Του Συμεών Καλαματιανού, διευθυντή – επικεφαλής Υπηρεσιών Τεχνολογίας και Ψηφιακής Διασφάλισης, ΣΟΛ Crowe Συμβουλευτική
ΣΕ ΜΙΑ ΕΠΟΧΗ που χαρακτηρίζεται από τον επιταχυνόμενο ψηφιακό μετασχηματισμό των οικονομιών, αλλά και τη δυναμική είσοδο της Τεχνητής Νοημοσύνης στο προσκήνιο, η «ψηφιακή επιχειρησιακή ανθεκτικότητα» αποτελεί μια από τις κορυφαίες προκλήσεις που αντιμετωπίζουν οι διοικήσεις των επιχειρήσεων παγκοσμίως, μαζί, φυσικά, με αυτή της βιώσιμης ανάπτυξης.
Η ΨΗΦΙΑΚΗ Επιχειρησιακή Ανθεκτικότητα (Digital Operational Resilience) δεν εξαντλείται στην Κυβερνοασφάλεια, αλλά αποτυπώνει τη συνολική ικανότητα ενός οργανισμού να διατηρεί απρόσκοπτα τις βασικές του λειτουργίες παρά τις απειλές που υφίσταται σε σχέση με τη διακοπή ή τη διαταραχή της ομαλής λειτουργίας των ψηφιακών του συστημάτων, των διαδικασιών/ διεργασιών ή υποδομών του οι οποίες βασίζονται σε ΤΠΕ (Digital Risk).
ΕΣΤΙΑΖΕΙ λοιπόν στην προστασία των Ψηφιακών Τεχνολογιών της επιχείρησης, μέσω της οποίας εξασφαλίζεται η ανθεκτικότητα των υποδομών ΤΠΕ, των δικτύων, των εφαρμογών ΤΠΕ και των δεδομένων στις διάφορες ψηφιακές απειλές, όπως κυβερνοεπιθέσεις, αστοχίες συστημάτων, φυσικές καταστροφές αι ανθρώπινα λάθη, λαμβάνοντας τα κατάλληλα προληπτικά και διορθωτικά/ κατασταλτικά μέτρα.
Η ΑΝΤΙΣΤΡΟΦΗ μέτρηση για τη συμμόρφωση των επιχειρήσεων με το νέο Ρυθμιστικό Πλαίσιο της Ευρωπαϊκής Ένωσης για την ψηφιακή επιχειρησιακή ανθεκτικότητα έχει ήδη ξεκινήσει. Η θέσπιση των παρακάτω δύο νομοθετικών πράξεων επιφέρει αρκετές νέες και σημαντικές υποχρεώσεις για τις επιχειρήσεις:
- Ο κανονισμός (ΕΕ) 2022/2554 για την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα, γνωστός και ως DORA (Digital Operational Resilience Act) και
- Η οδηγία (ΕΕ) 2022/2555 NIS2 (Network Information Security 2) για την προστασία της ασφάλειας και τη θωράκιση της λειτουργίας των εταιρειών που παρέχουν υπηρεσίες κρίσιμων υποδομών.
Κανονισμός Digital Operational Resilience Act (DORA)
Ο ΝΕΟΣ Κανονισμός DORA αποσκοπεί στη θωράκιση του τομέα των χρηματοοικονομικών υπηρεσιών (Financial Services) και ως εκ τούτου το πεδίο εφαρμογής του εκτείνεται από τα Πιστωτικά Ιδρύματα, τα ιδρύματα Πληρωμών και τα ιδρύματα ηλεκτρονικού Χρήματος, μέχρι τις οντότητες που συνδέονται με τη λειτουργία Χρηματιστηρίων/ Αγορών Κεφαλαίων, όπως τόποι διαπραγμάτευσης, Κεντρικά Αποθετήρια Τίτλων, Κεντρικοί Αντισυμβαλλόμενοι, επιχειρήσεις επενδύσεων, πάροχοι υπηρεσιών κρυπτοστοιχείων και εταιρείες διαχείρισης, όπως επίσης οι ασφαλιστικές εταιρείες, τα ασφαλιστικά ταμεία κ.λπ.
Ο ΚΑΝΟΝΙΣΜΟΣ περιλαμβάνει επίσης και τους παρόχους υπηρεσιών Τεχνολογιών Πληροφορικής & Επικοινωνιών («ΤΠΕ»), λόγω του υψηλού βαθμού διασυνδεσιμότητας των παραγόντων του χρηματοπιστωτικού συστήματος και της συνεχούς ψηφιοποίησης των υποδομών και των υπηρεσιών τους.
Ο ΚΑΝΟΝΙΣΜΟΣ αποτελεί μία ενιαία νομοθετική πράξη η οποία βελτιώνει το ρυθμιστικό πλαίσιο της Ευρωπαϊκής Ένωσης (Ε.Ε.) για τη διαχείριση των κινδύνων στο νέο ψηφιακό περιβάλλον για τον χρηματοοικονομικό τομέα. Στο πλαίσιο αυτό, καλύπτει όλες τις συνιστώσες για την ψηφιακή επιχειρησιακή ανθεκτικότητα, συνδυάζοντας, για πρώτη φορά με συνεκτικό τρόπο, όλες τις ισχύουσες διατάξεις που αφορούν τον ψηφιακό κίνδυνο.
