Florence Lustman: Ενισχύοντας την ανθεκτικότητα του κλάδου στον κυβερνοχώρο

Ακολουθήστε μας στο Linkedin και συνδεθείτε με άλλους επαγγελματίες του κλάδου

Florence Lustman, Πρόεδρος, France Assureurs

Η αυξανόμενη ψηφιοποίηση της οικονομίας έχει προκαλέσει ανησυχίες μεταξύ των φορέων χάραξης πολιτικής, των επιχειρήσεων, των πολιτών και ολόκληρων κλάδων, καθώς η τάση αυτή αυξάνει και την απειλή των κινδύνων στον κυβερνοχώρο.

Με την έκδοση της οδηγίας του 2016 για τα συστήματα δικτύων και πληροφοριών (NIS1), η ΕΕ είδε για πρώτη φορά τις απαιτήσεις κυβερνοασφάλειας και υποβολής εκθέσεων για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών σε ολόκληρη την Ευρωπαϊκή Ένωση. Ως εκ τούτου, η NIS1 διαδραμάτισε καθοριστικό ρόλο στην ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας στην ΕΕ. Ωστόσο, δημιούργησε άνισους όρους ανταγωνισμού στον ασφαλιστικό τομέα, καθώς ορισμένες χώρες συμπεριέλαβαν τις ασφαλιστικές εταιρείες κατά τη μεταφορά της οδηγίας (όπως η Γαλλία για παράδειγμα) και άλλες όχι.

Ανθεκτικότητα στον κυβερνοχώρο σχεδιασμένη για τον χρηματοπιστωτικό τομέα

Όταν η Ευρωπαϊκή Επιτροπή υπέβαλε πρόταση για την αναθεώρηση της οδηγίας για την ασφάλεια στον κυβερνοχώρο (NIS2) τον Σεπτέμβριο του 2020, δρομολόγησε επίσης μια πρόταση για μια πράξη ψηφιακής επιχειρησιακής ανθεκτικότητας (DORA), η οποία καθόριζε ένα πλαίσιο για την ανθεκτικότητα στον κυβερνοχώρο στον χρηματοπιστωτικό τομέα.

Η DORA εγκρίθηκε τον Δεκέμβριο του 2022 και χαιρετίστηκε από τους ασφαλιστές, διότι εναρμονίζει τις πρακτικές μεταξύ όλων των ευρωπαϊκών ασφαλιστών και οδηγεί τον τομέα προς ένα κοινό, υψηλό επίπεδο κυβερνοασφάλειας, με βάση ένα πλαίσιο που σχεδιάστηκε ειδικά για τον χρηματοπιστωτικό τομέα. Στην πράξη, αυτό σημαίνει ότι η NIS2 δεν ισχύει για τους ασφαλιστές, αλλά αντίθετα ισχύει μόνο η DORA, ακόμη και στις λίγες χώρες, συμπεριλαμβανομένης της Γαλλίας, οι οποίες είχαν αποφασίσει να κάνουν χρήση της δυνατότητας να απαιτήσουν από ορισμένο αριθμό ασφαλιστών να συμμορφωθούν με τις απαιτήσεις της NIS1. Συνεπώς, η DORA αποτελεί θετική εξέλιξη για τον κλάδο.

Ανάπτυξη των μέτρων επιπέδου 2

Ωστόσο, η νομοθετική διαδικασία δεν ολοκληρώθηκε με την έγκριση της DORA, καθώς οι Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) άρχισαν στη συνέχεια να εργάζονται πάνω στα «μέτρα επιπέδου 2» για την υποστήριξη της εφαρμογής της πράξης. Τα μέτρα αυτά αποτελούνταν από μια σειρά ρυθμιστικών τεχνικών προτύπων (RTS), εκτελεστικών τεχνικών προτύπων (ITS) και κατευθυντήριων γραμμών που αναπτύχθηκαν από τις ΕΕΑ, την Ευρωπαϊκή Επιτροπή και με τη συμβολή του κλάδου μέσω διαβουλεύσεων.

Μέσα σε αυτό το πλαίσιο και λαμβάνοντας υπόψη το σημερινό πλαίσιο υψηλών κινδύνων κυβερνοεπιθέσεων, από το 2023, ο ασφαλιστικός τομέας έχει αφιερώσει σημαντικούς πόρους και ενέργεια για τη συμμόρφωση με την DORA, πραγματοποιώντας αναλύσεις κενών και καθορίζοντας χάρτες πορείας. Οι περισσότεροι ασφαλιστές μπόρεσαν να βασιστούν εν μέρει στις υφιστάμενες πρακτικές, δεδομένου ότι τα προτεινόμενα μέτρα επιπέδου 2 λαμβάνουν υπόψη τα ήδη υπάρχοντα ευρωπαϊκά και διεθνή πρότυπα, γεγονός που αποτέλεσε ισχυρό αίτημα της αγοράς. Ωστόσο, η πλήρης συμμόρφωση με το DORA για τον Ιανουάριο του 2025 (η νομική απαίτηση) εξακολουθεί να αποτελεί σημαντική πρόκληση, τόσο όσον αφορά τις τεχνικές και τις πτυχές των απαιτήσεων που σχετίζονται με την ΤΠ, όσο και τις συμβατικές πτυχές και τις πτυχές που σχετίζονται με τη διαχείριση κινδύνων.

