Undang-undang siber UE yang baru untuk bank dapat mengubah standar global

Bank-bank yang beroperasi di Uni Eropa harus mencapai kepatuhan pada hari Jumat dengan undang-undang baru yang mengatur stabilitas sistem komputer sistem keuangan. Di antara persyaratan lainnya, bank diharapkan memantau risiko yang ditimbulkan oleh vendor teknologi pihak ketiga — fokus yang berkembang juga untuk regulator AS.

Undang-Undang Ketahanan Operasional Digital (DORA), yang disahkan pada tahun 2023, bertujuan untuk melindungi sektor keuangan Eropa dari kegagalan skala besar yang mungkin diakibatkan oleh serangan siber atau gangguan teknis. Meskipun bank-bank yang tidak beroperasi di Eropa tidak secara langsung tunduk pada DORA, peraturan ini diharapkan akan membentuk standar sistem keuangan global, dan mungkin pada akhirnya akan menjadi standar regulator AS.

Undang-undang tersebut mewajibkan lembaga keuangan untuk memelihara kerangka manajemen risiko, melaporkan insiden besar kepada pihak yang berwenang, dan menjalankan program pengujian ketahanan. Hal ini juga mendorong institusi untuk melakukan hal tersebut berbagi intelijen ancaman dengan orang lain.

Persyaratan ini berskala sebanding dengan ukuran perusahaan yang bersangkutan, sehingga bank-bank besar, misalnya, perlu melakukan pengujian lebih lanjut, yang dikenal dalam undang-undang sebagai pengujian penetrasi yang dipicu ancaman (TLPT), yang dimaksudkan untuk meniru pengujian nyata. -serangan dunia maya dunia.

Konsekuensi dari kegagalan mematuhi DORA sangatlah besar, termasuk membatasi atau menangguhkan aktivitas bisnis hingga organisasi mencapai kepatuhan penuh, menurut Madelein van der Hout, analis senior di tim keamanan dan risiko di Forrester.

Organisasi yang tidak patuh dapat dikenakan denda hingga 2% dari omset tahunan globalnya (dengan kata lain, pendapatan kotor), atau 10 juta Euro, mana saja yang lebih tinggi. Penyedia layanan TI pihak ketiga yang dianggap kritis menurut undang-undang tersebut dapat didenda 1% dari omset global harian mereka untuk setiap hari karena ketidakpatuhan.

Meskipun dendanya besar, DORA adalah gambaran yang lebih besar, menurut van der Hout.

“Kepatuhan bukan hanya tentang menghindari denda – ini adalah investasi dalam ketahanan dan kepercayaan operasional jangka panjang,” kata van der Hout.

Sampai batas tertentu, tidak ada satu pun elemen kunci DORA yang baru bagi bank-bank UE atau AS. Risiko pihak ketiga telah menjadi fokus regulator bank AS selama bertahun-tahun, dan persyaratan pelaporan insiden semakin ketat.

Meskipun DORA memberikan variasi pada beberapa persyaratan ini, DORA juga bertujuan untuk mendefragmentasi lingkungan peraturan yang dihadapi bank-bank Eropa saat ini. Harmonisasi peraturan ini juga merupakan tema dari upaya AS baru-baru ini.

“DORA menetapkan kerangka peraturan tunggal, menggabungkan semua pedoman sebelumnya yang dikeluarkan oleh otoritas pengawas Eropa serta praktik terbaik Eropa dan internasional dalam ketahanan siber dan manajemen risiko (TI),” jelas Karine Pariente, mitra di PwC Prancis, dalam kertas putih perusahaan. “Peraturan baru ini akan membuat semua peraturan yang ada konsisten dalam hal risiko TI, keamanan siber, manajemen pihak ketiga, dan kelangsungan bisnis.”

Tema lain dari peraturan perundang-undangan itu sejalan dengan tren keamanan siber AS Apakah tata kelola risiko diterapkan sepenuhnya pada dewan direksi perusahaan, sehingga menyisakan sedikit ruang bagi dewan direksi untuk mengabaikan risiko ketahanan yang dihadapi perusahaan.

Untuk setiap perusahaan yang diatur, DORA membentuk apa yang disebut “badan manajemen” — sebuah istilah yang definisinya berbeda-beda di setiap negara anggota tetapi umumnya mencakup dewan, menurut pengacara Mayer Brown — bertanggung jawab untuk menentukan strategi ketahanan bisnis digital perusahaan, mengawasi kebijakan kelangsungan bisnis, meninjau insiden besar dan dampaknya terhadap bisnis, serta menyetujui dan meninjau layanan TI pihak ketiga.

“Badan manajemen memiliki tanggung jawab utama untuk mendefinisikan, menyetujui dan mengawasi kerangka manajemen risiko organisasi (TI),” tulis Ana Hadnes Bruder dan Benjamin Beck, masing-masing mitra dan penasihat di Mayer Brown. Artinya, sebagai aturan umum, tanggung jawab badan pengelola dunia maya tidak dapat didelegasikan kepada pihak ketiga.