Πού και πώς επηρεάζει την ασφαλιστική διαμεσολάβηση η “DORA¨

Κείμενο-Επιμέλεια: Χάρης Αλεξόπουλος Αντιπρόεδρος ΕΕΑΕ

Η Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα, γνωστή ως DORA, εγκρίθηκε τελικά από το Ευρωπαϊκό Κοινοβούλιο και τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, με έναρξη εφαρμογής από τις 17 Ιανουαρίου 2025. Στο κείμενό μας, επιχειρούμε μια παρουσίαση της Dora με μια σύντομη ιστορική αναδρομή, όπως την παρακολουθήσαμε μέσω της Ευρωπαϊκής Ομοσπονδίας
μας, BIPAR.
Τι είναι η πράξη DORA με δυο λόγια… ;
Η DORA είναι η νέα Ευρωπαϊκή Νομοθεσία που αποσκοπεί στην αύξηση της ψηφιακής ανθεκτικότητας (δηλαδή της ασφάλειας των συστημάτων δικτύου και πληροφοριών, μεταξύ όλων των χρηματοπιστωτικών ιδρυμάτων εντός της Ευρωπαϊκής Ένωσης και στον μετριασμό των κινδύνων που συνδέονται με την εξωτερική ανάθεση σε τρίτους παρόχους υπηρεσιών. Ενημέρωση BIPAR
Μαζί με την έγκριση της στρατηγικής της για τον ψηφιακό χρηματοοικονομικό τομέα τον Σεπτέμβριο του 2020, η Ευρωπαϊκή Επιτροπή δημοσίευσε την πρότασή της για κανονισμό σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα για τον χρηματοπιστωτικό τομέα τη γνωστή DORA. Οι Ασφαλιστικοί Διαμεσολαβητές συμπεριλήφθηκαν στο πεδίο εφαρμογής της πρότασης της Επιτροπής για τον κανονισμό DORA, μαζί με πολύ μεγαλύτερες χρηματοπιστωτικές οντότητες, όπως Ασφαλιστές ή Πιστωτικά Ιδρύματα.
Σύμφωνα με τους προτεινόμενους κανόνες της Επιτροπής, οι χρηματοπιστωτικές οντότητες που εμπίπτουν στο πεδίο εφαρμογής του DORA θα πρέπει να τηρούν αυστηρά κοινά πρότυπα για
να διασφαλίζουν ότι μπορούν να ανταπεξέλθουν σε διαταραχές και απειλές που σχετίζονται με τις Τεχνολογίες Πληροφοριών και Επικοινωνιών ΤΠΕ (ICT Information and Communication
Technology).
Θα πρέπει να θέσουν σε εφαρμογή και να αναθεωρήσουν τις εξής δομές:
Διακυβέρνηση και οργάνωση: Τα χρηματοπιστωτικά ιδρύματα υποχρεούνται να ακολουθούν βασικές αρχές για τις δομές εσωτερικού ελέγχου και διακυβέρνησής τους, συμπεριλαμβανομένης της
ευθύνης για το πλαίσιο διαχείρισης κινδύνων ICT σε επίπεδο διοικητικών συμβουλίων.

Πλαίσιο διαχείρισης κινδύνων ICT: Τα χρηματοπιστωτικά ιδρύματα πρέπει να διαθέτουν ένα υγιές, ολοκληρωμένο και καλά τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ως μέρος του συνολικού
τους συστήματος διαχείρισης κινδύνων, το οποίο επανεξετάζεται και ελέγχεται περιοδικά.
Αναφορά συμβάντων που σχετίζονται με τις ICT: Ο κανονισμός DORA θα προβλέπει συνεπή και – κατά περίπτωση – ταχεία αναφορά σε σχέση με συμβάντα που σχετίζονται με τις ICT. Τα περιστατικά που χαρακτηρίζονται ως «μείζονα» εμπίπτουν σε αυστηρά χρονοδιαγράμματα για την υποχρέωση αναφοράς στις αρμόδιες αρχές. Οι εν λόγω απαιτήσεις κοινοποίησης
θα απαιτούν από τα χρηματοπιστωτικά ιδρύματα να επανεξετάζουν και να επικαιροποιούν τις τρέχουσες εσωτερικές διαδικασίες αναφοράς συμβάντων και, κατά περίπτωση, τις ρυθμίσεις εξωτερικής ανάθεσης.

Δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας: Για τη διασφάλιση της ψηφιακής επιχειρησιακής ανθεκτικότητας, τα χρηματοπιστωτικά ιδρύματα υποχρεούνται να εφαρμόζουν ισχυρά και
ολοκληρωμένα σχέδια δοκιμών εντός της επιχείρησής τους. Σε ορισμένες περιπτώσεις, απαιτούνται προηγμένες δοκιμές, συμπεριλαμβανομένης της εφαρμογής δοκιμών διείσδυσης καθοδηγούμενης από απειλές (PEN) τουλάχιστον ανά τριετία (ενδέχεται να ζητηθούν υψηλότερες συχνότητες από τις αρχές).

Διαχείριση κινδύνων τρίτων μερών στις ICT: Ο νόμος DORA αποσκοπεί στον έλεγχο των κινδύνων τρίτων μερών στον τομέα των IC, • με τη θέσπιση κανόνων βάσει αρχών για την
παρακολούθηση του κινδύνου που σχετίζεται με καθήκοντα εξωτερικής ανάθεσης • την απαίτηση οι συμφωνίες εξωτερικής ανάθεσης να συμμορφώνονται με ορισμένες ελάχιστες
απαιτήσεις σύναψης συμβάσεων (μεταξύ άλλων τη συμμετοχή σε δοκιμές διείσδυσης βάσει απειλών (PEN)).

Ανταλλαγή πληροφοριών: Σε μια προσπάθεια τα χρηματοπιστωτικά ιδρύματα να αλληλοβοηθούνται, επιτρέπεται η ανταλλαγή πληροφοριών σχετικά με απειλές στον κυβερνοχώρο μεταξύ ιδρυμάτων υπό ορισμένες προϋποθέσεις.
Η Επιτροπή πρότεινε επίσης τροποποιήσεις της οδηγίας «Φερεγγυότητα II», (Solvency II), AIFM, IORPs, MiFID II, της οδηγίας PSD και της οδηγίας για την προληπτική εποπτεία, προκειμένου να αποσαφηνιστούν ορισμένες διατάξεις σχετικά με τον BIPAR λειτουργικό κίνδυνο στις εν λόγω υφιστάμενες οδηγίες για τις χρηματοπιστωτικές υπηρεσίες. Δεν προτάθηκαν τροποποιήσεις στην IDD.
Ως εκ τούτου, ο κανονισμός DORA θα έχει μεγάλο αντίκτυπο και θα απαιτήσει σημαντικές προσπάθειες για τη διασφάλιση της έγκαιρης συμμόρφωσης των χρηματοπιστωτικών ιδρυμάτων
που πληρούν τις προϋποθέσεις, των ομολόγων τους και των τρίτων παρόχων υπηρεσιών ICT.

Θέση BIPAR 

Ενώ το BIPAR κατά βάση συμφωνούσε με τον στόχο της DORA για αύξηση της ψηφιακής επιχειρησιακής ανθεκτικότητας του χρηματοπιστωτικού τομέα, ήταν της γνώμης ότι ο χρηματοπιστωτικός τομέας δεν είναι ομοιόμορφος σε κλίμακα και δομή. Τα περιστατικά που αντιμετωπίζουν διάφορες οντότητες χρηματοπιστωτικών υπηρεσιών, καθώς και οι συνέπειές τους (για τη χρηματοπιστωτική σταθερότητα, τους καταναλωτές κ.λπ.), διαφέρουν από τον έναν τομέα χρηματοπιστωτικών υπηρεσιών στον άλλο. Το BIPAR πίστευε ότι οι απαιτήσεις της DORA απλά δεν θα ήταν λειτουργικά και οικονομικά βιώσιμες για τους ασφαλιστικούς ή χρηματοπιστωτικούς διαμεσολαβητές. Η ρυθμιστική αρχιτεκτονική της DORA δεν είναι προσαρμοσμένη στον
τομέα της διανομής ασφαλιστικών προϊόντων και η αναλογική εφαρμογή των πολυάριθμων και λεπτομερών απαιτήσεών του θα είναι δύσκολο να διασφαλιστεί στην πράξη.
Για το BIPAR και τα μέλη του, οι Ασφαλιστικοί και Χρηματοπιστωτικοί Διαμεσολαβητές (και ιδίως οι SME –Μικρό-Μεσαίες Επιχειρήσεις) θα έπρεπε συνεπώς, να εξαιρεθούν πλήρως από τον κανονισμό DORA. Το μήνυμα αυτό διαβιβάστηκε στους βουλευτές του ΕΚ, στο Συμβούλιο και στην Επιτροπή τον τελευταίο χρόνο.

