Η αυξανόμενη ψηφιοποίηση της οικονομίας έχει πυροδοτήσει ανησυχίες μεταξύ των υπευθύνων χάραξης πολιτικής, των επιχειρήσεων, των πολιτών και ολόκληρων τομέων, καθώς αυτή η τάση αυξάνει επίσης την απειλή του κινδύνου στον κυβερνοχώρο.
της Florence Lustman, Πρόεδρος, France Assureurs (δημοσίευση άρθρων σε συνεργασία του insurancedaily.gr με την Insurance Europe )
Με την υιοθέτηση της Οδηγίας για το δίκτυο και το σύστημα πληροφοριών (NIS1) του 2016, η ΕΕ έθεσε για πρώτη φορά τις απαιτήσεις της σε σχέση με τον κυβερνοχώρο και την υποβολή εκθέσεων για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών σε ολόκληρη την Ευρωπαϊκή Ένωση. Ως εκ τούτου, το NIS1 έχει διαδραματίσει κρίσιμο ρόλο στην ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας στην ΕΕ. Ωστόσο, δημιούργησε άνισους όρους ανταγωνισμού στον ασφαλιστικό τομέα, καθώς ορισμένες χώρες συμπεριέλαβαν ασφαλιστικές εταιρείες κατά τη μεταφορά της οδηγίας (όπως η Γαλλία για παράδειγμα) και άλλες όχι.
Cyber-resilience πλαίσιο για τον χρηματοπιστωτικό τομέα
Όταν η Ευρωπαϊκή Επιτροπή υπέβαλε πρόταση για αναθεώρηση της Οδηγίας NIS (NIS2) τον Σεπτέμβριο του 2020, δρομολόγησε επίσης πρόταση για έναν Νόμο για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), που θέτει το πλαίσιο για την ανθεκτικότητα στον κυβερνοχώρο στον χρηματοπιστωτικό τομέα.
Η DORA εγκρίθηκε τον Δεκέμβριο του 2022 και έγινε ευπρόσδεκτη από τους ασφαλιστές επειδή εναρμονίζει τις πρακτικές όλων των Ευρωπαίων ασφαλιστών και οδηγεί τον κλάδο σε ένα κοινό, υψηλό επίπεδο ασφάλειας στον κυβερνοχώρο, βασισμένο σε ένα πλαίσιο που σχεδιάστηκε ειδικά για τον χρηματοπιστωτικό τομέα. Στην πράξη, σημαίνει ότι το NIS2 δεν ισχύει για τους ασφαλιστές, αλλά ότι μόνο η DORA ισχύει, ακόμη και στις λίγες χώρες, συμπεριλαμβανομένης της Γαλλίας, που είχε αποφασίσει να κάνει χρήση της επιλογής να απαιτήσει από έναν ορισμένο αριθμό ασφαλιστών να συμμορφωθούν με τις απαιτήσεις του NIS1. Η DORA είναι επομένως μια θετική εξέλιξη για τον κλάδο.
Ανάπτυξη μέτρων επιπέδου 2
Ωστόσο, η νομοθετική διαδικασία δεν ολοκληρώθηκε με την υιοθέτηση της DORA, καθώς οι Ευρωπαϊκές Εποπτικές Αρχές ξεκίνησαν στη συνέχεια τις εργασίες για τα «μέτρα επιπέδου 2» για την υποστήριξη της εφαρμογής της πράξης. Αυτά τα μέτρα αποτελούνταν από μια σειρά από ρυθμιστικά τεχνικά πρότυπα (RTS), εκτελεστικά τεχνικά πρότυπα (ITS) και κατευθυντήριες γραμμές που αναπτύχθηκαν από τις ESA ( τις European Supervisory Authorities: EBA, EIOPA and ESMA) και την Ευρωπαϊκή Επιτροπή με τη συμβολή της βιομηχανίας μέσω διαβουλεύσεων.
Σε αυτό το πλαίσιο και λαμβάνοντας υπόψη το τρέχον πλαίσιο υψηλών κινδύνων κυβερνοεπιθέσεων, από το 2023, ο ασφαλιστικός τομέας έχει αφιερώσει σημαντικούς πόρους και ενέργεια για τη συμμόρφωση με το DORA, πραγματοποιώντας αναλύσεις. Οι περισσότεροι ασφαλιστές μπόρεσαν να βασιστούν εν μέρει στις υπάρχουσες πρακτικές, καθώς τα προτεινόμενα μέτρα επιπέδου 2 λαμβάνουν υπόψη τα ήδη υπάρχοντα ευρωπαϊκά και διεθνή πρότυπα, κάτι που ήταν ένα ισχυρό αίτημα της αγοράς. Ωστόσο, η πλήρης συμμόρφωση με την DORA για τον Ιανουάριο του 2025 (η νομική απαίτηση) εξακολουθεί να αποτελεί μείζονα πρόκληση, τόσο από πλευράς τεχνικών και πληροφοριακών πτυχών των απαιτήσεων, όσο και από πλευράς συμβατικών πτυχών που σχετίζονται με τη διαχείριση κινδύνου.
