείωση με τις υφιστάμενες αρχές και πρότυπα διαχείρισης κινδύνων ΤΠΕ και Ασφάλειας
- Το πλαίσιο εποπτείας κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ
Οδηγία NIS2
Παράλληλα με τον Κανονισμό DORA, η οδηγία NIS2 έχει ως στόχο να βελτιώσει το πλαίσιο που θεσμοθετήθηκε για τα κράτη μέλη της Ευρωπαϊκής Ένωσης με βάση την αρχική NIS του 2016 την οποία και αντικαθιστά. Το πεδίο εφαρμογής της νέας οδηγίας είναι σημαντικά διευρυμένο καθώς αφορά πολλαπλάσιους κλάδους δραστηριότητας εταιρειών σε σχέση με την προκάτοχό της. Επιπλέον, επεκτείνει το εύρος της αρχικής οδηγίας και απαιτεί πρόσθετες ενέργειες και μέτρα για την εποπτεία της.
Πιο συγκεκριμένα, οι επιχειρήσεις βάσει της οδηγίας χωρίζονται σε δύο κατηγορίες: essential entities και important entities. Στις οντότητες της πρώτης κατηγορίας, για τις οποίες εφαρμόζεται και αυστηρότερο πλαίσιο εποπτείας, συμπεριλαμβάνονται οι τράπεζες, εταιρείες τηλεπικοινωνιών, ψηφιακών υποδομών και εφαρμογών (Cloud Computing, Data Centers κλπ.) εταιρείες εμπορευματικών μεταφορών, επιχειρήσεις κοινής ωφέλειας και ενέργειας με την προϋπόθεση ότι διαθέτουν περισσότερους από 250 εργαζομένους και έχουν ετήσιο κύκλο εργασιών μεγαλύτερο των 50 εκατομμυρίων ευρώ (εκτός των trust service providers, top-level domain name registries και DNS service providers οι οποίοι συμπεριλαμβάνονται ανεξαρτήτως μεγέθους).
Στη δεύτερη κατηγορία εντάσσονται κυρίως οι μικρομεσαίες επιχειρήσεις (λιγότεροι από 250 εργαζομένους ή ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ) των προαναφερόμενων τομέων δραστηριότητας, οι οποίες δεν πληρούν τα κριτήρια της πρώτης κατηγορίας καθώς και εταιρείες τροφίμων, ταχυδρομικών υπηρεσιών, βιομηχανίες κ.ά.
Βάσει της οδηγίας NIS2, η συμμόρφωση αποτελεί ευθύνη της διοίκησης και οι εταιρείες που δεν συμμορφώνονται ενδέχεται να αντιμετωπίσουν πρόστιμα έως και 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών τους.
Η οδηγία NIS2 εκδόθηκε και επισημοποιήθηκε στην ΕΕ στα τέλη Δεκεμβρίου 2022. Τα κράτη μέλη έχουν στη διάθεσή τους 21 μήνες για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο, άρα αναμένεται να τεθεί σε εφαρμογή τον Οκτώβριο του 2024.
Ψηφιακή Ανθεκτικότητα και ESG
Σε ένα περιβάλλον όπου η βιωσιμότητα αποτελεί πλέον προτεραιότητα, οι επιχειρήσεις έχουν ήδη θέσει τα θέματα ESG (Environmental, Social, Governance) στο επίκεντρο της στρατηγικής τους. Και ενώ η περιβαλλοντολογική διάσταση κυριαρχεί στην ατζέντα των πρωτοβουλιών για το ESG, υποτιμούνται συχνά οι επιπτώσεις των κυβερνοαπειλών στο περιβάλλον, όπως για παράδειγμα, αυτές που στοχεύουν κρίσιμες υποδομές όπως η παραγωγή ενέργειας και η επεξεργασία υδάτινων πόρων (essential entities βάσει NIS2). Επιπρόσθετα, οι επιχειρήσεις καλούνται να ισορροπήσουν μεταξύ ψηφιακής ανθεκτικότητας και επίτευξης περιβαλλοντικών στόχων, όταν σχεδιάζουν τη στρατηγική τους για την επιχειρησιακή τους συνέχεια (π.χ. ένα δεύτερο data center).
Η ψηφιακή ανθεκτικότητα έχει όμως και κοινωνικές προεκτάσεις. Η προστασία δεδομένων προσωπικού χαρακτήρα και η εμπιστευτικότητα, η ελευθερία της έκφρασης, η υποστήριξη της διαφορετικότητας και της συμπερίληψης καθώς και η αρνητική φήμη που σχετίζεται με κυβερνοεπιθέσεις είναι μερικές από αυτές.
Παράλληλα, η ραγδαία εξάπλωση σύγχρονων τεχνολογικών εργαλείων AI (Artificial Intelligence) θέτει στο επίκεντρο τη δεοντολογική χρήση των δεδομένων που αφορούν την κοινωνία, ενώ θέματα που άπτονται της Εταιρικής Διακυβέρνησης και οι προεκτάσεις της στην ψηφιακή ανθεκτικότητα, την κυβερνοασφάλεια και την ιδιωτικότητα, βρίσκονται στον πυρήνα της βιώσιμης ανάπτυξης.
Η συμμόρφωση με κανονιστικά πλαίσια, όπως τα πρόσφατα για την ψηφιακή επιχειρησιακή ανθεκτικότητα και κυβερνοασφάλεια (DORA και NIS2), εκτός από υποχρέωση, αποτελεί και σημαντικό τεκμήριο της αποτελεσματικότητας της Εταιρικής Διακυβέρνησης.
Στο πλαίσιο αυτό, ο χρόνος μετρά ήδη αντίστροφα για τις μεγάλες και μεσαίες επιχειρήσεις της Ευρωπαϊκής Ένωσης, καθώς, βάσει της οδηγίας ΕΕ 2022/2464 (CSDR – Corporate Sustainability Reporting Directive), απαιτείται να δημοσιοποιούν σε ετήσια βάση δεδομένα και πολιτικές για τη βιώσιμη ανάπτυξη και τα κριτήρια ESG, με την Κυβερνοασφάλεια να αποτελεί κρίσιμο παράγοντα στη διασφάλιση της αξιοπιστίας των εκθέσεων βιωσιμότητας.
Το νέο ρυθμιστικό πλαίσιο για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα και η προφανής συσχέτιση της και με τις τρεις διαστάσεις της βιώσιμης ανάπτυξης, καθιστούν μονόδρομο την επιλογή μίας ολιστικής προσέγγισης για την προσαρμογή των επιχειρήσεων στα σύγχρονα δεδομένα.
Αφενός, μειώνει σημαντικά το κόστος συμμόρφωσής σε σχέση με την επιλογή των παράλληλων δράσεων που στοχεύουν σε επιμέρους κατακερματισμένα και συχνά επικαλυπτόμενα νομοθετήματα. Αφετέρου, η ολιστική προσέγγιση στη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα προσφέρει σημαντικά πλεονεκτήματα που προσδίδουν αξία στη λειτουργία των επιχειρήσεων, όπως είναι η ενίσχυση της ακεραιότητας και της αξιοπιστίας, της εμπιστευτικότητας και της διαθεσιμότητας των πληροφοριών, της διαφάνειας και της λογοδοσίας. Πλεονεκτήματα που ενισχύουν περαιτέρω την εμπιστοσύνη των μετόχων, των πελατών, των προμηθευτών, των υπαλλήλων, των κανονιστικών αρχών και των άλλων ενδιαφερομένων μερών, θωρακίζοντας την ψηφιακή εμπιστοσύνη (Digital Trust), με όρους βιωσιμότητας.