قانون المرونة التشغيلية الرقمية (DORA) هو لائحة صادرة عن الاتحاد الأوروبي (EU) تهدف إلى إنشاء إطار شامل لإدارة مخاطر تكنولوجيا المعلومات والاتصالات (ICT) في القطاع المالي الأوروبي.
يضع قانون المرونة التشغيلية الرقمية معايير تقنية يجب على الكيانات المالية ومزودي الخدمات التقنية الخارجية الحيويين تطبيقها في أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بهم بحلول 17 يناير 2025.
ولإدارة مخاطر تكنولوجيا المعلومات والاتصالات هدفان رئيسيان: معالجة إدارة مخاطر تكنولوجيا المعلومات والاتصالات في قطاع الخدمات المالية بشكل شامل، ومواءمة لوائح إدارة مخاطر تكنولوجيا المعلومات والاتصالات الموجودة بالفعل في كل دولة من الدول الأعضاء في الاتحاد الأوروبي.
قبل قانون المرونة التشغيلية الرقمية، ركزت لوائح إدارة المخاطر للمؤسسات المالية في الاتحاد الأوروبي في المقام الأول على ضمان أن يكون لدى الشركات رأس مال كافٍ لتغطية المخاطر التشغيلية. في حين أن بعض الجهات التنظيمية في الاتحاد الأوروبي أصدرت مبادئ توجيهية بشأن تكنولوجيا المعلومات والاتصالات وإدارة المخاطر الأمنية، إلا أن هذه المبادئ التوجيهية لم تنطبق على جميع الكيانات المالية على حد سواء، وغالبًا ما اعتمدت على مبادئ عامة بدلاً من معايير فنية محددة. في ظل عدم وجود قواعد لإدارة مخاطر تكنولوجيا المعلومات والاتصالات على مستوى الاتحاد الأوروبي، أصدرت الدول الأعضاء في الاتحاد الأوروبي متطلباتها الخاصة. وقد ثبت أن هذا الخليط من اللوائح التنظيمية يصعب على الكيانات المالية التعامل معه.
يهدف الاتحاد الأوروبي من خلال قانون المرونة التشغيلية الرقمية إلى إنشاء إطار عمل عالمي لإدارة مخاطر تكنولوجيا المعلومات والاتصالات والتخفيف من حدتها في القطاع المالي. من خلال مواءمة قواعد إدارة المخاطر في جميع أنحاء الاتحاد الأوروبي، يسعى قانون إدارة المخاطر في الاتحاد الأوروبي إلى إزالة الثغرات والتداخلات والتعارضات التي يمكن أن تنشأ بين اللوائح المتباينة في دول الاتحاد الأوروبي المختلفة. حيث سيُسهم وجود مجموعة موحَّدة من القواعد في تسهيل امتثال الكيانات المالية، إلى جانب تعزيز مرونة النظام المالي للاتحاد الأوروبي بأكمله من خلال ضمان خضوع جميع المؤسسات للمعايير نفسها.
ينطبق قانون المرونة التشغيلية الرقمية على جميع المؤسسات المالية في الاتحاد الأوروبي. يشمل ذلك الكيانات المالية التقليدية، مثل البنوك وشركات الاستثمار ومؤسسات الائتمان، والكيانات غير التقليدية، بما في ذلك مقدمي خدمات الأصل المشفر ومنصات التمويل الجماعي.
وتجدر الإشارة إلى أن قانون المرونة التشغيلية الرقمية ينطبق أيضًا على بعض الكيانات المستثناة عادةً من اللوائح المالية. على سبيل المثال، يجب على مزودي الخدمات التابعين لجهات خارجية الذين يزودون الشركات المالية بأنظمة وخدمات تكنولوجيا المعلومات والاتصالات—مثل الخدمة السحابية و مراكز البيانات—الالتزام بمتطلبات قانون المرونة التشغيلية الرقمية. يشمل قانون المرونة التشغيلية الرقمية أيضا الشركات التي تقدم خدمات معلومات حاسمة كجهات خارجية، مثل خدمات التصنيف الائتماني ومزودي تحليلات البيانات.
