EN
EN

DORA - Ψηφιακή Επιχειρησιακή Ανθεκτικότητα Χρηματοοικονομικού Τομέα

O Κανονισμός (ΕΕ) 2022/2554 (Digital Operational Resilience Act - DORA) σχετικά με την «ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα» (εφεξής Κανονισμός), προβλέπει ότι όλες οι Χρηματοοικονομικές Οντότητες, που βρίσκονται εντός του εύρους του Κανονισμού, θα πρέπει να ακολουθούν την ίδια προσέγγιση κατά την διαχείριση των κινδύνων Τεχνολογιών Πληροφοριών και Επικοινωνιών (ΤΠΕ), λαμβάνοντας υπόψη το μέγεθός τους, το συνολικό προφίλ κινδύνου τους, καθώς και τη φύση, την κλίμακα και την πολυπλοκότητα των υπηρεσιών και των λειτουργιών τους.

Ο Κανονισμός προβλέπει υποχρεώσεις που σχετίζονται κυρίως με: 

  • Tη διαχείριση κινδύνων ΤΠΕ.
  • Tη διαχείριση, ταξινόμηση και αναφορά συμβάντων ΤΠΕ.
  • Τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας.
  • Tη διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ.

Τρέχουσες Επισημάνσεις

  • Η περίοδος κανονικών υποβολών των μητρώων πληροφοριών μετατίθεται για το διάστημα από τις 15 Απριλίου 2025 έως και τις 25 Απριλίου 2025.
  • Τα Ιδρύματα που συμμετείχαν στις δοκιμαστικές υποβολές θα πρέπει να προχωρήσουν εκ νέου σε κανονική υποβολή του τελικού μητρώου πληροφοριών κατά τη διάρκεια της περιόδου κανονικών υποβολών.
  • Με στόχο την ορθή δημιουργία των μητρώων, τα Ιδρύματα οφείλουν να ακολουθούν τις κατευθύνσεις που παρέχονται στο σύνδεσμο Preparations for reporting of DORA registers of information | European Banking Authority.
  • ​Με στόχο την αποσαφήνιση αποριών, η ΤτΕ προτρέπει όλα τα Ιδρύματα να συμβουλεύονται τις απαντήσεις που παρέχονται στο σύνδεσμο EBA ROI Q&As και EIOPA ROI Q&As.

Επιμέρους πληροφορίες για την κάθε ενότητα καθώς και υποστηρικτικά σχετικά έγγραφα παρατίθενται στη συνέχεια: 

Διαχείριση Κινδύνων Τεχνολογίας Πληροφοριών και Επικοινωνιών

Το ΚΕΦΑΛΑΙΟ II του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τη Διαχείριση Κινδύνων Τεχνολογίας Πληροφοριών και Επικοινωνιών και οι οποίες εστιάζουν στις ακόλουθες ενέργειες:

Το ΚΕΦΑΛΑΙΟ II του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τη Διαχείριση Κινδύνων Τεχνολογίας Πληροφοριών και Επικοινωνιών και οι οποίες εστιάζουν στις ακόλουθες ενέργειες:

  • Προσδιορισμός

Προσδιορισμός και καταγραφή των πληροφοριακών αγαθών και των λειτουργιών που σχετίζονται με ΤΠΕ.

  • Προστασία και Πρόληψη

Συνεχής έλεγχος και παρακολούθηση της λειτουργίας των πληροφοριακών συστημάτων.

  • Εντοπισμός

Εντοπισμός δραστηριοτήτων που παρεκκλίνουν, προβλήματα απόδοσης δικτύου, συμβάντα ασφάλειας και ΤΠΕ.

  • Αντιμετώπιση και Ανάκαμψη

Δημιουργία και δοκιμή των Σχεδίων Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφές.

  • Αποκατάσταση και Ανάκτηση

Πολιτικές δημιουργίας εφεδρικών συστημάτων, διαδικασίες αποκατάστασης και ανάκτησης.

Περισσότερες λεπτομέρειες αναφορικά με τις εν λόγω απαιτήσεις περιλαμβάνονται επιπρόσθετα και στα ακόλουθα κείμενα του Κανονισμού: 

Ρυθμιστικά Τεχνικά Πρότυπα (RTS) για τον προσδιορισμό των εργαλείων, μεθόδων, διαδικασιών και πολιτικών διαχείρισης κινδύνων ΤΠΕ, καθώς και του απλουστευμένου πλαισίου διαχείρισης κινδύνων ΤΠΕ

Κοινές Κατευθυντήριες Γραμμές (GLs) για την εκτίμηση των συγκεντρωτικών ετήσιων δαπανών και ζημιών που προκλήθηκαν από μείζονα συμβάντα που σχετίζονται με τις ΤΠΕ

Διαχείριση, Ταξινόμηση και Αναφορά Συμβάντων ΤΠΕ

Το ΚΕΦΑΛΑΙΟ IIΙ του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τη Διαχείριση, Ταξινόμηση και Αναφορά Συμβάντων ΤΠΕ και οι οποίες εστιάζουν στις ακόλουθες ενέργειες

Το ΚΕΦΑΛΑΙΟ IIΙ του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τη Διαχείριση, Ταξινόμηση και Αναφορά Συμβάντων ΤΠΕ και οι οποίες εστιάζουν στις ακόλουθες ενέργειες:

  • Διαχείριση

Δημιουργία και εφαρμογή διαδικασίας ανίχνευσης, διαχείρισης και ειδοποίησης συμβάντων που σχετίζονται με τις ΤΠΕ.

