Introduction
The Digital Operational Resilience Act (Regulation (EU) 2022/2554), hereinafter referred to as "DORA", is an EU regulation that entered into force on the 16th of January 2023 and became applicable as of the 17th of January 2025. The regulation is directly enforceable in Cyprus, from the date that the regulation came into force. The introduction of DORA represents an ambitious step towards strengthening the financial sector by imposing a regulatory framework for assessing and ensuring digital operational resilience of financial entities such as banks, fintech companies, insurance companies and investments firms. Its scope is applicable to a vast range of financial entities as well as certain ICT service providers that assist financial entities. Its focus is on ensuring that all financial entities across the EU have the necessary safeguards to stay resilient in the event of a cyber-attack that could lead to a severe operational disruption and to proactively identify and address potential cyber threats or breaches.
Understanding the scope of 'ICT services'
Following the COVID-19 epidemic, the daily functions and operations of the financial sector have become heavily dependent on the use of information and communication technology and information ("ICT") in digital form. As defined under Article 3(21) of DORA, 'ICT services' means digital and data services provided through ICT systems to one or more internal or external users on an ongoing basis, including hardware as a service and hardware services. This includes the provision of technical support via software or firmware updates by the hardware provider, excluding traditional analogue telephone services.
Industry stakeholders have had differing interpretations of the definition of 'ICT services' under DORA. On 22 January 2025, the European Insurance and Occupational Pensions Authority (EIOPA) published a Q&A providing clarification by the European Commission on the definition of 'ICT services' under DORA. As per the Q&A, the definition is intentionally broad and should be understood in such manner to the extent that such services encompass digital, and data services provided through ICT systems on an ongoing basis. Hence, financial entities are responsible for undertaking an assessment to determine whether the services they rely on are ICT services under the act.
In addition to the above, it was clarified that in cases where financial entities provide ICT services to other financial entities in connection to their financial services, the receiving financial entities should assess whether the services constitute an ICT service under DORA, and whether the providing financial entities and the financial services they provide are regulated under Union law or any national legislation of a Member State or of a third country. Where both tests are deemed to be positive, then the related ICT service should be considered predominantly a financial service and should not be treated as an ICT service within the meaning of Article 3(21).
If the service is offered by a regulated financial entity that provides regulated financial services but is separate or independent from those services, it should be classified as an ICT service under Article 3(21) of DORA. This is an important distinction as different requirements are applicable in each scenario.
Contractual Obligations for ICT providers
Chapter V of DORA focuses on establishing noteworthy obligations in the sphere of managing ICT third-party risk and on the regulation of the contractual arrangements between financial entities and ICT service providers.
Article 28 sets out an extensive list of general principles that includes principles relating to contractual arrangements of financial entities for the use of ICT services, as well as requirements for the ICT risk management framework of the financial entities, aiming to ensure that sufficient oversight mechanisms are in place.
Article 29 focuses on the preliminary assessment of ICT concentration risk at entity level. It lays down some considerations in relation to the contractual arrangements between financial entities and ICT service providers, which includes amongst others the inclusion of provisions for compliance with Union data protection and insolvency laws.
Additionally, Article 30 stresses the key contractual provisions to be included within a contract between a financial entity and an ICT third-party service provider. One of the most important conditions is that Article 30.1 lays down the obligation for the rights and obligation to be outlined clearly and in writing. Article 30.2 also lists numerous high-level and specific requirements to consider when drafting and when entering into an agreement falling under this category.
In summary, DORA's framework introduces a proactive approach to ICT risk management, emphasizing rigorous due diligence, clear contractual terms, and the active role of service providers in incident recovery and security, thereby strengthening financial entities' resilience to ICT disruptions. These legal obligations mark a significant step towards ensuring continuity and security in the European financial sector's ICT operations.
Conclusion
By introducing a single consistent supervisory approach across multiple industries, DORA represents a crucial step in ensuring uniformity and harmonization of security and resilience practices across the EU. This piece of legislation is expected to heavily affect many businesses in the financial sector from 2024 onwards and constitutes a game changer in the regulatory landscape. Even though DORA is a step in the right direction acting as a natural response in the evolution of the cyber threat landscape, it is anticipated that organizations shall need to invest in the implementation of adequate measures for compliance, to avoid penalties of non-compliance. To conclude, it is imperative that sufficient guidelines and knowledge is shared between stakeholders to ease transition and ensure compliance with DORA.