تم اقتراح قانون المرونة التشغيلية الرقمية لأول مرة من قبل المفوضية الأوروبية - الفرع التنفيذي للاتحاد الأوروبي المسؤول عن تقديم التشريعات - في سبتمبر 2020. إنه جزء من حزمة مالية رقمية أكبر تشمل أيضاً مبادرات لتنظيم الأصول الرقمية وتعزيز الإستراتيجية الرقمية المالية للاتحاد الأوروبي. اعتمد مجلس الاتحاد الأوروبي والبرلمان الأوروبي (الهيئتان التشريعيتان المسؤولتان عن الموافقة على قوانين الاتحاد الأوروبي) رسميًا قانون المرونة التشغيلية الرقمية في نوفمبر 2022. أمام الكيانات المالية ومقدمي خدمات تكنولوجيا المعلومات والاتصالات التابعين لجهات خارجية مهلة حتى 17 يناير 2025 للامتثال لقانون المرونة التشغيلية الرقمية قبل بدء التنفيذ.
في حين أن الاتحاد الأوروبي قد تبنى رسميًا قانون المرونة التشغيلية الرقمية، إلا أن التفاصيل الرئيسية لا تزال قيد التسوية من قبل الهيئات التنظيمية الأوروبية (ESAs). الهيئات التنظيمية الأوروبية هي الهيئات التنظيمية التي تشرف على النظام المالي للاتحاد الأوروبي، بما في ذلك الهيئة المصرفية الأوروبية (EBA)، وهيئة الأوراق المالية والأسواق الأوروبية، والهيئة الأوروبية للتأمين والمعاشات المهنية.
تتولى وكالات ضمانات سلامة البيئة مسؤولية صياغة المعايير الفنية التنظيمية (RTS) والمعايير الفنية التنفيذية (ITS) التي يجب على الكيانات المشمولة تنفيذها. ومن المتوقع الانتهاء من هذه المعايير في عام 2024. تقوم المفوضية الأوروبية بتطوير إطار العمل للحصول على مزودي تكنولوجيا المعلومات والاتصالات الحساسة، ومن المتوقع أيضاً الانتهاء منه في عام 2024.
بمجرد الانتهاء من وضع المعايير في صيغتها النهائية وحلول الموعد النهائي في يناير 2025، سيقع التنفيذ على عاتق جهات تنظيمية معينة في كل دولة عضو في الاتحاد الأوروبي، والمعروفة باسم "السلطات المختصة ". يمكن للسلطات المختصة أن تطلب من الكيانات المالية اتخاذ تدابير أمنية محددة ومعالجة نقاط الضعف. سيكون بإمكانهم أيضًا فرض عقوبات إدارية - وفي بعض الحالات، عقوبات جنائية - على الكيانات التي لا تمتثل. ستقرر كل دولة عضو العقوبات الخاصة بها.
سيخضع مزودو تكنولوجيا المعلومات والاتصالات الذين تعتبرهم المفوضية الأوروبية ذوي صفة "حساسة" للإشراف المباشر من قبل الهيئات التنظيمية الأوروبية (ESAs). وعلى غرار السلطات المختصة، يمكن للمشرفين الرئيسيين أن يطلبوا اتخاذ تدابير أمنية والمعالجة ومعاقبة مقدمي خدمات تكنولوجيا المعلومات والاتصالات غير الممتثلين. تُجيز لائحة قانون المرونة التشغيلية الرقمية للمشرفين الرئيسيين فرض غرامات على مزوّدي خدمات تكنولوجيا المعلومات والاتصالات تصل إلى 1% من متوسط الإيرادات اليومية العالمية للمزوّد خلال سنة الأعمال السابقة. يمكن تغريم مقدمي الخدمات كل يوم لمدة تصل إلى ستة أشهر حتى يحققوا الامتثال.
يضع قانون DORA المتطلبات الفنية للمنشآت المالية ومقدمي خدمات تكنولوجيا المعلومات والاتصالات في أربعة مجالات:
يتم تشجيع مشاركة المعلومات ولكنها غير مطلوبة.
سيتم تطبيق المتطلبات بشكل متناسب، مما يعني أن الكيانات الأصغر لن يتم إلزامها بنفس المعايير التي تطبقها المؤسسات المالية الكبرى. في حين أن اللوائح التنظيمية الإقليمية والأنظمة التقنية المتكاملة لكل مجال لا تزال قيد التطوير، فإن التشريعات الحالية لقانون المرونة التشغيلية الرقمية تقدم بعض الأفكار حول المتطلبات العامة.
