Η χρήση των Τεχνολογιών των Πληροφοριών και των Επικοινωνιών (ΤΠΕ) έχει πλέον
ενσωματωθεί πλήρως στην καθημερινή λειτουργία πολλών κλαδών και κυρίως στον τομέα των
χρηματοοικονομικών υπηρεσιών, επηρεάζοντας σημαντικά τη λειτουργία των ρυθμιζόμενων
οντοτήτων. Από την ψηφιοποίηση στις πληρωμές, που προωθήθηκε από τη μεταρρύθμιση του
ανοιχτού τραπεζικού τομέα, έως τη μεταμόρφωση διαδικασιών μέσω υπηρεσιών cloud, οι
τεχνολογίες αυτές έχουν γίνει αναπόσπαστο και απαραίτητο κομμάτι του τομέα. Η ανάπτυξη
υποτομέων όπως το Fintech και InsurTech επιβεβαιώνει αυτή την τάση.

Ωστόσο, με την αυξανόμενη υιοθέτηση των ΤΠΕ, οι ρυθμιζόμενες οντότητες εκτίθενται σε νέους κινδύνους, όπως οι κυβερνοεπιθέσεις και οι διακοπές λειτουργίας. Η ΕΕ εκφράζει ανησυχία για την έλλειψη μιας ενοποιημένης προσέγγισης που να καθορίζει πώς οι οργανισμοί θα πρέπει να παρακολουθούν την ανθεκτικότητα των ΤΠΕ συστημάτων τους. Σε αυτό το πλαίσιο και αναγνωρίζοντας τους κινδύνους που ελλοχεύουν η ΕΕ κατάρτισε Κανονισμό Ψηφιακής Επιχειρησιακής Ανθεκτικότητας, γνωστό ως DORA (Κανονισμός (ΕΕ) 2022/2554), με στόχο την εξασφάλιση της ψηφιακής ανθεκτικότητας των χρηματοπιστωτικών οργανισμών στην Ε.Ε. απέναντι σε περιστατικά και λειτουργικές διαταραχές που σχετίζονται με τις ΤΠΕ.
Ο DORA ως Ευρωπαϊκός Κανονισμός που είναι δεν επιτρέπει την επεξεργασία από τα κράτη–μέλη πριν την υιοθέτηση του οπότε τίθεται σε πλήρη εφαρμογή στις 17 Ιανουαρίου 2025 και
ισχύει για ένα ευρύ φάσμα χρηματοοικονομικών οντοτήτων της ΕΕ, συμπεριλαμβανομένων
πιστωτικών ιδρυμάτων, παρόχων υπηρεσιών πληρωμών, ασφαλιστικών εταιρειών και άλλων.
Επιπλέον, οι μητρικές εταιρείες εκτός ΕΕ που αποκτούν υπηρεσίες ΤΠΕ σε ομαδική βάση
υποχρεούνται να συμμορφώνονται.

Πέντε Πυλώνες τoυ Κανονισμού
Για να διασφαλιστεί η αποτελεσματική διαχείριση κινδύνων ΤΠΕ και η ανθεκτικότητα σε
κυβερνοαπειλές, ο DORA απαιτεί από τις χρηματοοικονομικές οντότητες να έχουν εγκαταστήσει ένα εσωτερικό πλαίσιο διακυβέρνησης και ελέγχου. Το διοικητικό συμβούλιο είναι υπεύθυνο για τη διαχείριση των κινδύνων ΤΠΕ της οντότητας και αναμένεται να εφαρμόσει λεπτομερείς πολιτικές, διαδικασίες, συστήματα και άλλες ρυθμίσεις, ώστε να διασφαλίσει ισχυρή και αποτελεσματική συμμόρφωση με τις διάφορες απαιτήσεις του Κανονισμού. Οι πέντε πυλώνες που πρέπει να υλοποιηθούν είναι οι εξής:

