
Pada hari Jumat ini DORA mulai berlaku, pada Undang-Undang Ketahanan Operasional Digital. Peraturan tersebut bertujuan untuk memperkuat keamanan komputer dan meminimalkan risiko teknologi dengan menetapkan persyaratan yang seragam mengenai jaringan dan sistem informasi yang mendukung proses entitas keuangan. Menurut para ahli, peraturan tersebut mewakili terciptanya KUHPerdata teknologi untuk sektor ini karena mencakup semua entitas yang diatur di Uni Eropa: bank, perusahaan asuransi, perusahaan investasi, entitas pembayaran dan uang elektronik, penyedia kripto yang disahkan oleh MiCA dan penyedia ICT (teknologi informasi dan komunikasi).
Di wilayah yang terdapat sekitar 22.000 lembaga keuangan, insiden siber apa pun dapat menyebar dengan sangat cepat. Oleh karena itu, jika ada agen yang mengganggu, seperti peretas, pandemi atau peristiwa lain yang mempengaruhi aktivitas perusahaan, Dora mewajibkan entitas untuk memiliki a rencana B untuk terus bekerja tanpa adanya peristiwa yang mempengaruhi operasinya, untuk menjamin stabilitas keuangan dan perlindungan konsumen.
Peraturan tersebut mengatur entitas tersebuttermasuk penyedia layanan kripto, mengembangkan kerangka tata kelola yang komprehensif untuk risiko TIK, mengidentifikasi aset-aset penting, melakukan analisis risiko secara berkala untuk mendeteksi kerentanan, menguji sistem mereka terhadap ancaman tertentu dan menetapkan langkah-langkah keamanan siber. Hal ini perlu didokumentasikan dan ditinjau setidaknya setiap tahun dan setiap kali terjadi insiden. Mereka juga harus menjalani audit internal secara berkala.
Dalam kerangka ini, seluruh rantai pasokan harus diidentifikasi. Cristina Carrascoza, CEO dan pendiri ATH21, menjelaskan bahwa hal baru yang dibawa oleh peraturan ini adalah bahwa untuk pertama kalinya peraturan ini mengharuskan entitas yang diwajibkan memiliki kendali penuh atas seluruh rantai kontrak dan subkontrak. “Dalam penerapannya, hal ini sulit dilakukan karena sebuah perusahaan dapat memiliki penyedia ICT yang melakukan subkontrak terhadap banyak tugas dan perusahaan harus mengidentifikasi setiap subkontraktornya.”
Faktanya, semuanya Penyedia layanan kripto di bawah Dora harus mematuhi pencatatan informasi hal ini mencakup semua kontrak yang mereka miliki, mengidentifikasi mana yang penting dan pemasok mana yang menawarkannya. Mereka harus melaporkan informasi tersebut setahun sekali dan setiap kali diperkirakan ada perubahan posisi.
Perusahaan juga perlu melakukan analisis risiko dan pengujian ketahanan secara rutin. Entitas keuangan yang bukan merupakan usaha mikro harus menjamin, sesuai dengan teks tersebut, bahwa setidaknya setahun sekali pengujian dilakukan terhadap semua sistem dan aplikasi TIK yang mendukung fungsi-fungsi penting atau penting. Tes ini akan dilakukan oleh pihak ketiga yang independen. Selain itu, teks tersebut menetapkan bahwa mereka harus melakukan penilaian risiko setiap kali ada perubahan signifikan dalam infrastruktur jaringan dan sistem informasi, dalam proses atau prosedur yang mempengaruhi fungsi bisnis mereka yang didukung oleh ICT.
Yang terakhir, mereka harus mempunyai rencana pemulihan insiden yang memastikan respons cepat, pembatasan kerusakan, dan tindakan pemulihan. Entitas juga harus memantau, mencatat, dan melaporkan insiden terkait teknologi ini melalui laporan kepada pihak yang berwenang dan pelanggan mereka yang terkena dampak.