تُلقي لائحة قانون المرونة التشغيلية الرقمية بالمسؤولية على الهيئة الإدارية للمنشأة فيما يخص إدارة تكنولوجيا المعلومات والاتصالات. ومن المتوقع أن يضع أعضاء مجلس الإدارة، والقادة التنفيذيون، وكبار المديرين، استراتيجيات مناسبة لإدارة المخاطر، وأن يشاركوا بفعالية في تنفيذها، وأن يحافظوا على اطلاع دائم على مشهد مخاطر تكنولوجيا المعلومات والاتصالات. كما يمكن تحميل القادة مسؤولية شخصية في حال عدم امتثال المنشأة.
ومن المتوقع أن تضع المنشآت المشمولة إطارًا شاملًا لإدارة مخاطر تكنولوجيا المعلومات والاتصالات. ويجب عليها رسم خريطة لأنظمتها في مجال تكنولوجيا المعلومات والاتصالات، وتحديد وتصنيف الأصول والوظائف الحساسة، وتوثيق الارتباطات بين الأصول والأنظمة والعمليات والمزوّدين. كما يتعيّن على المنشآت إجراء تقييمات مستمرة للمخاطر على أنظمتها، وتوثيق التهديدات السيبرانية وتصنيفها، وتوثيق الخطوات المتخذة للتخفيف من المخاطر المحددة.
وفي إطار عملية التقييم، يجب على المنشآت إجراء تحليلات لأثر الأعمال لتقييم كيفية تأثير سيناريوهات محددة والاضطرابات الشديدة على الأعمال. ويجب أن تستخدم المنشآت نتائج هذه التحليلات لتحديد مستويات تحمّل المخاطر، وتوجيه تصميم البنية التحتية لتكنولوجيا المعلومات والاتصالات لديها. كما سيطلب من الكيانات تنفيذ تدابير حماية الأمن السيبراني المناسبة، مثل سياسات إدارة الهوية والوصول وإدارة التحديثات، إلى جانب ضوابط تقنية مثل أنظمة الكشف والاستجابة الموسعة، وبرمجيات إدارة المعلومات والأحداث الأمنية (SIEM)، وأدوات التنسيق الأمني والأتمتة والاستجابة (SOAR).
وتحتاج المنشآت أيضًا إلى إعداد خطط لاستمرارية الأعمال والتعافي من الكوارث تغطي مختلف سيناريوهات المخاطر السيبرانية، مثل تعطل خدمات تكنولوجيا المعلومات والاتصالات، أو الكوارث الطبيعية، أو الهجمات السيبرانية. ويجب أن تتضمن هذه الخطط تدابير نسخ احتياطي واستعادة للبيانات، وإجراءات لاستعادة الأنظمة، وخططًا للتواصل مع العملاء والشركاء والجهات الرسمية المتأثرة.
ستصدر قريبًا لوائح RTS التي تحدد العناصر المطلوبة لإطار عمل إدارة المخاطر في الكيان. يعتقد الخبراء أنها ستكون مشابهة للمبادئ التوجيهية الحالية الصادرة عن EBA بشأن تكنولوجيا المعلومات والاتصالات وإدارة المخاطر الأمنية.
كما يجب على المنشآت المشمولة إنشاء أنظمة لرصد الحوادث المرتبطة بتكنولوجيا المعلومات والاتصالات، وإدارتها، وتسجيلها، وتصنيفها، والإبلاغ عنها. وبحسب درجة خطورة الحادث، قد يُطلب من المنشآت تقديم تقارير إلى كل من الجهات التنظيمية والعملاء والشركاء المتأثرين. ويُطلب من المنشآت إعداد ثلاثة أنواع متميزة من التقارير للحوادث الحرجة: تقرير أولي لإخطار السلطات، وتقرير وسيط حول التقدّم في معالجة الحادث، وتقرير نهائي لتحليل الأسباب الجذرية للحادث.
وستصدر قريبًا القواعد المتعلقة بكيفية تصنيف الحوادث، والحوادث التي يجب الإبلاغ عنها، والجداول الزمنية المحددة لتقديم التقارير. كما تستكشف الهيئات الرقابية الأوروبية (ESAs) سُبل تبسيط عملية الإبلاغ من خلال إنشاء مركز موحّد ونماذج تقارير موحّدة.
ويتعين على المنشآت اختبار أنظمتها في مجال تكنولوجيا المعلومات والاتصالات بشكل منتظم لتقييم مدى قوة الحماية وكشف الثغرات. يتعيّن إبلاغ السلطات المختصة ذات الصلة بنتائج هذه الاختبارات وخطط معالجة أي نقاط ضعف تم اكتشافها، كما يجب التحقق من صحتها واعتمادها.