  • Ταξινόμηση

Προσδιορισμός των αντικτύπων των συμβάντων και ταξινόμηση με βάση συγκεκριμένα κριτήρια.

  • Αναφορά

Αναφορά των συμβάντων που σχετίζονται με τις ΤΠΕ τα οποία ταξινομούνται ως μείζονα στην Τράπεζα της Ελλάδος με βάση τις απαιτήσεις του Κανονισμού αναφορικά με:

  • Τις χρονικές προθεσμίες αναφοράς (αρχική, ενδιάμεση και τελική ειδοποίηση).
  • Το περιεχόμενο της κάθε ειδοποίησης.

Τα εποπτευόμενα ιδρύματα οφείλουν σε περίπτωση μείζονος συμβάντος που σχετίζεται με ΤΠΕ, σύμφωνα με τα κριτήρια του Κανονισμού, να αποστέλλουν συμπληρωμένο σχετικό υπόδειγμα, χρησιμοποιώντας κανάλι ασφαλούς επικοινωνίας, στην ακόλουθη διεύθυνση ηλεκτρονικού ταχυδρομείου: ICTIncidentReporting@bankofgreece.gr. Επιπρόσθετα, μέσω του ίδιου ασφαλούς καναλιού επικοινωνίας μπορεί να πραγματοποιείται η αναφορά σημαντικών κυβερνοαπειλών, αποστέλλοντας το αντίστοιχο υπόδειγμα. Τα παραπάνω υποδείγματα καθώς και οι αντίστοιχοι κανόνες επικύρωσης (validation rules) υπάρχουν διαθέσιμα στο τέλος της ιστοσελίδας. 

Για τη διαδικασία υλοποίησης του ασφαλούς καναλιού επικοινωνίας οι εποπτευόμενοι μπορούν να απευθύνονται για οδηγίες στο ict.supervision@bankofgreece.gr.  

Περισσότερες λεπτομέρειες αναφορικά με τις εν λόγω απαιτήσεις περιλαμβάνονται επιπρόσθετα και στα ακόλουθα κείμενα του Κανονισμού:

Ρυθμιστικά Τεχνικά Πρότυπα (RTS) για τον προσδιορισμό των κριτηρίων ταξινόμησης συμβάντων που σχετίζονται με τις ΤΠΕ και κυβερνοαπειλών, τον καθορισμό κατώτατων ορίων σημαντικότητας και τον προσδιορισμό των λεπτομερειών των αναφορών μειζόνων συμβάντων

Ρυθμιστικά Τεχνικά Πρότυπα (RTS) για τον προσδιορισμό του περιεχομένου και των προθεσμιών για την αρχική κοινοποίηση και την ενδιάμεση και την τελική αναφορά μειζόνων συμβάντων που σχετίζονται με τις ΤΠΕ, καθώς και τον προσδιορισμό του περιεχομένου της προαιρετικής κοινοποίησης για σημαντικές κυβερνοαπειλές

Εκτελεστικά Τεχνικά Πρότυπα (ITS) όσον αφορά τα τυποποιημένα έντυπα, τα υποδείγματα και τις διαδικασίες για την εκ μέρους χρηματοοικονομικών οντοτήτων αναφορά μειζόνων συμβάντων που σχετίζονται με τις ΤΠΕ και την κοινοποίηση σημαντικών κυβερνοαπειλών

Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας

Το ΚΕΦΑΛΑΙΟ IV του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τις Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας και οι οποίες εστιάζουν στις ακόλουθες ενέργειες

Το ΚΕΦΑΛΑΙΟ IV του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τις Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας και οι οποίες εστιάζουν στις ακόλουθες ενέργειες:

  • Πρόγραμμα

Θέσπιση, συντήρηση και αναθεώρηση Προγράμματος Δοκιμών Ψηφιακής Επιχειρησιακής Ανθεκτικότητας.

  • Δοκιμές

Διεξαγωγή κατάλληλων δοκιμών σε όλα τα συστήματα και τις εφαρμογές ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες τουλάχιστον σε ετήσια βάση.