1. Συμπαγές Πλαίσιο Διαχείρισης Κινδύνων ΤΠΕ: Συμπεριλαμβάνει μια συνολική
στρατηγική ψηφιακής ανθεκτικότητας, πολιτικές για την αναγνώριση και την προστασία
των συστημάτων, καθώς και διαδικασίες για τη συνεχή παρακολούθηση πηγών
κινδύνων ΤΠΕ και μηχανισμούς για την αναγνώριση και την αντιμετώπιση σημαντικών
περιστατικών.
2. Καταγραφή και Αναφορά Περιστατικών ΤΠΕ: Απαιτεί μια διαδικασία διαχείρισης
περιστατικών που σχετίζονται με ΤΠΕ, η οποία περιλαμβάνει την ανίχνευση και την
κατάταξη περιστατικών, την καταγραφή σημαντικών περιστατικών και την υποβολή
αναφορών στις εθνικές ρυθμιστικές αρχές.
3. Διεξαγωγή Δοκιμών Ψηφιακής Επιχειρησιακής Ανθεκτικότητας: Απαιτεί τη
δημιουργία διαδικασίας δοκιμής και αξιολόγησης για τα συστήματα και τις λειτουργίες που σχετίζονται με ΤΠΕ, περιλαμβάνοντας τακτικές δοκιμές διείσδυσης και άλλες
ασκήσεις δοκιμής βάσει σεναρίων για όλες τις χρηματοοικονομικές οντότητες.
4. Διαχείριση Κινδύνων Τρίτων στις ΤΠΕ: Απαιτείται διαχείριση από πλευράς των
χρηματοπιστωτικών οργανισμών κινδύνων τρίτων παρόχων ΤΠΕ, ως μέρος του
πλαισίου διαχείρισης κινδύνων. Συγκεκριμένα ο χρηματοπιστωτικός οργανισμός θεσπίζει
στρατηγική για κινδύνους τρίτων παρόχων ΤΠΕ τηρώντας μητρώο συμβάσεων,
υποβάλλοντας ετήσιες αναφορές στις αρμόδιες αρχές, διεξαγάγωντας αξιολόγηση και
δέουσα επιμέλεια των υπηρεσιών ΤΠΕ που ανατίθενται σε τρίτους.
5. Ρυθμίσεις Ανταλλαγής Πληροφοριών: Απαιτεί διαδικασίες για τη δομημένη ανταλλαγή
πληροφοριών σχετικά με κυβερνοαπειλές και ευπάθειες μεταξύ των χρηματοοικονομικών
οντοτήτων.

Ο κανονισμός περιλαμβάνει πολλές υποχρεωτικές ρυθμίσεις, όπως η διαχείριση δεδομένων, η
διαχείριση υπηρεσιών και η συνεργασία με αρμόδιες αρχές. Επιπλέον, απαιτεί διαδικασίες
αξιολόγησης και συνεχούς ελέγχου συμμόρφωσης με επαναξιολόγηση των διαδικασιών και
καθορισμό διαδικασιών ελέγχων τόσο εσωτερικά όσο και από εξωτερικό ελεγκτή. Ως εκ τούτου, οι οργανισμοί χρηματοοικονομικών υπηρεσιών υποχρεούνται να αξιολογούν και να μετριάζουν τους κινδύνους που σχετίζονται με τις συμβάσεις τους με τρίτους παρόχους υπηρεσιών ΤΠΕ.

Για να εξασφαλιστεί η συμμόρφωση με αυτές τις ρυθμίσεις, είναι κρίσιμο οι οντότητες να
αναθεωρήσουν τα συμβόλαιά τους με τους παρόχους υπηρεσιών ΤΠΕ.

Συμβατικές Απαιτήσεις
Οι συμβατικές απαιτήσεις εφαρμόζονται σε κάθε σύμβαση για την παροχή υπηρεσιών ΤΠΕ.
Το Άρθρο 30(2) καθορίζει ορισμένες γενικές απαιτήσεις που πρέπει να περιλαμβάνονται σε κάθε σύμβαση για την παροχή υπηρεσιών ΤΠΕ μεταξύ μιας χρηματοοικονομικής οντότητας και ενός τρίτου παρόχου υπηρεσιών ΤΠΕ.

