DORA (Digital Operational Resilience Act) היא רגולציה של האיחוד האירופי (Regulation (EU) 2022/2554) שנועדה להבטיח שמוסדות פיננסיים יוכלו לעמוד, להגיב ולהתאושש מאירועי טכנולוגיית מידע ותקשורת (ICT) – בין אם מדובר בתקלה תפעולית, כשל תוכנה או מתקפת סייבר רחבת היקף.

הרקע לחקיקת DORA

המוסדות הפיננסיים באירופה מסתמכים יותר ויותר על מערכות מידע, שירותי ענן וספקי טכנולוגיה חיצוניים. כל תקלה או אירוע סייבר עלולים לגרום לפגיעה חמורה בשירותים חיוניים ואף לערער את היציבות הפיננסית.
כדי להבטיח חוסן תפעולי אחיד בכל מדינות האיחוד, נקבעו במסגרת DORA כללים מחייבים לניהול סיכונים טכנולוגיים ולתגובה לאירועי ICT.

למי DORA חלה?

הרגולציה חלה על מגוון רחב של גופים פיננסיים באיחוד האירופי, בהם:

• בנקים, חברות ביטוח וחברות השקעה
• מנהלי קרנות, מוסדות אשראי וחברות ניהול סיכונים
• חברות תשלום, פינטקים וחברות מסחר בנכסים דיגיטליים
• ספקי ICT חיצוניים המספקים שירותים קריטיים לגופים פיננסיים

גם ארגונים מחוץ לאיחוד האירופי אשר מספקים שירותים לגופים פיננסיים במדינות האיחוד נדרשים להתאים עצמם לדרישות DORA.

מטרות DORA

המסגרת נועדה ליצור רמה אחידה של חוסן תפעולי דיגיטלי ולהבטיח כי כל גוף פיננסי יוכל:

1. לזהות, לנהל ולהפחית סיכוני ICT
2. להגיב במהירות וביעילות לאירועי סייבר
3. לשמור על המשכיות עסקית גם בזמן משבר טכנולוגי
4. לבצע בדיקות חוסן תקופתיות ולהעריך ספקים חיצוניים

עמודי התיווך המרכזיים של DORA

הערה: אף ש-DORA חלה על האיחוד האירופי, השפעתה חוצה גבולות. ארגונים מחוץ לאירופה הפועלים מול מוסדות פיננסיים במדינות האיחוד צפויים לאמץ חלק מהדרישות כדי לשמור על אמון ועמידה ברגולציות בינלאומיות.

לסיכום

DORA מהווה שלב משמעותי בקידום חוסן דיגיטלי ואחידות רגולטורית במגזר הפיננסי.
היא משלבת בין ניהול סיכונים, הגנה טכנולוגית, ניהול ספקים ובדיקות תקופתיות במטרה להבטיח יציבות מערכתית ואמון הציבור בשירותים הפיננסיים.
היערכות מוקדמת, תיעוד מדויק ותרבות ארגונית ממוקדת חוסן דיגיטלי יסייעו לעמידה בדרישות ויחזקו את עמידות הארגון בטווח הארוך.