  • Προηγμένες δοκιμές μέσω Threat-Led Penetration Tests (TLPT)

Διενέργεια προηγμένων δοκιμών εργαλείων, συστημάτων και διαδικασιών ΤΠΕ με βάση τις δοκιμές παρείσδυσης βάσει απειλών (TLPT), από επιλεγμένες Χρηματοοικονομικές Οντότητες, με βάση τις απαιτήσεις του Κανονισμού αναφορικά με:

  • Την περιοδικότητα (τουλάχιστον κάθε 3 χρόνια).
  • Το πεδίο εφαρμογής (ορισμένες ή όλες τις κρίσιμες ή σημαντικές λειτουργίες, παραγωγικά συστήματα).
  • Την ανάθεση διενέργειας των TLPT (εσωτερικά ή/και εξωτερικά).
  • Την αναφορά ευρημάτων και επιλεγμένων διορθωτικών ενεργειών.

Περισσότερες λεπτομέρειες αναφορικά με τις εν λόγω απαιτήσεις περιλαμβάνονται επιπρόσθετα και στο ακόλουθο κείμενο του Κανονισμού:

Κοινά Ρυθμιστικά Τεχνικά Πρότυπα (RTS) σχετικά με τον προσδιορισμό στοιχείων αναφορικά με τις δοκιμές παρείσδυσης βάσει απειλών

Διαχείριση Κινδύνου Τρίτων Παρόχων ΤΠΕ

Το ΚΕΦΑΛΑΙΟ V του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τη Διαχείριση Κινδύνου Τρίτων Παρόχων ΤΠΕ και οι οποίες εστιάζουν στις ακόλουθες ενέργειες

Το ΚΕΦΑΛΑΙΟ V του Κανονισμού εισάγει απαιτήσεις που σχετίζονται με τη Διαχείριση Κινδύνου Τρίτων Παρόχων ΤΠΕ και οι οποίες εστιάζουν στις ακόλουθες ενέργειες:

  • Στρατηγική και Διαχείριση

Θέσπιση και επανεξέταση Στρατηγικής Διαχείρισης Κινδύνων Τρίτων Παρόχων ΤΠΕ και διαχείριση των εν λόγω κινδύνων.

  • Μητρώο Πληροφοριών

Τήρηση Μητρώου Πληροφοριών με τις συμβατικές ρυθμίσεις που αφορούν τρίτους παρόχους ΤΠΕ και τακτική ενημέρωση της Τράπεζας της Ελλάδος σύμφωνα με τις απαιτήσεις του Κανονισμού. 

Η περίοδος κανονικών υποβολών μετατίθεται για το διάστημα από τις 15 Απριλίου 2025 έως και τις 25 Απριλίου 2025. Τα Ιδρύματα που συμμετείχαν στις δοκιμαστικές υποβολές θα πρέπει να προχωρήσουν εκ νέου σε κανονική υποβολή του τελικού μητρώου πληροφοριών κατά τη διάρκεια της περιόδου κανονικών υποβολών.

Για τη δημιουργία και υποβολή των εν λόγω μητρώων πληροφοριών, τα εποπτευόμενα ιδρύματα πρέπει να εφαρμόσουν το τεχνικό εκτελεστικό πρότυπο (ΕΕ) 2024/2956, σύμφωνα με τις εκάστοτε κατευθύνσεις και δημοσιευμένες απαντήσεις που παρέχονται στο σύνδεσμο Preparations for reporting of DORA registers of information | European Banking Authority καθώς και τις δημοσιευμένες απαντήσεις σε ερωτήματα στην ιστοσελίδα της Ευρωπαϊκής Αρχής Ασφαλίσεων και Επαγγελματικών Συντάξεων (European Insurance and Occupational Pensions Authority – EIOPA).

  • Κίνδυνος Συγκέντρωσης

Αξιολόγηση της εργολαβικής ανάθεσης όλων των υπηρεσιών ΤΠΕ κρίσιμων ή σημαντικών λειτουργιών σε ένα μοναδικό πάροχο.

  • Συμβατικές Διατάξεις

Αναθεώρηση συμβάσεων με τρίτους παρόχους υπηρεσιών ΤΠΕ σύμφωνα με τις απαιτήσεις του Κανονισμού.

Περισσότερες λεπτομέρειες αναφορικά με τις εν λόγω απαιτήσεις περιλαμβάνονται επιπρόσθετα και στα ακόλουθα κείμενα του Κανονισμού:

Εκτελεστικά Τεχνικά Πρότυπα (ITS) για την εφαρμογή τυποποιημένων  υποδειγμάτων για το μητρώο πληροφοριών

Ρυθμιστικά Τεχνικά Πρότυπα (RTS) για τον προσδιορισμό των λεπτομερειών του περιεχομένου της πολιτικής σε σχέση με τις συμβατικές ρυθμίσεις σχετικά με τη χρήση υπηρεσιών ΤΠΕ οι οποίες υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες που παρέχονται από τρίτους παρόχους υπηρεσιών ΤΠΕ

Κοινά Ρυθμιστικά Τεχνικά Πρότυπα (RTS) σχετικά με την υπεργολαβική ανάθεση υπηρεσιών ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες
Αυτό το website χρησιμοποιεί cookies για την βελτιστοποίηση της εμπειρίας σας. Μάθετε περισσότερα
Δεν αποδέχομαι
Αποδέχομαι