Το Άρθρο 30(3) περιλαμβάνει περαιτέρω απαιτήσεις όπου οι υπηρεσίες ΤΠΕ υποστηρίζουν μια
κρίσιμη ή σημαντική λειτουργία της χρηματοοικονομικής οντότητας. Μια “κρίσιμη ή σημαντική
λειτουργία” σημαίνει μια λειτουργία, η διακοπή της οποίας θα επηρεάσει σημαντικά την
οικονομική απόδοση της χρηματοοικονομικής οντότητας ή τη βιωσιμότητα ή συνέχεια των
υπηρεσιών και δραστηριοτήτων της.

Άρθρο 30 του DORA
Μία από τις συχνά παραβλεπόμενες νέες συμβατικές απαιτήσεις που επιβάλλει ο DORA είναι η απαίτηση να καταγραφούν οι ρυθμίσεις ΤΠΕ σε ένα έγγραφο που να είναι διαθέσιμο στα μέρη σε έντυπη μορφή ή σε άλλο κατεβάσιμο, μόνιμο και προσβάσιμο μορφότυπο.
Με άλλα λόγια, δεν θα υπάρχει, ή θα υπάρχει πολύ περιορισμένη, δυνατότητα αναφοράς σε
εξωτερικές πολιτικές ή όρους και προϋποθέσεις, οι οποίοι δεν θα περιλαμβάνονται φυσικά στη
συμφωνία ΤΠΕ. Αυτό μπορεί να απαιτήσει από τους τρίτους παρόχους υπηρεσιών ΤΠΕ να
αλλάξουν ολόκληρη τη μορφή και την αρχιτεκτονική της συμβατικής τεκμηρίωσης των πελατών
τους.

Το Άρθρο 30 καθορίζει εννέα βασικές συμβατικές διατάξεις που πρέπει να περιλαμβάνονται σε
όλες τις συμβάσεις μεταξύ χρηματοοικονομικών οντοτήτων και τρίτων παρόχων υπηρεσιών
ΤΠΕ:

1. Περιγραφή Υπηρεσιών ΤΠΕ: Σαφής περιγραφή όλων των υπηρεσιών που παρέχονται
από τον τρίτο πάροχο, συμπεριλαμβανομένων των όρων υπεργολαβικής ανάθεσης, εάν
επιτρέπεται
2. Τοποθεσίες Υπηρεσιών: Αναφορά στις χώρες και περιοχές παροχής υπηρεσιών και
επεξεργασίας δεδομένων, με υποχρέωση ενημέρωσης της χρηματοοικονομικής
οντότητας σε περίπτωση αλλαγών
3. Προστασία Δεδομένων: Όροι διαθεσιμότητας, γνησιότητας, ακεραιότητας και
εμπιστευτικότητας για τα δεδομένα, συμπεριλαμβανομένων των προσωπικών
δεδομένων
4. Διασφάλιση Πρόσβασης σε Δεδομένα: Διατάξεις για την πρόσβαση, ανάκτηση και
επιστροφή δεδομένων σε περίπτωση αφερεγγυότητας ή καταγγελίας της σύμβασης
5. Επίπεδα Εξυπηρέτησης: Περιγραφές των επιπέδων εξυπηρέτησης και διαδικασίες
επικαιροποίησης
6. Στήριξη σε Περίπτωση Συμβάντος ΤΠΕ: Υποχρέωση του τρίτου παρόχου να παρέχει
υποστήριξη χωρίς επιπλέον κόστος ή με προϋπολογισμένο κόστος σε περίπτωση
συμβάντος ΤΠΕ
7. Συνεργασία με Αρχές: Υποχρέωση συνεργασίας με αρμόδιες αρχές και αρχές
εξυγίανσης.
8. Δικαιώματα Καταγγελίας: Όροι για την καταγγελία της σύμβασης και ελάχιστη
προθεσμία προειδοποίησης
9. Ευαισθητοποίηση για Ασφάλεια ΤΠΕ: Όροι συμμετοχής των παρόχων σε
προγράμματα ευαισθητοποίησης και κατάρτισης για ψηφιακή ανθεκτικότητα.