Ο ασφαλιστικός κλάδος συνέβαλε έντονα στις εργασίες των ΕΕΑ για την ανάπτυξη των μέτρων του επιπέδου 2. Η ποιότητα της εργασίας που έγινε από τις αρχές εκτιμάται από τις εταιρείες, καθώς και η σημαντική προσπάθεια που κατέβαλαν οι ΕΕΑ για να καθιερώσουν διάλογο με τον κλάδο και να εξηγήσουν το σκεπτικό πίσω από τα κείμενα κατά τη διάρκεια πολύ ενημερωτικών δημόσιων εκδηλώσεων. Ο διάλογος αυτός πραγματοποιήθηκε επίσης σε εθνικό επίπεδο, όπου πολλές ασφαλιστικές ομοσπονδίες και εταιρείες είχαν την ευκαιρία να συζητήσουν τα σχέδια RTS και ITS με τις εθνικές εποπτικές αρχές τους. Όλες αυτές οι ανταλλαγές ήταν γόνιμες και στήριξαν τον κλάδο στις προσπάθειές του να συμμορφωθεί με αυτό το νέο ολοκληρωμένο και ισχυρό πλαίσιο.

Εφαρμογή επιπέδου 2

Τα μέτρα του επιπέδου 2 δημοσιεύθηκαν σε δύο κύριες «παρτίδες», καλύπτοντας διάφορα βασικά σημεία για τις εταιρείες. Η πρώτη παρτίδα επικεντρώθηκε στα εργαλεία, τις μεθόδους, τις διαδικασίες και τις πολιτικές διαχείρισης κινδύνων, την ταξινόμηση σημαντικών συμβάντων, το μητρώο πληροφοριών σχετικά με τις συμβατικές συμφωνίες με τους παρόχους και την πολιτική για τη χρήση υπηρεσιών ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες.

Η δεύτερη παρτίδα επικεντρώθηκε στις προϋποθέσεις για την ανάθεση υπεργολαβίας σε υπηρεσίες ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, στον καθορισμό του χρονοδιαγράμματος και των αναφορών για την κοινοποίηση σημαντικών συμβάντων και στη δημιουργία του πλαισίου δοκιμής διείσδυσης με βάση τις απειλές (TLPT) της DORA, το οποίο βασίζεται σε ένα ήδη υπάρχον ευρωπαϊκό πλαίσιο (TIBER-EU).

Παράλληλα με αυτές τις «παρτίδες» μέτρων, οι ΕΕΑ διεξήγαγαν επίσης διαβουλεύσεις σχετικά με τη διεξαγωγή δραστηριοτήτων εποπτείας, τις κοινές ομάδες εξέτασης και τον καθορισμό των τελών εποπτείας.

Οι ΕΕΑ προετοίμασαν περαιτέρω μια κατ’ εξουσιοδότηση πράξη σχετικά με τα κριτήρια για τον ορισμό των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ. Η κατάρτιση του καταλόγου των πιο κρίσιμων παρόχων υπηρεσιών ΤΠΕ τρίτων θα αποτελέσει κύρια δραστηριότητα που θα αναλάβουν οι ΕΕΑ το 2025, με βάση τις πληροφορίες που θα παρέχουν οι εταιρείες σε όλη την Ευρώπη μέσω του νέου μητρώου αναφοράς πληροφοριών στο πλαίσιο του DORA.

Λαμβάνοντας υπόψη τον αντίκτυπο των προτεινόμενων μέτρων, μέσω της διαβούλευσης, ο κλάδος ενθάρρυνε σθεναρά τις ΕΕΑ να ενσωματώσουν περισσότερη αναλογικότητα σε όλο το κείμενο των μέτρων επιπέδου 2 και να διασφαλίσουν μια πιο βασισμένη στον κίνδυνο προσέγγιση, προκειμένου να διασφαλιστεί ότι όλες οι οντότητες διαφορετικού μεγέθους σε όλες τις αγορές θα είναι σε θέση να συμμορφωθούν με τον κανονισμό. Ένα άλλο βασικό σημείο που τέθηκε ήταν η ανάγκη αποφυγής της υπερβολικής πολυπλοκότητας και η ανάγκη να τηρηθεί δεόντως η εντολή που δόθηκε στο κείμενο του DORA επιπέδου 1.

Μετά τον Ιανουάριο του 2025 – ο δρόμος προς τα εμπρός

Η συμμόρφωση με τον DORA έως τον Ιανουάριο του 2025 αποτελούσε πρόκληση για τις χρηματοπιστωτικές οντότητες, η οποία επιδεινώθηκε από το γεγονός ότι πολλά από τα μέτρα επιπέδου 2 οριστικοποιήθηκαν μόλις αργά στη διαδικασία, συμπεριλαμβανομένου του τελικού κειμένου του προτύπου για το μητρώο πληροφοριών – ζωτικής σημασίας για μια εταιρεία που διαχειρίζεται και καταγράφει τους κινδύνους της από τρίτους στις ΤΠΕ – που οριστικοποιήθηκε στις αρχές Δεκεμβρίου 2024. Δύο πρότυπα, σχετικά με την υπεργολαβία και τη διείσδυση βάσει απειλών, παραμένουν προς το παρόν προς δημοσίευση, γεγονός που περιπλέκει την εφαρμογή για τις εταιρείες.

Ο κλάδος συνεχίζει επίσης να αναζητά νομική σαφήνεια σχετικά με ορισμένες πτυχές των μέτρων, ώστε να διασφαλιστεί ότι οι εταιρείες μπορούν να έχουν τις απαντήσεις που χρειάζονται για να συμμορφωθούν με τα διάφορα πρότυπα και τη νομοθεσία. Για την περαιτέρω στήριξη των εταιρειών, ο κλάδος καλεί τις ΕΕΑ και την Ευρωπαϊκή Επιτροπή να εγκρίνουν γρήγορα τα εναπομείναντα μέτρα και να παράσχουν την απαραίτητη σαφήνεια και απαντήσεις στα ερωτήματα που τέθηκαν, ώστε όλες οι εταιρείες να μπορούν να τηρούν γρήγορα το απαιτούμενο υψηλό επίπεδο ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ένωση.