Ακολουθήστε μας στο Linkedin και συνδεθείτε με άλλους επαγγελματίες του κλάδου

Πώς η Κύπρος προσαρμόζεται στους νέους κανόνες της ΕΕ για την ψηφιακή ασφάλεια

Η 17η Ιανουαρίου 2025 σηματοδότησε μια νέα εποχή για τον ευρωπαικό χρηματοπιστωτικό τομέα, καθώς τέθηκε σε πλήρη εφαρμογή ο Κανονισμός της ΕΕ 2022/2554, γνωστός ως Digital Operational Resilience Act (DORA). Αυτή η ιστορική νομοθεσία αποσκοπεί στην ενίσχυση της ψηφιακής ανθεκτικότητας όλων των χρηματοπιστωτικών οργανισμών στην Ευρωπαϊκή Ένωση, συμπεριλαμβανομένων των ασφαλιστικών εταιρειών και των ασφαλιστικών διαμεσολαβητών της Κύπρου.

Τι είναι η DORA

Η DORA αποτελεί τον πιο φιλόδοξο ευρωπαϊκό κανονισμό για τη ρύθμιση των κυβερνοεπιθέσεων μέχρι σήμερα. Ο κανονισμός επιβάλλει ένα ενιαίο και συνεκτικό πλαίσιο για τη διαχείριση των κινδύνων που συνδέονται με την τεχνολογία πληροφοριών και επικοινωνιών (ICT) σε όλο το φάσμα των χρηματοπιστωτικών υπηρεσιών.

Η DORA καλύπτει πέντε βασικούς πυλώνες:

• Πλαίσιο Διαχείρισης Κινδύνων ICT: Υποχρεώνει τους χρηματοπιστωτικούς οργανισμούς να διατηρούν ένα ολοκληρωμένο πλαίσιο διαχείρισης κινδύνων ICT

• Αναφορά Περιστατικών ICT: Επιβάλλει την υποβολή αναφορών για σημαντικά περιστατικά κυβερνοασφάλειας στις εποπτικές αρχές

• Δοκιμές Ψηφιακής Ανθεκτικότητας: Απαιτεί τακτικές δοκιμές ανθεκτικότητας των συστημάτων ICT

• Διαχείριση Κινδύνων Τρίτων ICT: Ρυθμίζει τις σχέσεις με εξωτερικούς παρόχους τεχνολογικών υπηρεσιών

• Ανταλλαγή Πληροφοριών: Προωθεί την κοινοποίηση απειλών κυβερνοασφάλειας

Υιοθέτηση της DORA στην Κύπρο

Ως κανονισμός της ΕΕ, η DORA έχει άμεση εφαρμογή σε όλα τα κράτη μέλη, συμπεριλαμβανομένης της Κύπρου, χωρίς να απαιτείται μεταφορά στο εθνικό δίκαιο. Οι εποπτικές αρχές της Κύπρου έχουν ήδη λάβει συγκεκριμένα μέτρα για την εφαρμογή του κανονισμού:

Δράσεις της CySEC

Η Επιτροπή Κεφαλαιαγοράς Κύπρου (CySEC) έχει εκδώσει σειρά κυκλίων για την υλοποίηση της DORA:

Κυκλίος C700 (8 Απριλίου 2025): Καθορίζει τις υποχρεώσεις αναφοράς των ρυθμιζόμενων οντοτήτων, συμπεριλαμβανομένης της αναφοράς περιστατικών ICT και της τήρησης μητρώου πληροφοριών για παρόχους υπηρεσιών ICT τρίτων.

Κυκλίος C731 (2 Οκτωβρίου 2025): Εισάγει ετήσια τέλη που σχετίζονται με τη DORA για όλες τις χρηματοπιστωτικές οντότητες που υπάγονται στον κανονισμό.

Δράσεις της Κεντρικής Τράπεζας Κύπρου

Η Κεντρική Τράπεζα Κύπρου έχει εκδώσει ανακοίνωση στις 5 Δεκεμβρίου 2024, υπενθυμίζοντας σε όλες τις χρηματοπιστωτικές οντότητες που υπάγονται στην DORA ότι η ημερομηνία εφαρμογής είναι η 17η Ιανουαρίου 2025. Από αυτήν την ημερομηνία, όλες οι χρηματοπιστωτικές οντότητες πρέπει να συμμορφώνονται με τις απαιτήσεις της DORA.

Επιπτώσεις στον Ασφαλιστικό Τομέα της Κύπρου

Η DORA επηρεάζει άμεσα όλες τις ασφαλιστικές και αντασφαλιστικές επιχειρήσεις, καθώς και τους ασφαλιστικούς διαμεσολαβητές της Κύπρου. Οι κυριότερες επιπτώσεις περιλαμβάνουν:

Ενίσχυση της Κυβερνοασφάλειας: Οι ασφαλιστικές εταιρείες πρέπει να διαθέτουν ισχυρά συστήματα προστασίας από κυβερνοεπιθέσεις και να μπορούν να ανακάμπτουν γρήγορα από τυχόν περιστατικά.

