ה-Digital Operational Resilience Act (או בקיצור “DORA”), היא חקיקה אירופאית שמטרתה הבטחת פעילות רציפה של המוסדות הפיננסיים באיחוד, וזאת באמצעות קביעת סטנדרטים אחידים בכל הנוגע לאבטחת טכנולוגיות התקשורת והמידע (ICT).
כיוון ש-DORA אומצה כרגולציה אירופאית, היא חלה ישירות בכל מדינות האיחוד האירופי (וזאת בשונה מדירקטיבה, שמחייבת את אישור המדינות). המשמעות היא שהחל מיום 17.1.2025, תכנס הרגולציה לתוקף ותחייב את כל המוסדות הפיננסיים באיחוד לציית לה.
על אף שמדובר בחקיקה אירופאית יחסית נישתית, עשויה להיות לה משמעות גדולה לחברות ישראליות אשר עשויות להיכלל בהגדרה של ספקי ICT למוסדות פיננסיים באיחוד האירופי (וזאת לרבות חברות סייבר, חברות SaaS, חברות המציעות פתרונות בתחום הענן, פינטק ועוד).
לצורך כך, הכנו סקירה קצרה שתסייע לכם להבין האם DORA עשויה לחול גם עליכם. בשבועות הקרובים נקיים וובינר מקצועי בנושא. אם ברצונכם להשתתף אנא הרשמו כאן.
באילו מקרים רגולציית DORA תחול עלינו?
כיוון שמדובר ברגולציה אירופאית היא אינה חלה ישירות על חברות ישראליות, אך לנוכח החלת דרישות ספציפיות גם עבור ספקי שירותי ICT למוסדות פיננסיים באירופה, היא עשויה לחול בעקיפין על חברות כאלה ככל שהן מספקות שירותים למוסדות פיננסיים אירופאים. לפי DORA, ככל שהשירות שניתן על ידי ספקי ה-ICT נחשב "קריטי", עשויות לחול דרישות מוגברות, עד כדי חובה לתת את השירותים דרך חברת-בת אירופאית וכפיפות ישירה להוראות הרגולטור האירופאי.
על אילו מוסדות פיננסיים הרגולציה חלה?
DORA קובעת רשימה ארוכה של מוסדות הנחשבים פיננסיים, בהם חברות אשראי, בנקים, חברות ביטוח, חברות השקעות, בורסות מסחר, ספקי שירותי קריפטו, מתווכי ביטוח ועוד.
מהם "שירותי ICT" שעליהם חלה הרגולציה?
שירותי ICT מוגדרים על ידי DORA בצורה רחבה מאוד – שירותי מידע ושירותים דיגיטליים שוטפים שמסופקים באמצעות מערכות ICT וניתנים באופן פנימי או חיצוני, כולל שירותי חומרה.
בפועל, הרגולציה חלה על חברות סייבר, SaaS, ספקיות שירותים בתחום הענן, חברות פינטק ותשלומים, ספקיות שירותי תקשורת (לא כולל טלפון אנלוגי), חברות שנותנות שירותי ניתוח מידע וביג דאטה (לרבות בתחומי ניהול סיכונים פיננסיים, זיהוי הונאות וכד'), חברות שמספקות תשתית טכנולוגית (כגון אחסון או שמירה על מידע) ועוד.
מה הוא שירות ICT שנחשב "קריטי"?
הרגולטורים האירופאיים הם בעלי הסמכות לסווג ספקי ICT כספקים "קריטיים" תחת DORA, וזאת בכפוף למספר שיקולים: אפשרות שכשל או חבלה בפונקציה שמספק ספק ה-ICT תפגע משמעותית בביצועים הפיננסיים, בתקינות או בהמשכיות של המוסד הפיננסי, קושי מעשי להחליף את הספק ומספר גדול של מוסדות פיננסיים שתלויים בו. במצבים מעין אלה, הספק עשוי להיות מסווג כספק קריטי.
מהן החובות שחלות על ספקי שירותי ICT?
מרבית הרגולציה תחת DORA חלה ישירות על מוסדות פיננסים, ורק בעקיפין כלפי הספקים עצמם. המוסדות הפיננסיים נדרשים לנהל סיכוני ICT וסיכונים של תקריות ICT, ולגבש מדיניות כלפי ספקי ICT חיצוניים. בהקשר אחרון זה, קיימת דרישה לעמידה בסטנדרטים נאותים של אבטחת מידע מצד ספק ה-ICT, חובה על דיווח וטיפול בתקריות ICT, חובה לשתף פעולה עם הרשויות הרגולטוריות, השתתפות בהדרכות הנוגעות לאבטחת מידע, חובה להטמיע תכנית המשכיות עסקית ועוד.
כיצד עליי להתכונן לכניסת DORA לתוקף?
ראשית, ייתכן שתקבלו פנייה מצד הלקוחות שלכם באירופה המודיעה לכם על כניסת הרגולציה לתוקף או מבקשת מכם לחתום על תוספות הסכמיות הנדרשות לאור הרגולציה.
גם אם טרם קיבלתם פנייה כאמור, ככל שרגולציית DORA חלה על לקוחות שלכם שהם מוסדות פיננסים באירופה, יש כמה דברים שניתן להתחיל לעשות כבר עכשיו:
- הקמה של מנגנוני תגובה לאירועי ICT ומנגנוני דיווח למוסדות הפיננסיים במקרים של אירועים אשר משפיעים על מתן השירות או איכותו. למשל, באילו אירועים מדווחים, תוך כמה זמן, באילו ערוצים וכד'.
- לוודא שמנגנוני אבטחת המידע המקובלים אצלכם עומדים בתנאים שהוצבו על ידי הלקוח הפיננסי או בהתאם להנחיות כפי שיעודכנו מעת לעת על ידי הרגולטורים האירופאים.
- גיבוש מנגנוני המשכיות עסקית ומנגנונים לאבטחת השירותים המסופקים למוסדות.
- הטמעת תהליכים טכנולוגיים שיאפשרו ניתוק וחיבור של השירותים למוסד הפיננסי מבלי לפגוע במתן השירותים או באיכותם.
- מתן מענה לדרישות בהסכמים המסחריים מצד המוסדות הפיננסיים להטעמת הוראות הרגולציה על פעילות החברה ועיגונם מסחרית.
מדובר ברשימה לא ממצה של דרישות, אך כאלה שמצריכות היערכות מראש. אנו פועלים בשיתוף עם משרדי עורכי דין אירופאים מובילים לסייע בהערכות לקראת כניסת DORA לתוקף. בשבועות הקרובים נקיים לטובת לקוחותינו וובינר מקצועי שנועד לסייע לחברות בתחום ולענות על שאלות שמתעוררות בהקשר זה. אם ברצונכם להשתתף, אנא הרשמו כאן.
צוות טכנולוגיות מתקדמות ישמח לסייע לכם בהערכות להשלכות הרגולציה על פעילותכם. פרסום זה מוגש כשירות כללי ללקוחות ועמיתים ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית פרטנית מגורמים מוסמכים בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.
פרסום זה מוגש כשירות כללי ללקוחות וידידי המשרד ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית מגורמים מוסמכים, בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.