ΟΙ ΚΑΝΟΝΙΣΤΙΚΕΣ απαιτήσεις, βάσει του DORA, κατηγοριοποιούνται σε θεματικές ενότητες οι οποίες και αποτελούν τους βασικούς Πυλώνες της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας:
Α. Διαχείριση κινδύνων ΤΠΕ
Β. Διαχείριση, ταξινόμηση και αναφορά συμβάντων που σχετίζονται με ΤΠΕ
Γ. Διεξαγωγή δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας
Δ. Διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ
Ε. Ρυθμίσεις ανταλλαγής πληροφοριών σχετικά με κυβερνοαπειλές.
ΟΙ ΒΑΣΙΚΕΣ παράμετροι για τη λήψη αποφάσεων από τις Οντότητες του τομέα των Χρηματοοικονομικών Υπηρεσιών, αναφορικά με τη συμμόρφωσή τους με τον Κανονισμό DORA, είναι οι ακόλουθες:
1. Η σημασία της έγκαιρης συμμόρφωσης – Ο Κανονισμός τίθεται σε εφαρμογή 17 Ιανουαρίου 2025.
2. Η Αναλογικότητα στη συμμόρφωση.
3. Οι εξελίξεις σε σχέση με την έκδοση Ρυθμιστικών Τεχνικών Προτύπων (RTS).
4. Η εξοικείωση με τις υφιστάμενες αρχές και τα πρότυπα διαχείρισης κινδύνων ΤΠΕ και Ασφάλειας.
5. Το πλαίσιο εποπτείας κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ Οδηγία NIS2.
ΠΑΡΑΛΛΗΛΑ με τον Κανονισμό DORA, η οδηγία NIS2 έχει ως στόχο να βελτιώσει το πλαίσιο που θεσμοθετήθηκε για τα κράτημέλη της Ευρωπαϊκής Ένωσης με βάση την αρχική NIS του 2016 την οποία και αντικαθιστά. Το πεδίο εφαρμογής της νέας οδηγίας είναι σημαντικά διευρυμένο, καθώς αφορά πολλαπλάσιους κλάδους δραστηριότητας εταιρειών σε σχέση με την προκάτοχό της. Επιπλέον, επεκτείνει το εύρος της αρχικής οδηγίας και απαιτεί πρόσθετες ενέργειες και μέτρα για την εποπτεία της.
ΠΙΟ ΣΥΓΚΕΚΡΙΜΕΝΑ, οι επιχειρήσεις, βάσει της οδηγίας, χωρίζονται σε δύο κατηγορίες:
essential entities και important entities. Στις οντότητες της πρώτης κατηγορίας, για τις οποίες εφαρμόζεται και αυστηρότερο πλαίσιο εποπτείας, συμπεριλαμβάνονται τράπεζες, εταιρείες τηλεπικοινωνιών, ψηφιακών υποδομών και εφαρμογών (Cloud Computing, Data Centers κ.λπ.), εταιρείες εμπορευματικών μεταφορών, επιχειρήσεις κοινής ωφέλειας και ενέργειας με την προϋπόθεση ότι διαθέτουν περισσότερους από 250 εργαζομένους και έχουν ετήσιο κύκλο εργασιών μεγαλύτερο των 50 εκατομμυρίων ευρώ (εκτός των trust service providers, toplevel domain name registries και DNS service providers οι οποίοι συμπεριλαμβάνονται ανεξαρτήτως μεγέθους).
ΣΤΗ ΔΕΥΤΕΡΗ κατηγορία εντάσσονται κυρίως οι μικρομεσαίες επιχειρήσεις (με λιγότερους από 250 εργαζομένους ή ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ) των προαναφερόμενων τομέων δραστηριότητας οι οποίες δεν πληρούν τα κριτήρια της πρώτης κατηγορίας, καθώς και εταιρείες τροφίμων, ταχυδρομικών υπηρεσιών, βιομηχανίες κ.ά.
ΒΑΣΕΙ της οδηγίας NIS2, η συμμόρφωση αποτελεί ευθύνη της διοίκησης και οι εταιρείες που δεν συμμορφώνονται ενδέχεται να αντιμετωπίσουν πρόστιμα έως και 10 εκατομμυρίων ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών τους.
Η ΟΔΗΓΙΑ NIS2 εκδόθηκε και επισημοποιήθηκε στην Ε.Ε. στα τέλη Δεκεμβρίου 2022. Τα κράτη-μέλη έχουν στη διάθεσή τους 21 μήνες για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο, άρα αναμένεται να τεθεί σε εφαρμογή τον Οκτώβριο του 2024.