Οι απαιτήσεις που παρατίθενται είναι αρκετά γενικές, κάτι που μπορεί να οδηγήσει σε ποικιλία
ερμηνειών και προσφορών από τους τρίτους παρόχους υπηρεσιών ΤΠΕ. Ωστόσο, οι απαιτήσεις αυτές θα πρέπει να καταγραφούν σε ένα έγγραφο και να συμφωνηθούν από τους τρίτους παρόχους υπηρεσιών ΤΠΕ.

Επίσης, στο ίδιο άρθρο παρατίθενται ειδικές απαιτήσεις που πρέπει να περιλαμβάνονται
επιπρόσθετα με τα ανωτέρω στις συμβάσεις ΤΠΕ όταν αυτές αφορούν χρήση υπηρεσιών ΤΠΕ
που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες. Οι απαιτήσεις περιλαμβάνουν:

1. Περιγραφές Επίπεδων Εξυπηρέτησης: Πλήρεις περιγραφές των επιπέδων
εξυπηρέτησης με ποσοτικούς και ποιοτικούς στόχους, επιτρέποντας τη συνεχή
παρακολούθηση της απόδοσης και την λήψη διορθωτικών μέτρων χωρίς καθυστέρηση.
2. Προθεσμίες και Υποχρεώσεις Αναφοράς: Υποχρέωση του τρίτου παρόχου να
ειδοποιεί τη χρηματοοικονομική οντότητα για σημαντικές εξελίξεις που επηρεάζουν την
παροχή υπηρεσιών.
3. Σχέδια Έκτακτης Ανάγκης: Υποχρέωση του τρίτου παρόχου να εφαρμόζει και να
δοκιμάζει επιχειρησιακά σχέδια έκτακτης ανάγκης και να τηρεί μέτρα ασφάλειας.
4. Συνεργασία κατά την διεξαγωγή Δοκιμών διείσδυσης βάσει απειλών (threat-led
penetration test) (“TLPT”): Υποχρέωση συμμετοχής και συνεργασίας του τρίτου
παρόχου στις διαδικασίες TLPT της χρηματοοικονομικής οντότητας.
5. Δικαιώματα Παρακολούθησης:
i. Δικαίωμα πρόσβασης και ελέγχου από τη χρηματοοικονομική οντότητα και τις αρχές,
χωρίς περιορισμούς.
ii. Δικαίωμα συμφωνίας για εναλλακτικά επίπεδα βεβαιότητας, όταν θίγονται τα
δικαιώματα άλλων πελατών.
iii. Υποχρέωση συνεργασίας κατά τις επιτόπιες επιθεωρήσεις.
iv. Παροχή λεπτομερειών για τις διαδικασίες και τη συχνότητα επιθεωρήσεων.
6. Στρατηγικές Εξόδου:
i. Υποχρεωτική μεταβατική περίοδος για τη συνέχιση παροχής υπηρεσιών, μειώνοντας
τον κίνδυνο διαταραχής της επιχειρηματικής δραστηριότητας στη χρηματοοικονομική
οντότητα.
ii. Δυνατότητα μετάβασης σε άλλον τρίτο πάροχο ή άλλες λύσεις ανάλογα με την
πολυπλοκότητα της υπηρεσίας.

Ο DORA δίνει νέες εκτεταμένες εξουσίες σε εθνικές και ευρωπαϊκές εποπτικές αρχές για την
παρακολούθηση των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ. Συγκεκριμένα, οι Ευρωπαϊκές Εποπτικές Αρχές έχουν τη δυνατότητα να προσδιορίζουν τους τρίτους παρόχους ΤΠΕ που θεωρούνται κρίσιμοι για τις χρηματοπιστωτικές οντότητες.
Επιπλέον, οι αρμόδιες εποπτικές αρχές έχουν τη δικαιοδοσία να πραγματοποιούν επιθεωρήσεις στους κρίσιμους τρίτους παρόχους ΤΠΕ και να εκδίδουν συστάσεις.
Στο πλαίσιο εποπτείας, οι αρμόδιες αρχές διαθέτουν πλήρεις εξουσίες για την εποπτεία, τη
διερεύνηση και την επιβολή κυρώσεων, συμπεριλαμβανομένων επιτόπιων ελέγχων, εντολών για διορθωτικές ενέργειες, καθώς και την επιβολή αποτελεσματικών, αναλογικών και αποτρεπτικών διοικητικών κυρώσεων.

