Các quy định mới nghiêm ngặt về an ninh mạng của EU chính thức có hiệu lực

Đạo luật phục hồi hoạt động kỹ thuật số của EU (DORA) yêu cầu cả các công ty dịch vụ tài chính và nhà cung cấp công nghệ phải tăng cường hệ thống CNTT để đảm bảo ngành này có khả năng phục hồi trong trường hợp xảy ra tấn công mạng hoặc bất kỳ hình thức gián đoạn nào khác.

Các hình phạt đối với hành vi vi phạm luật mới có thể rất nghiêm trọng. Các công ty dịch vụ tài chính vi phạm các quy tắc mới có thể phải đối mặt với khoản tiền phạt lên tới 2% doanh thu toàn cầu hàng năm. Các nhà quản lý cũng có thể phải chịu trách nhiệm về hành vi vi phạm và phải đối mặt với các án phạt lên tới 1 triệu USD.

“Tính tới thời điểm hiện tại, tỷ lệ tuân thủ các quy tắc mới giữa các công ty dịch vụ tài chính vẫn còn lẫn lộn…Chúng tôi thực sự đang cố gắng xây dựng chương trình tuân thủ này, nhưng nó rất phức tạp. Tôi nghĩ đó là thách thức”, Harvey Jang, Giám đốc bảo mật và phó cố vấn chung của Cisco cho biết.

Các tổ chức tài chính đã sẵn sàng?

Theo DORA, các công ty tài chính sẽ được yêu cầu thực hiện quản lý rủi ro và sự cố CNTT nghiêm ngặt, phân loại và báo cáo, thử nghiệm khả năng phục hồi hoạt động, chia sẻ thông tin tình báo về các mối đe dọa và lỗ hổng trên mạng, cũng như các biện pháp quản lý rủi ro của bên thứ ba.

Các công ty cũng sẽ được yêu cầu tiến hành đánh giá rủi ro tập trung liên quan đến việc thuê ngoài các chức năng hoạt động quan trọng hoặc quan trọng cho các công ty bên ngoài.

Một cuộc khảo sát toàn quốc của Censuswide đối với 200 giám đốc an ninh thông tin của Anh do Orange Cyberdefense cho thấy 43% các tổ chức tài chính ở Anh vẫn chưa tuân thủ đầy đủ DORA.

Đó là một mối quan ngại vì mặc dù Anh hiện không còn là thành viên của Liên minh châu Âu, nhưng DORA vẫn áp dụng cho tất cả các tổ chức tài chính hoạt động trong phạm vi quyền hạn của EU ngay cả khi họ có trụ sở bên ngoài khối.

"Mặc dù rõ ràng là DORA không có phạm vi pháp lý tại Anh, nhưng các tổ chức có trụ sở tại đây và hoạt động hoặc cung cấp dịch vụ cho các tổ chức trong EU sẽ phải tuân theo quy định này", Richard Lindsay, cố vấn chính tại Orange Cyberdefense cho biết.

“Các tổ chức tài chính hoạt động trong một hệ sinh thái kỹ thuật số phức tạp và nhiều lớp… Việc theo dõi và đảm bảo rằng tất cả các bộ phận của hệ thống này tuân thủ rõ ràng các yếu tố liên quan của DORA sẽ đòi hỏi một tư duy, giải pháp và nguồn lực mới”, ông cho biết.

Tuy nhiên, bất chấp những thách thức, kỳ vọng chung của các chuyên gia là thời gian các ngân hàng và các tổ chức tài chính khác đạt được sự tuân thủ sẽ không còn lâu nữa.

“Các ngân hàng ở châu Âu đã tuân thủ các quy định quan trọng bao gồm phần lớn các lĩnh vực thuộc phạm vi của DORA… Do đó, các tổ chức dịch vụ tài chính đã có khả năng quản lý và tuân thủ, với các quy trình báo cáo sự cố hiện có và khuôn khổ rủi ro CNTT vững chắc”, Fabio Colombo, Giám đốc bảo mật dịch vụ tài chính EMEA tại Accenture cho biết.

Rủi ro đối với các nhà cung cấp CNTT

Các nhà cung cấp CNTT cũng có thể bị phạt theo quy định của DORA. Các quy định này có thể đánh thuế lên tới 1% doanh thu trung bình hàng ngày trên toàn thế giới trong tối đa sáu tháng.

“Những lệnh trừng phạt này là cần thiết… Chúng là động lực mạnh mẽ, thúc đẩy các nhà lãnh đạo xem trọng việc tuân thủ và khả năng phục hồi hoạt động hơn bao giờ hết”, Brian Fox, Giám đốc công nghệ của công ty quản lý chuỗi cung ứng phần mềm Sonatype cho biết.

Bên cạnh đó, cũng có nguy cơ về lâu dài rằng các công ty dịch vụ tài chính sẽ chuyển các chức năng và dịch vụ bảo mật quan trọng của họ vào nội bộ.

“Những tiến bộ trong công nghệ có thể cho phép các tổ chức tài chính chuyển các dịch vụ trở lại nội bộ, đơn giản hóa khía cạnh này và giảm rủi ro không tuân thủ”, ông Richard Lindsay cho biết.

Hạc Hiên / Theo báo chí nước ngoài