Ο Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, γνωστός ως Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (Digital Operational Resilience Act – “DORA”), τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, με άμεση εφαρμογή από τις 17 Ιανουαρίου 2025.
Η DORA καθιέρωσε ένα ενιαίο και οριζόντιο κανονιστικό πλαίσιο για την ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων, όπως τραπεζών, ασφαλιστικών εταιρειών, επενδυτικών επιχειρήσεων, εταιρειών χρηματοδοτικής τεχνολογίας (fintech), καθώς και διαχειριστών συλλογικών επενδύσεων. Παράλληλα, καλύπτει και συγκεκριμένους παρόχους υπηρεσιών τεχνολογιών των πληροφοριών και των επικοινωνιών (‘’ΤΠΕ’’) που υποστηρίζουν κρίσιμες λειτουργίες των εν λόγω οντοτήτων.
Κεντρικός σκοπός της DORA είναι η διασφάλιση ότι όλες οι χρηματοοικονομικές οντότητες εντός της Ένωσης διαθέτουν τις κατάλληλες δικλίδες ασφαλείας και μηχανισμούς ελέγχου, ώστε να αντέχουν και να ανταποκρίνονται σε διαδικτυακές απειλές και περιστατικά που μπορούν να προκαλέσουν σοβαρές διαταραχές στη λειτουργία τους.
Καθορισμός των «υπηρεσιών ΤΠΕ» Σύμφωνα με το άρθρο 3(21) της DORA, ως υπηρεσίες ΤΠΕ νοούνται οι ψηφιακές και δεδομένες υπηρεσίες που παρέχονται μέσω συστημάτων ΤΠΕ σε ένα ή περισσότερα εσωτερικά ή εξωτερικά μέρη σε συνεχή βάση. Σε αυτές περιλαμβάνονται οι υπηρεσίες υλικού ως υπηρεσία (hardware-as-a-service), η παροχή τεχνικής υποστήριξης, καθώς και οι αναβαθμίσεις λογισμικού/υλικολογισμικού, με εξαίρεση τις παραδοσιακές αναλογικές τηλεφωνικές υπηρεσίες.
Η ερμηνεία του όρου έχει προκαλέσει προβληματισμό μεταξύ των ενδιαφερόμενων μερών. Στις 22 Ιανουαρίου 2025, η Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων (EIOPA) δημοσίευσε επίσημη ανάρτηση με διευκρινίσεις της Ευρωπαϊκής Επιτροπής, σύμφωνα με την οποία ο ορισμός είναι εσκεμμένα ευρύς και πρέπει να ερμηνεύεται ότι περιλαμβάνει κάθε ψηφιακή και δεδομένη υπηρεσία που παρέχεται μέσω ΤΠΕ σε συνεχή βάση. Στις περιπτώσεις όπου μια ρυθμιζόμενη χρηματοπιστωτική οντότητα παρέχει υπηρεσίες ΤΠΕ σε άλλη χρηματοπιστωτική οντότητα, διευκρινίζεται ότι, εάν οι σχετικές υπηρεσίες συνδέονται άρρηκτα με τις ρυθμιζόμενες χρηματοπιστωτικές δραστηριότητες της πρώτης, και εφόσον και τα δύο μέρη υπάγονται στο δίκαιο της Ένωσης ή στην εθνική νομοθεσία κράτους μέλους ή τρίτης χώρας, τότε οι υπηρεσίες αυτές δεν θεωρούνται υπηρεσίες ΤΠΕ, αλλά χαρακτηρίζονται ως χρηματοοικονομικές υπηρεσίες. Αντιθέτως, εάν οι παρεχόμενες υπηρεσίες ΤΠΕ είναι διακριτές και ανεξάρτητες από τη βασική χρηματοοικονομική δραστηριότητα, τότε υπάγονται στην DORA ως υπηρεσίες ΤΠΕ, σύμφωνα με το άρθρο 3(21).
Το Κεφάλαιο V της DORA καθορίζει το πλαίσιο διαχείρισης κινδύνων τρίτων μερών, εστιάζοντας στις συμβάσεις μεταξύ χρηματοπιστωτικών οντοτήτων και παρόχων υπηρεσιών ΤΠΕ. Το Άρθρο 28 καθορίζει γενικές αρχές για τις συμβατικές ρυθμίσεις και τη συμμόρφωση με το πλαίσιο διακυβέρνησης κινδύνου ΤΠΕ, διασφαλίζοντας επαρκή εποπτεία και έλεγχο από τη μεριά της χρηματοοικονομικής οντότητας. Το Άρθρο 29 επιβάλλει την υποχρέωση προκαταρκτικής αξιολόγησης του κινδύνου συγκέντρωσης υπηρεσιών ΤΠΕ, και την ενσωμάτωση ρητρών συμμόρφωσης με το δίκαιο της ΕΕ για την προστασία δεδομένων και το δίκαιο αφερεγγυότητας. Ακολούθως, το Άρθρο 30 θέτει τις βασικές συμβατικές απαιτήσεις, με το άρθρο 30.1 να προβλέπει ότι τα δικαιώματα και οι υποχρεώσεις πρέπει να αποτυπώνονται ρητά και εγγράφως, ενώ το άρθρο 30.2 παραθέτει ειδικές και τεχνικές απαιτήσεις που πρέπει να περιλαμβάνονται σε τέτοιες συμφωνίες.
Συνοπτικά, το πλαίσιο της DORA εισάγει μια προληπτική προσέγγιση στη διαχείριση κινδύνου ΤΠΕ, τονίζοντας την αυστηρή δέουσα επιμέλεια, τους σαφείς συμβατικούς όρους και τον ενεργό ρόλο των παρόχων υπηρεσιών στην ανάκαμψη από περιστατικά και την ασφάλεια, ενισχύοντας έτσι την ανθεκτικότητα των χρηματοπιστωτικών οντοτήτων στις διακοπές ΤΠΕ. Συμπεράσματα Με την εισαγωγή μιας ενιαίας και συνεπούς εποπτικής προσέγγισης σε πολλούς κλάδους, η DORA αντιπροσωπεύει ένα κρίσιμο βήμα για την εξασφάλιση της ομοιομορφίας και της εναρμόνισης των πρακτικών ασφάλειας και ανθεκτικότητας σε όλη την ΕΕ.
Παρόλο που η DORA είναι ένα βήμα προς τη σωστή κατεύθυνση, αναμένεται ότι οι οργανισμοί θα χρειαστεί να επενδύσουν στην εφαρμογή κατάλληλων μέτρων για συμμόρφωση, ώστε να αποφύγουν τις ποινές μη συμμόρφωσης. Συμπερασματικά, είναι επιτακτικό να μοιραστούν επαρκείς κατευθυντήριες γραμμές και γνώσεις μεταξύ των ενδιαφερόμενων μερών για να διευκολυνθεί η μετάβαση και να εξασφαλιστεί η συμμόρφωση με την DORA.
* Διοικητική Σύμβουλος, KPMG Law, Theodorides, Georgiou, Iacovou & CO LLC
** Senior Legal Advisor I, KPMG Law, Theodorides, Georgiou, Iacovou & CO LLC