Οι εποπτικές αρχές δύνανται να επιβάλλουν σε περίπτωση παραβίασης κυρώσεις:

•  Για χρηματοπιστωτικές επιχειρήσεις: πρόστιμα έως και 2% των ετήσιων παγκόσμιων εσόδων.
• Για μεμονωμένα διευθυντικά στελέχη: πρόστιμα έως 1 εκατομμύριο ευρώ.
• Για παρόχους τεχνολογικών υπηρεσιών: πρόστιμα έως 1% των μέσων ημερήσιων παγκόσμιων εσόδων του προηγούμενου οικονομικού έτους.
• Συνεχή πρόστιμα σε επιχειρήσεις: ημερήσια πρόστιμα για διάστημα έως 6 μήνες μέχρι να επιτευχθεί συμμόρφωση.
• Για κρίσιμους τρίτους παρόχους ΤΠΕ: πρόστιμα έως 5 εκατομμύρια ευρώ.
• Για μεμονωμένα στελέχη κρίσιμων τρίτων παρόχων: πρόστιμα έως 500.000 ευρώ.

Επιπλέον, οι εποπτικές αρχές δημοσιεύουν κάθε απόφαση επιβολής κυρώσεων στους
επίσημους ιστότοπούς τους.

Συμπέρασμα
Ο DORA εισάγει μια σειρά από απαιτήσεις που πρέπει να ενσωματωθούν στις συμβάσεις ΤΠΕ.

Η συμμόρφωση με τις απαιτήσεις αυτές θα είναι κρίσιμη για την αποτελεσματική διαχείριση
κινδύνων και την ανθεκτικότητα των χρηματοοικονομικών υπηρεσιών. Είναι σημαντικό οι
οργανισμοί να αναθεωρήσουν τις τρέχουσες συμβάσεις τους και να διασφαλίσουν ότι πληρούν
τις απαιτήσεις του DORA, ενώ παράλληλα θα πρέπει να εκπαιδεύσουν τα στελέχη τους για τις
νέες υποχρεώσεις και να διασφαλίσουν την αναγκαία ευελιξία και προσαρμοστικότητα στη
διαχείριση των κινδύνων ΤΠΕ.

Η συμμόρφωση με τις απαιτήσεις του DORA σε κάθε έναν από τους πέντε πυλώνες
προϋποθέτει μια λεπτομερή προσέγγιση, με την συμμετοχή των επαγγελματιών της
πληροφορικής και των εξειδικευμένων σε θέματα τεχνολογίας νομικών συμβούλων, η οποία να
περιλαμβάνει την τακτική αναγνώριση πηγών κινδύνου ΤΠΕ, τη συνεχή παρακολούθηση
συστημάτων και την ανίχνευση ανωμαλιών. Επιπλέον, η ασφάλεια των συστημάτων ΤΠΕ είναι
καίριας σημασίας, μαζί με τον σχεδιασμό για τη συνέχιση των επιχειρήσεων και την
αποκατάσταση, καθώς και τη δημιουργία διαδικασιών σχετικά με αντίγραφα ασφαλείας, την
αποκατάσταση δεδομένών, καταγραφή και αναφορά περιστατικών. Η τακτική δοκιμή και η
αναθεώρηση των συμβατικών συμφωνιών με τρίτους είναι επίσης ζωτικής σημασίας. Όλες αυτές οι διαδικασίες απαιτούν την ανάπτυξη άρρητα συνδεδεμένων πολιτικών και μηχανισμών,
υιοθέτηση των οποίων αποτελούν και διαμορφώνουν ένα ενιαίο, ολοκληρωμένο και
αποτελεσματικό πλαίσιο συμμόρφωσης.