Ψηφιακή Ανθεκτικότητα και ESG
ΣΕ ΕΝΑ περιβάλλον όπου η βιωσιμότητα αποτελεί πλέον προτεραιότητα, οι επιχειρήσεις έχουν ήδη θέσει τα θέματα ESG (Environmental, Social, Governance) στο επίκεντρο της στρατηγικής τους. Και ενώ η περιβαλλοντολογική διάσταση κυριαρχεί στην ατζέντα των πρωτοβουλιών για το ESG, υποτιμούνται συχνά οι επιπτώσεις των κυβερνοαπειλών στο περιβάλλον, όπως, για παράδειγμα, αυτές που στοχεύουν κρίσιμες υποδομές όπως η παραγωγή ενέργειας και η επεξεργασία υδάτινων πόρων (essential entities βάσει NIS2).
Επιπρόσθετα, οι επιχειρήσεις καλούνται να ισορροπήσουν μεταξύ ψηφιακής ανθεκτικότητας και επίτευξης περιβαλλοντικών στόχων, όταν σχεδιάζουν τη στρατηγική τους για την επιχειρησιακή τους συνέχεια (π.χ. ένα δεύτερο data center).
Η ΨΗΦΙΑΚΗ ανθεκτικότητα έχει όμως και κοινωνικές προεκτάσεις. Η προστασία δεδομένων προσωπικού χαρακτήρα και η εμπιστευτικότητα, η ελευθερία της έκφρασης, η υποστήριξη της διαφορετικότητας και της συμπερίληψης, καθώς και η αρνητική φήμη που σχετίζεται με κυβερνοεπιθέσεις είναι μερικές από αυτές.
ΠΑΡΑΛΛΗΛΑ, η ραγδαία εξάπλωση σύγχρονων τεχνολογικών εργαλείων AI (Artificial Intelligence) θέτει στο επίκεντρο τη δεοντολογική χρήση των δεδομένων που αφορούν την κοινωνία, ενώ θέματα που άπτονται της Εταιρικής Διακυβέρνησης και οι προεκτάσεις της στην ψηφιακή ανθεκτικότητα, την κυβερνοασφάλεια και την ιδιωτικότητα βρίσκονται στον πυρήνα της βιώσιμης ανάπτυξης.
Η ΣΥΜΜΟΡΦΩΣΗ με κανονιστικά πλαίσια, όπως τα πρόσφατα για την ψηφιακή επιχειρησιακή ανθεκτικότητα και κυβερνοασφάλεια (DORA και NIS2), εκτός από υποχρέωση, αποτελεί και σημαντικό τεκμήριο της αποτελεσματικότητας της Εταιρικής Διακυβέρνησης.
ΣΤΟ ΠΛΑΙΣΙΟ αυτό, ο χρόνος μετρά ήδη αντίστροφα για τις μεγάλες και μεσαίες επιχειρήσεις της Ευρωπαϊκής Ένωσης, καθώς, βάσει της οδηγίας ΕΕ 2022/2464 (CSDR – Corporate Sustainability Reporting Directive), απαιτείται να δημοσιοποιούν σε ετήσια βάση δεδομένα και πολιτικές για τη βιώσιμη ανάπτυξη και τα κριτήρια ESG, με την Κυβερνοασφάλεια να αποτελεί κρίσιμο παράγοντα στη διασφάλιση της αξιοπιστίας των εκθέσεων βιωσιμότητας.
ΤΟ ΝΕΟ ρυθμιστικό πλαίσιο για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα και η προφανής συσχέτισή της και με τις τρεις διαστάσεις της βιώσιμης ανάπτυξης καθιστούν μονόδρομο την επιλογή μιας ολιστικής προσέγγισης για την προσαρμογή των επιχειρήσεων στα σύγχρονα δεδομένα.
ΑΦΕΝΟΣ μειώνει σημαντικά το κόστος υμμόρφωσης σε σχέση με την επιλογή των παράλληλων δράσεων που στοχεύουν σε επιμέρους κατακερματισμένα και συχνά επικαλυπτόμενα νομοθετήματα. Αφετέρου η ολιστική προσέγγιση στην Ψηφιακή Επιχειρησιακή Ανθεκτικότητα προσφέρει σημαντικά πλεονεκτήματα που προσδίδουν αξία στη λειτουργία των επιχειρήσεων, όπως είναι η ενίσχυση της ακεραιότητας και της αξιοπιστίας, της εμπιστευτικότητας και της διαθεσιμότητας των πληροφοριών, της διαφάνειας και της λογοδοσίας.
ΠΛΕΟΝΕΚΤΗΜΑΤΑ που ενισχύουν περαιτέρω την εμπιστοσύνη των μετόχων, των πελατών, των προμηθευτών, των υπαλλήλων, των κανονιστικών αρχών και των άλλων ενδιαφερόμενων μερών, θωρακίζοντας την ψηφιακή εμπιστοσύνη (Digital Trust) με όρους βιωσιμότητας.