Peraturan tersebut menimbulkan tantangan bagi entitas, terutama karena kompleksitasnya dan banyak ahli menunjukkan kurangnya kejelasan dalam beberapa masalah penafsiran peraturan tersebut. Bagi Fontcuberta, ini adalah area yang sangat abu-abu, yang perlu diklarifikasi: “A menjadi tuan rumah Jelas bahwa ini adalah layanan ICT, tapi sejauh mana itu adalah konsultasi?” Di sisi lain, mereka juga menyalahkan keterlambatan publikasi oleh otoritas yang berwenang atas seluruh standar teknis pembangunan (RTS) yang secara spesifik menjelaskan apa saja peraturannya. mendirikan. “Contohnya, Dora mengatakan bahwa klausul kontrak dengan penyedia layanan TIK harus jelas, spesifik dan menjelaskan prosesnya, namun dia tidak menjelaskan caranya. Kemudian mereka menerbitkan RTS dan merinci klausul pasti yang harus disertakan,” tegas Carrascoza.
Fontcuberta menekankan bahwa penundaan dalam publikasi standar teknis tidak membantu entitas-entitas ini. “Templat pendaftaran pemasok tunggal, yang menunjukkan semua kontrak yang dimiliki suatu entitas, fungsi apa yang berasal dari kontrak tersebut, dan pemasok mana yang bertanggung jawab atas kontrak tersebut, belum dirilis hingga bulan Desember. Dan perusahaan-perusahaan tersebut sangat lambat, karena mereka mempunyai waktu satu setengah bulan untuk mendapatkan begitu banyak informasi,” katanya.
Terlepas dari kerumitannya, Carrascosa menekankan bahwa penyedia layanan kripto pada dasarnya adalah perusahaan teknologi yang mengetahui kerangka manajemen risiko atau pelaporan insiden, sehingga adaptasi mereka terhadap Dora tidaklah rumit. Namun, dia yakin hal ini tidak diperlukan untuk entitas kripto. “MiCA sudah mencakup kewajiban untuk memiliki sistem yang tangguh. Dan otorisasi MiCA tidak diberikan jika entitas tidak mampu memiliki rencana likuidasi yang tertib jika terjadi insiden keamanan,” catatnya.
Dalam hal ini, pengacara menunjukkan bahwa ada banyak ketidaktahuan di antara penyedia kripto tentang peraturan ini, yang wajib untuk mendapatkan otorisasi MiCA. “Kami melihat banyak penyedia yang tidak mengetahui hal ini dan meminta izin kepada CNMV tanpa mengetahui bahwa jika mereka tidak mematuhi Dora, mereka tidak akan diberikan izin tersebut. Dan semua dokumentasi membutuhkan waktu. Kalau nasabah menunggu izin di Juli misalnya, pasti terlambat karena harus mengurus dokumen Dora,” jelasnya.
Berbeda dengan MiCA, Dora mulai berlaku pada hari Jumat ini dan tidak memberikan masa transisi. Otoritas yang kompeten (seperti CNMV atau Bank Spanyol) Mereka memiliki waktu hingga April untuk memberi tahu pihak berwenang Uni Eropa semua perjanjian kontrak dengan penyedia layanan teknologi disediakan oleh lembaga keuangan. Sejak saat itu, pengawas akan mengumumkan penyedia ICT pihak ketiga mana yang penting, yaitu penyedia yang memiliki konsentrasi tinggi di entitas tersebut dan, oleh karena itu, memerlukan peningkatan persyaratan.
Ini diharapkan menjadi perusahaan besar seperti Microsoft, Google, SAP, dan mereka akan diatur dan diawasi langsung oleh Esma (Otoritas Sekuritas dan Pasar Eropa), EBA (Otoritas Perbankan Eropa) dan Eiopa (Otoritas Pengawas Eropa untuk asuransi dan pensiun) . Pensiun). Di sini Fontcuberta mengidentifikasi kelemahan lain dari peraturan tersebut. “Jika pihak berwenang tidak menentukan pada pertengahan tahun 2025 pemasok mana yang penting dan mana yang tidak, perusahaan mungkin menganggap mereka tidak penting dan tidak menyesuaikan kontrak sejauh yang seharusnya,” simpulnya.