Νομική Ανάλυση: DORA σε ισχύ
Τι οφείλουν να γνωρίζουν τα χρηματοπιστωτικά ιδρύματα και οι πάροχοι υπηρεσιών ΤΠΕ
Εισαγωγή
Ο Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, γνωστός ως Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (Digital Operational Resilience Act – "DORA"), τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 με άμεση εφαρμογή από τις 17 Ιανουαρίου 2025. Ο Κανονισμός εφαρμόζεται άμεσα στα κράτη μέλη, συμπεριλαμβανομένης της Κυπριακής Δημοκρατίας, χωρίς την ανάγκη ενσωμάτωσής του στο εθνικό δίκαιο. Η DORA καθιέρωσε ένα ενιαίο και οριζόντιο κανονιστικό πλαίσιο για την ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων, όπως τραπεζών, ασφαλιστικών εταιρειών, επενδυτικών επιχειρήσεων, εταιρειών χρηματοδοτικής τεχνολογίας (fintech), καθώς και διαχειριστών συλλογικών επενδύσεων. Παράλληλα, καλύπτει και συγκεκριμένους παρόχους υπηρεσιών τεχνολογιών των πληροφοριών και των επικοινωνιών (''ΤΠΕ'') που υποστηρίζουν κρίσιμες λειτουργίες των εν λόγω οντοτήτων.
Κεντρικός σκοπός της DORA είναι η διασφάλιση ότι όλες οι χρηματοοικονομικές οντότητες εντός της Ένωσης διαθέτουν τις κατάλληλες δικλίδες ασφαλείας και μηχανισμούς ελέγχου, ώστε να αντέχουν και να ανταποκρίνονται σε διαδικτυακές απειλές και περιστατικά που μπορούν να προκαλέσουν σοβαρές διαταραχές στη λειτουργία τους.
Καθορισμός των «υπηρεσιών ΤΠΕ»
Η πανδημία COVID-19 κατέδειξε την έντονη εξάρτηση του χρηματοπιστωτικού τομέα από τη ψηφιακή τεχνολογία. Σύμφωνα με το άρθρο 3(21) της DORA, ως υπηρεσίες ΤΠΕ νοούνται οι ψηφιακές και δεδομένες υπηρεσίες που παρέχονται μέσω συστημάτων ΤΠΕ σε ένα ή περισσότερα εσωτερικά ή εξωτερικά μέρη σε συνεχή βάση. Σε αυτές περιλαμβάνονται οι υπηρεσίες υλικού ως υπηρεσία (hardware-as-a-service), η παροχή τεχνικής υποστήριξης, καθώς και οι αναβαθμίσεις λογισμικού/υλικολογισμικού, με εξαίρεση τις παραδοσιακές αναλογικές τηλεφωνικές υπηρεσίες.
Η ερμηνεία του όρου έχει προκαλέσει προβληματισμό μεταξύ των ενδιαφερόμενων μερών. Στις 22 Ιανουαρίου 2025, η Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων (EIOPA), δημοσίευσε επίσημη ανάρτηση με διευκρινίσεις της Ευρωπαϊκής Επιτροπής, σύμφωνα με την οποία ο ορισμός είναι εσκεμμένα ευρύς και πρέπει να ερμηνεύεται ότι περιλαμβάνει κάθε ψηφιακή και δεδομένη υπηρεσία που παρέχεται μέσω ΤΠΕ σε συνεχή βάση.
Οι χρηματοπιστωτικές οντότητες οφείλουν να πραγματοποιούν εσωτερική αξιολόγηση προκειμένου να καθορίσουν κατά πόσο οι υπηρεσίες που χρησιμοποιούν, εμπίπτουν στην έννοια των υπηρεσιών ΤΠΕ, σύμφωνα με τις πρόνοιες της DORA.
Στις περιπτώσεις, όπου μια ρυθμιζόμενη χρηματοπιστωτική οντότητα παρέχει υπηρεσίες ΤΠΕ σε άλλη χρηματοπιστωτική οντότητα, διευκρινίζεται ότι, εάν οι σχετικές υπηρεσίες συνδέονται άρρηκτα με τις ρυθμιζόμενες χρηματοπιστωτικές δραστηριότητες της πρώτης, και εφόσον και τα δύο μέρη υπάγονται στο δίκαιο της Ένωσης ή στην εθνική νομοθεσία κράτους μέλους ή τρίτης χώρας, τότε οι υπηρεσίες αυτές δεν θεωρούνται υπηρεσίες ΤΠΕ, αλλά χαρακτηρίζονται ως χρηματοοικονομικές υπηρεσίες.