يجب على الكيانات إجراء الاختبارات الأساسية، مثل تقييم الثغرات الأمنية والاختبارات القائمة على السيناريوهات، مرة واحدة في السنة. أما المنشآت المالية التي تُعدّ ذات دور محوري في النظام المالي، فستكون مطالبة بالخضوع لاختبار اختراق قائم على التهديدات (TLPT) مرة كل ثلاث سنوات. ويُطلب أيضًا من مزوّدي خدمات تكنولوجيا المعلومات والاتصالات المصنّفين على أنهم مهمين لدى المنشأة المشاركة في هذه الاختبارات. المعايير الفنية لكيفية تنفيذ اختبارات TLPT قيد الانتظار، لكنها من المرجح أن تتوافق مع إطار عمل TIBER-EU للتعاون الأخلاقي القائم على استخبارات التهديدات.
ويتمثل أحد الجوانب الفريدة لقانون المرونة التشغيلية الرقمية في أنه لا ينطبق على الكيانات المالية فحسب، بل على مقدمي تكنولوجيا المعلومات والاتصالات الذين يخدمون القطاع المالي أيضًا.
من المتوقع أن تضطلع الشركات المالية بدور نشط في إدارة مخاطر تكنولوجيا المعلومات والاتصالات المتعلقة بالجهات الخارجية. وعند التعاقد الخارجي لتنفيذ وظائف حسّاسة أو جوهرية، يجب أن تتفاوض المنشآت المالية على بنود تعاقدية محددة تتعلق باستراتيجيات الخروج، وعمليات التدقيق، وأهداف الأداء الخاصة بإتاحة البيانات وسلامتها وأمنها، وغيرها من الجوانب. لن يُسمح للكيانات بالتعاقد مع مقدمي خدمات تكنولوجيا المعلومات والاتصالات الذين لا يستطيعون الوفاء بهذه المتطلبات. وللسلطات المختصة صلاحية تعليق أو إنهاء العقود التي لا تمتثل. تعمل المفوضية الأوروبية على دراسة إمكانية صياغة بنود تعاقدية موحّدة يمكن للمنشآت ومزوّدي خدمات تكنولوجيا المعلومات والاتصالات استخدامها للمساعدة في ضمان امتثال اتفاقياتهم لقانون المرونة التشغيلية الرقمية.
كما ستحتاج المؤسسات المالية أيضاً إلى تحديد الجهات الخارجية التي تعتمد عليها في مجال تكنولوجيا المعلومات والاتصالات، وسيُطلب منها التأكد من أن وظائفها الحساسة والمهمة ليست مركزة بشكل كبير مع مزود واحد أو مجموعة صغيرة من المزودين.
سيخضع مزوّدو خدمات تكنولوجيا المعلومات والاتصالات المصنّفون كمزوّدين "مهمون" لإشراف مباشر من الهيئات الرقابية الأوروبية (ESAs) المعنية. ولا تزال المفوضية الأوروبية تعمل على تطوير المعايير التي تُستخدم لتحديد المزوّدين المصنّفين كمزوّدين مهمين. وسيُعيّن مشرف رئيسي من إحدى هيئات ESA لكل مزوّد يستوفي تلك المعايير. بالإضافة إلى إنفاذ متطلبات قانون مسؤولية الشركات على مقدمي الخدمات الحساسة، سيتم تمكين المشرفين الرئيسيين من منع مقدمي الخدمات من إبرام عقود مع الشركات المالية أو غيرها من مقدمي خدمات تكنولوجيا المعلومات والاتصالات الذين لا يمتثلون لقانون المرونة التشغيلية الرقمية.
ويجب على المنشآت المالية إنشاء آليات فعّالة للتعلّم من الحوادث المرتبطة بتكنولوجيا المعلومات والاتصالات، سواء كانت داخلية أو خارجية. ولهذا الغرض، تشجّع لائحة DORA المنشآت على المشاركة في ترتيبات طوعية لمشاركة معلومات استعلامات التهديدات. ويجب أن تظل أي معلومات تتم مشاركتها في هذا السياق محمية وفقًا للإرشادات التنظيمية ذات الصلة—فعلى سبيل المثال، تظل بيانات التعريف الشخصية خاضعة لأحكام اللائحة العامة لحماية البيانات (GDPR).