Αναγνώσεις του ΕΚ και του Συμβουλίου /Τριμερής διάλογος
Στις αρχές του 2022, μετά την έγκριση των αντίστοιχων θέσεών τους σχετικά με την πρόταση DORA, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της ΕΕ, από κοινού με την Επιτροπή, ξεκίνησαν τις διαπραγματεύσεις τους (τριμερής  διάλογος) για την επίτευξη συμφωνίας σχετικά με το τελικό κείμενο του κανονισμού DORA. Το BIPAR ήρθε σε επαφή με τους νομοθέτες της ΕΕ για να εξηγήσει τις ανησυχίες του και να συζητήσει τις προτεινόμενες τροποποιήσεις της σχετικά με το πεδίο εφαρμογής της DORA, και ιδίως την εξαίρεση των πολύ μικρών και των ΜΜΕ ασφαλιστικών
διαμεσολαβητών από αυτήν. Απαιτήθηκε πολύ και επίπονη δουλειά που οδήγησε στις παρακάτω εξελίξεις.

 

Εξελίξεις 2022-2023, Έγκριση DORA-Εγκύκλιος BIPAR!

Προς τα τέλη του 2022, εκδόθηκε από το BIPAR, αναλυτική εγκύκλιος με αναφορά στο ψήφισμα του Κοινοβουλίου, και στο πεδίο εφαρμογής της DORA. Σημαντικά αποσπάσματα
αυτής της εγκυκλίου παραθέτουμε!
Στις 28 Νοεμβρίου, δύο εβδομάδες μετά την έγκρισή της από την ολομέλεια του Ευρωπαϊκού Κοινοβουλίου, η πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) εγκρίθηκε από το Συμβούλιο. Η έγκριση αποτελεί το τελικό στάδιο της νομοθετικής διαδικασίας.
Ο κανονισμός αναμένεται να δημοσιευθεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τις προσεχείς ημέρες και θα τεθεί σε ισχύ την εικοστή ημέρα από τη δημοσίευση αυτή. Θα εφαρμοστεί 24 μήνες μετά την ημερομηνία έναρξης ισχύος. Ο κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
«Ζούμε σε αβέβαιους καιρούς. Οι τράπεζες και άλλες εταιρείες που παρέχουν χρηματοπιστωτικές υπηρεσίες στην Ευρώπη έχουν ήδη σχέδια για την ασφάλεια των πληροφοριακών
συστημάτων τους, αλλά πρέπει να προχωρήσουμε ένα βήμα παραπέρα. Χάρη στις εναρμονισμένες νομικές απαιτήσεις που εγκρίναμε σήμερα, ο χρηματοπιστωτικός μας τομέας
θα είναι σε καλύτερη θέση να συνεχίσει να λειτουργεί ανά πάσα στιγμή. Εάν εξαπολυθεί επίθεση μεγάλης κλίμακας στον ευρωπαϊκό χρηματοπιστωτικό τομέα, θα είμαστε προετοιμασμένοι γι’ αυτό.» Δήλωσε ο κ. Zbyněk Stanjura, Υπουργός Οικονομικών της Τσεχικής Δημοκρατίας.