Αντιθέτως, εάν οι παρεχόμενες υπηρεσίες ΤΠΕ είναι διακριτές και ανεξάρτητες από τη βασική χρηματοοικονομική δραστηριότητα, τότε υπάγονται στην DORA ως υπηρεσίες ΤΠΕ, σύμφωνα με το άρθρο 3(21).
Συμβατικές Υποχρεώσεις Παρόχων ΤΠΕ
Το Κεφάλαιο V της DORA καθορίζει το πλαίσιο διαχείρισης κινδύνων τρίτων μερών, εστιάζοντας στις συμβάσεις μεταξύ χρηματοπιστωτικών οντοτήτων και παρόχων υπηρεσιών ΤΠΕ.
Το Άρθρο 28 καθορίζει γενικές αρχές για τις συμβατικές ρυθμίσεις και τη συμμόρφωση με το πλαίσιο διακυβέρνησης κινδύνου ΤΠΕ, διασφαλίζοντας επαρκή εποπτεία και έλεγχο από τη μεριά της χρηματοοικονομικής οντότητας.
Το Άρθρο 29 επιβάλλει την υποχρέωση προκαταρκτικής αξιολόγησης του κινδύνου συγκέντρωσης υπηρεσιών ΤΠΕ, και την ενσωμάτωση ρητρών συμμόρφωσης με το δίκαιο της ΕΕ για την προστασία δεδομένων και το δίκαιο αφερεγγυότητας.
Ακολούθως, το Άρθρο 30 θέτει τις βασικές συμβατικές απαιτήσεις, με το άρθρο 30.1 να προβλέπει ότι τα δικαιώματα και οι υποχρεώσεις πρέπει να αποτυπώνονται ρητά και εγγράφως, ενώ το άρθρο 30.2 παραθέτει ειδικές και τεχνικές απαιτήσεις που πρέπει να περιλαμβάνονται σε τέτοιες συμφωνίες.
Συνοπτικά, το πλαίσιο της DORA εισάγει μια προληπτική προσέγγιση στη διαχείριση κινδύνου ΤΠΕ, τονίζοντας την αυστηρή δέουσα επιμέλεια, τους σαφείς συμβατικούς όρους και τον ενεργό ρόλο των παρόχων υπηρεσιών στην ανάκαμψη από περιστατικά και την ασφάλεια, ενισχύοντας έτσι την ανθεκτικότητα των χρηματοπιστωτικών οντοτήτων στις διακοπές ΤΠΕ. Αυτές οι νομικές υποχρεώσεις σηματοδοτούν ένα σημαντικό βήμα προς την εξασφάλιση της συνέχειας και της ασφάλειας στις λειτουργίες ΤΠΕ του ευρωπαϊκού χρηματοπιστωτικού τομέα.
Συμπεράσματα
Με την εισαγωγή μιας ενιαίας και συνεπούς εποπτικής προσέγγισης σε πολλούς κλάδους, η DORA αντιπροσωπεύει ένα κρίσιμο βήμα για την εξασφάλιση της ομοιομορφίας και της εναρμόνισης των πρακτικών ασφάλειας και ανθεκτικότητας σε όλη την ΕΕ. Αυτός ο κανονισμός αναμένεται να επηρεάσει σημαντικά πολλές επιχειρήσεις στον χρηματοπιστωτικό τομέα από το 2024 και αποτελεί έναν καταλύτη αλλαγής στο ρυθμιστικό τοπίο. Παρόλο που η DORA είναι ένα βήμα προς τη σωστή κατεύθυνση, λειτουργώντας ως φυσική αντίδραση στην εξέλιξη του τοπίου των κυβερνοαπειλών, αναμένεται ότι οι οργανισμοί θα χρειαστεί να επενδύσουν στην εφαρμογή κατάλληλων μέτρων για συμμόρφωση, ώστε να αποφύγουν τις ποινές μη συμμόρφωσης. Συμπερασματικά, είναι επιτακτικό να μοιραστούν επαρκείς κατευθυντήριες γραμμές και γνώσεις μεταξύ των ενδιαφερόμενων μερών για να διευκολυνθεί η μετάβαση και να εξασφαλιστεί η συμμόρφωση με την DORA.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