Διαχείριση Τρίτων: Αυστηρότερες απαιτήσεις για τη διαχείριση των κινδύνων που προκύπτουν από την ανάθεση σε τρίτους κρίσιμων λειτουργιών ICT, όπως cloud computing και άλλες τεχνολογικές υπηρεσιές.

Υποχρεώσεις Αναφοράς: Οι ασφαλιστικοί οργανισμοί πρέπει να αναφέρουν σημαντικά περιστατικά ICT στις εποπτικές αρχές μέσα σε συγκεκριμένα χρονικά πλαίσια.

Δοκιμές Ανθεκτικότητας: Τακτικές δοκιμές των συστημάτων ICT για να διασφαλιστεί ότι μπορούν να αντέξουν σε κυβερνοεπιθέσεις και άλλα λειτουργικά περιστατικά.

Βασικές Απαιτήσεις για τους Ασφαλιστικούς Οργανισμούς

1. Πλαίσιο Διαχείρισης Κινδύνων ICT

Οι ασφαλιστικές εταιρείες πρέπει να εφαρμόσουν ένα ολοκληρωμένο πλαίσιο διαχείρισης κινδύνων ICT που περιλαμβάνει εσωτερική διακυβέρνηση, εντοπισμό κινδύνων, προστασία, ανίχνευση, αντίδραση, ανάκαμψη και μάθηση.

2. Αναφορά Περιστατικών

Σύμφωνα με τον Κυκλίο C700 της CySEC, οι ρυθμιζόμενες οντότητες πρέπει:

• Να υποβάλλουν αρχική αναφορά εντός 4 ωρών από την κατηγοριοποίηση ενός περιστατικού ως σημαντικού

• Να υποβάλλουν ενδιάμεση αναφορά εντός 72 ωρών

• Να υποβάλλουν τελική αναφορά εντός ενός μήνα

3. Μητρώο Πληροφοριών για Τρίτους Παρόχους ICT

Οι ασφαλιστικές εταιρείες πρέπει να τηρούν και να υποβάλλουν ετησίως μητρώο όλων των συμβατικών διευθετήσεων με παρόχους υπηρεσιών ICT. Η πρώτη υποβολή έπρεπε να γίνει μέχρι τις 30 Απριλίου 2025, ενώ στη συνέχεια το μητρώο υποβάλλεται ετησίως μέχρι τις 28 Φεβρουαρίου.

4. Δοκιμές Ψηφιακής Ανθεκτικότητας

Μεγάλες ασφαλιστικές εταιρείες πρέπει να διεξάγουν δοκιμές διείσδυσης με βάση απειλές (TLPT) τουλάχιστον κάθε τρία χρόνια. Αυτές οι δοκιμές προσομοιώνουν πραγματικές κυβερνοεπιθέσεις για να αξιολογήσουν την ανθεκτικότητα των συστημάτων.

Κόστη και Τέλη Συμμόρφωσης

Η CySEC έχει επιβάλλει ετήσια τέλη που σχετίζονται με τη DORA μέσω του Κυκλίου C731. Οι χρηματοπιστωτικές οντότητες κατηγοριοποιούνται βάσει μεγέθους (μικρές, μεσαίες, μεγάλες επιχειρήσεις) και πληρώνουν αντίστοιχα τέλη. Επιπλέον, επιβάλλεται πρόσθετο τέλος 20.000 ευρώ για οντότητες που διεξάγουν δοκιμές TLPT.

Προκλήσεις και Ευκαιρίες

Παρότι η υλοποίηση της DORA παρουσιάζει προκλήσεις, ιδιαίτερα για μικρότερες ασφαλιστικές εταιρείες, προσφέρει επίσης σημαντικές ευκαιρίες:

Προκλήσεις:

• Αυξημένο κόστος συμμόρφωσης και επενδύσεων σε τεχνολογία

• Ανάγκη για εξειδικευμένο προσωπικό κυβερνοασφάλειας

• Επαναδιαπραγμάτευση συμβολαίων με παρόχους ICT

Ευκαιρίες:

• Ενίσχυση της εμπιστοσύνης των πελατών μέσω βελτιωμένης ασφάλειας

• Ανταγωνιστικό πλεονέκτημα για όσους συμμορφώνονται έγκαιρα

• Καλύτερη λειτουργική ανθεκτικότητα και επιχειρηματική συνέχεια

Συμπεράσματα

Η DORA αποτελεί σημαντικό ορόσημο για τη ψηφιακή ανθεκτικότητα του κυπριακού ασφαλιστικού τομέα. Παρότι η προσαρμογή απαιτεί επενδύσεις και προσπάθεια, η συμμόρφωση με τον κανονισμό θα ενισχύσει τη σταθερότητα, την ασφάλεια και την ανταγωνιστικότητα των κυπριακών ασφαλιστικών εταιρειών.

Οι ασφαλιστικοί οργανισμοί που δεν έχουν ακόμη ολοκληρώσει την προσαρμογή τους στην DORA θα πρέπει να ενεργήσουν άμεσα, καθώς οι εποπτικές αρχές έχουν ήδη αρχίσει να ενσωματώνουν τις απαιτήσεις του κανονισμού στις τακτικές τους επιθεωρήσεις και αξιολογήσεις.