Οι αρμόδιες Ευρωπαϊκές Εποπτικές Αρχές (ESAs) (η Ευρωπαϊκή Αρχή Τραπεζών (EBA), η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (ESMA) και η Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων (EIOPA) θα αναπτύξουν τώρα τεχνικά πρότυπα για τα ιδρύματα χρηματοπιστωτικών υπηρεσιών στο πεδίο εφαρμογής της DORA με το οποίο πρέπει να συμμορφώνονται. Οι αντίστοιχες εθνικές αρμόδιες αρχές θα αναλάβουν τον ρόλο της εποπτείας της συμμόρφωσης και θα επιβάλουν τον κανονισμό, ανάλογα με τις ανάγκες.
DORA και Διαμεσολαβούντες Οι ασφαλιστικοί διαμεσολαβητές, οι αντασφαλιστικοί διαμεσολαβητές και οι ασφαλιστικοί διαμεσολαβητές που ασκούν ως δευτερεύουσα δραστηριότητα την
ασφαλιστική διαμεσολάβηση – όπως ορίζονται στην IDD – οι οποίοι είναι πολύ μικρές επιχειρήσεις, μικρές ή μεσαίες επιχειρήσεις, δεν εμπίπτουν στο πεδίο εφαρμογής του
κανονισμού DORA.
Οι «επιχειρήσεις επενδύσεων εξαίρεσης» της MiFID II εξαιρούνται από το DORA. Αυτό σημαίνει ότι εάν ένα κράτος μέλος έχει επιλέξει να εξαιρεθεί από τους ενδιάμεσους χρηματοπιστωτικούς οργανισμούς του από την οδηγία MIFID II, τότε οι εν λόγω ενδιάμεσοι χρηματοπιστωτικοί οργανισμοί δεν θα εμπίπτουν στο  πεδίο εφαρμογής του κανονισμού DORA. Για τις επιχειρήσεις επενδύσεων που δεν υπόκεινται στη διάταξη εξαίρεσης της MiFID II, υπάρχει ένα ελαφρύτερο καθεστώς DORA σε περίπτωση που είναι μικρές και μη διασυνδεδεμένες επιχειρήσεις.
Τα πιστωτικά ιδρύματα εμπίπτουν στο πεδίο εφαρμογής της DORA. Στο κείμενο δεν υπάρχει καμία αναφορά σε μεσίτες πιστώσεων. Οι μεσίτες πιστώσεων δεν εμπίπτουν στον ορισμό των
πιστωτικών ιδρυμάτων και, ως εκ τούτου, η ερμηνεία μας είναι ότι οι μεσίτες πιστώσεων δεν εμπίπτουν στο πεδίο εφαρμογής του κανονισμού DORA.
Για τους μεγάλους ασφαλιστικούς διαμεσολαβητές (περισσότερους από 250 υπαλλήλους), εφαρμόζεται ο κανονισμός DORA. Ωστόσο, θα εφαρμόζουν τους κανόνες DORA σύμφωνα με την αρχή της αναλογικότητας, λαμβάνοντας υπόψη το μέγεθός τους, τη φύση, την κλίμακα και την πολυπλοκότητα των υπηρεσιών, των δραστηριοτήτων και των λειτουργιών τους, καθώς και το συνολικό προφίλ κινδύνου τους.

 

Συμπληρωματικές Επεξηγήσεις:

Πολύ μικρή επιχείρηση: Θεωρείται η χρηματοοικονομική οντότητα, η οποία απασχολεί λιγότερα από 10 πρόσωπα και έχει ετήσιο κύκλο εργασιών και/ή σύνολο ετήσιου ισολογισμού που
δεν υπερβαίνει τα 2 εκατομμύρια EUR·
Μικρή επιχείρηση: Η χρηματοοικονομική οντότητα που απασχολεί 10 ή περισσότερα πρόσωπα, αλλά λιγότερα από 50 άτομα, και έχει ετήσιο κύκλο εργασιών και/ή σύνολο ετήσιου
ισολογισμού που υπερβαίνει τα 2 εκατομμύρια EUR, αλλά δεν υπερβαίνει τα 10 εκατομμύρια EUR.
Μεσαία επιχείρηση: Η χρηματοοικονομική οντότητα που δεν είναι μικρή επιχείρηση και απασχολεί λιγότερους από 250 εργαζομένους και έχει ετήσιο κύκλο εργασιών που δεν
υπερβαίνει τα 50 εκατομμύρια EUR και/ή ετήσιο ισολογισμό που δεν υπερβαίνει τα 43 εκατομμύρια EUR.