Ο ασφαλιστικός κλάδος συνέβαλε ενεργά στο έργο των ESA για την ανάπτυξη των μέτρων επιπέδου 2. Η ποιότητα του έργου που έγινε από τις αρχές εκτιμάται από τις εταιρείες, καθώς και η μεγάλη προσπάθεια που κατέβαλαν οι ESA για να δημιουργήσουν διάλογο με τον κλάδο και να εξηγήσουν το σκεπτικό πίσω από τα κείμενα σε ενημερωτικές δημόσιες εκδηλώσεις. Αυτός ο διάλογος έλαβε χώρα επίσης σε εθνικό επίπεδο, όπου πολλές ασφαλιστικές ομοσπονδίες και εταιρείες είχαν την ευκαιρία να συζητήσουν το σχέδιο RTS και ITS με τις εθνικές εποπτικές αρχές τους. Όλες αυτές οι ανταλλαγές ήταν καρποφόρες και στήριξαν τον κλάδο στις προσπάθειές του να συμμορφωθεί με αυτό το νέο ολοκληρωμένο και ισχυρό πλαίσιο.
Εφαρμογή επιπέδου 2
Τα μέτρα επιπέδου 2 κυκλοφόρησαν σε δύο κύριες «παρτίδες», καλύπτοντας αρκετά βασικά σημεία για τις εταιρείες. Η πρώτη παρτίδα επικεντρώθηκε στα εργαλεία διαχείρισης κινδύνου, τις μεθόδους, τη διαδικασία και τις πολιτικές, την ταξινόμηση σημαντικών περιστατικών, το μητρώο πληροφοριών για συμβατικές συμφωνίες με παρόχους και την πολιτική για τη χρήση υπηρεσιών ICT που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες.
Η δεύτερη παρτίδα επικεντρώθηκε στις συνθήκες υπεργολαβίας για τις υπηρεσίες ICT που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, καθορίζοντας το χρονοδιάγραμμα και τις αναφορές ειδοποίησης σημαντικών περιστατικών και δημιουργώντας το πλαίσιο δοκιμών διείσδυσης υπό την ηγεσία απειλών DORA (TLPT), με βάση ένα ήδη υπάρχον ευρωπαϊκό πλαίσιο. ΤΙΒΕΡ-ΕΕ).
Παράλληλα με αυτές τις «παρτίδες» μέτρων, οι ESA διεξήγαγαν επίσης διαβουλεύσεις σχετικά με τη διεξαγωγή δραστηριοτήτων εποπτείας, τις κοινές ομάδες εξέτασης και τον καθορισμό των τελών επίβλεψης.
Οι ESA ετοίμασαν περαιτέρω κατ’ εξουσιοδότηση πράξη σχετικά με τα κριτήρια για τον ορισμό κρίσιμων τρίτων παρόχων υπηρεσιών ICT . Η κατάρτιση του καταλόγου των πιο κρίσιμων τρίτων παρόχων ICT θα είναι η κύρια δραστηριότητα που θα αναλάβουν οι ESA το 2025, με βάση τις πληροφορίες που παρέχονται από εταιρείες σε όλη την Ευρώπη μέσω του νέου τους μητρώου αναφοράς πληροφοριών στο πλαίσιο της DORA.
Λαμβάνοντας υπόψη τον αντίκτυπο των προτεινόμενων μέτρων, μέσω της διαβούλευσης, ο κλάδος ενθάρρυνε σθεναρά τις ESA να ενσωματώσουν περισσότερη αναλογικότητα στο κείμενο των μέτρων του επιπέδου 2 και να εξασφαλίσουν μια προσέγγιση που βασίζεται περισσότερο στον κίνδυνο, προκειμένου να διασφαλιστεί ότι όλες οι οντότητες διαφορετικών μεγεθών σε όλες τις αγορές θα είναι σε θέση να συμμορφώνονται με τον κανονισμό. Ένα άλλο βασικό σημείο που τέθηκε ήταν η ανάγκη να αποφευχθεί η υπερβολική πολυπλοκότητα και η ανάγκη δεόντως σεβασμού της εντολής που δίνεται στο κείμενο DORA επιπέδου 1.
Πέρα από τον Ιανουάριο του 2025 – ο δρόμος μπροστά
Η συμμόρφωση με την DORA έως τον Ιανουάριο του 2025 αντιπροσώπευε μια πρόκληση για τις χρηματοπιστωτικές οντότητες, η οποία επιδεινώθηκε από το γεγονός ότι πολλά από τα μέτρα επιπέδου 2 οριστικοποιήθηκαν αργά στη διαδικασία, συμπεριλαμβανομένου του τελικού κειμένου του προτύπου για το μητρώο πληροφοριών – ζωτικής σημασίας για εταιρεία που διαχειρίζεται και καταγράφει τους κινδύνους τρίτων μερών ICT – οριστικοποιήθηκε στα τέλη Δεκεμβρίου 2024. Απομένουν να δημοσιευτούν δύο πρότυπα, σχετικά με την υπεργολαβία και τη διείσδυση λόγω απειλών αυτή τη στιγμή, γεγονός που περιπλέκει την εφαρμογή για τις εταιρείες.
Ο κλάδος συνεχίζει επίσης να επιδιώκει νομική σαφήνεια σχετικά με ορισμένες πτυχές των μέτρων, για να διασφαλίσει ότι οι εταιρείες μπορούν να έχουν τις απαντήσεις που χρειάζονται για να συμμορφωθούν με τα διάφορα πρότυπα και τη νομοθεσία. Για περαιτέρω υποστήριξη των εταιρειών, ο κλάδος προτρέπει τις ESA και την Ευρωπαϊκή Επιτροπή να υιοθετήσουν γρήγορα τα υπόλοιπα μέτρα και να παράσχουν την απαραίτητη σαφήνεια και απαντήσεις στα ερωτήματα που τέθηκαν, ώστε όλες οι εταιρείες να μπορούν να τηρούν γρήγορα το απαιτούμενο υψηλό επίπεδο ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ένωση.
