Η Ευρωπαϊκή Κεντρική Τράπεζα ανακοίνωσε σήμερα την ολοκλήρωση του τελικού οδηγού για την εξωτερική ανάθεση υπηρεσιών υπολογιστικού νέφους από τις τράπεζες, ο οποίος στοχεύει στη διασφάλιση ενιαίων πρακτικών διαχείρισης κινδύνων και στη συνεπή εφαρμογή του ευρωπαϊκού κανονισμού για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA). Ο οδηγός διευκρινίζει τις εποπτικές προσδοκίες της ΕΚΤ ως προς τη συμμόρφωση των πιστωτικών ιδρυμάτων με τις απαιτήσεις του νέου κανονιστικού πλαισίου και παρέχει τεχνικές οδηγίες για την αποτελεσματική διαχείριση των κινδύνων που σχετίζονται με την εξωτερική ανάθεση σε τρίτους παρόχους υπηρεσιών cloud.
Η τελική μορφή του οδηγού διαμορφώθηκε έπειτα από δημόσια διαβούλευση, κατά την οποία κατατέθηκαν συνολικά 696 σχόλια από 26 συμμετέχοντες. Η ΕΚΤ ενσωμάτωσε τις παρατηρήσεις αυτές και προχώρησε σε περαιτέρω διευκρινίσεις, διαχωρίζοντας με σαφήνεια τις απαιτήσεις που προκύπτουν απευθείας από τον κανονισμό DORA από τις ορθές πρακτικές που προτείνει η ίδια, με στόχο να διασφαλιστεί ότι η εφαρμογή του οδηγού λαμβάνει υπόψη την αρχή της αναλογικότητας. Το κείμενο περιλαμβάνει λεπτομερείς κατευθύνσεις για τη διαχείριση κινδύνων, την επιχειρησιακή συνέχεια, την προστασία των δεδομένων, τη διαχείριση κρίσιμων λειτουργιών και τη διασφάλιση αποτελεσματικής αποκατάστασης λειτουργίας σε περιπτώσεις καταστροφής.
Ιδιαίτερη βαρύτητα δίνεται στον κίνδυνο συγκέντρωσης, καθώς η εξάρτηση των τραπεζών από περιορισμένο αριθμό μεγάλων παρόχων υπολογιστικού νέφους δημιουργεί σημαντικές προκλήσεις. Η ΕΚΤ ζητά από τα εποπτευόμενα ιδρύματα να προχωρούν σε συστηματική εκτίμηση των κινδύνων εγκλωβισμού σε συγκεκριμένους παρόχους, να διαμορφώνουν εναλλακτικά σενάρια διαχείρισης και να λαμβάνουν υπόψη τόσο τις τεχνικές όσο και τις νομικές διαστάσεις της πιθανής διακοπής συνεργασίας με έναν πάροχο. Παράλληλα, τα χρηματοπιστωτικά ιδρύματα καλούνται να διασφαλίζουν τη διαθεσιμότητα, την ανθεκτικότητα και την ασφάλεια των δεδομένων, να εφαρμόζουν τακτικές δοκιμές σχεδίων αποκατάστασης, να υιοθετούν κρυπτογράφηση στη μεταφορά, στην αποθήκευση και –όπου είναι δυνατό– στη χρήση δεδομένων, καθώς και να προβαίνουν σε τακτική επανεξέταση συμβάσεων και εσωτερικών πολιτικών.
Ο οδηγός υπογραμμίζει επίσης τη σημασία της συμμόρφωσης με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), ζητώντας από τις τράπεζες να καταγράφουν και να αξιολογούν τις δικαιοδοσίες στις οποίες οι πάροχοι μπορούν να αποθηκεύουν ή να επεξεργάζονται τα δεδομένα τους, λαμβάνοντας υπόψη ενδεχόμενους νομικούς και πολιτικούς κινδύνους. Επιπλέον, καθίσταται υποχρεωτική η ύπαρξη συγκεκριμένων σχεδίων επιχειρησιακής συνέχειας και σχεδίων αποκατάστασης της λειτουργίας, ώστε να διασφαλίζεται ότι ακόμη και σε περιπτώσεις σοβαρών συμβάντων, όπως κυβερνοεπιθέσεις ή φυσικές καταστροφές, η λειτουργία των τραπεζικών υπηρεσιών θα συνεχίζεται απρόσκοπτα.
Σύμφωνα με την ΕΚΤ, ο οδηγός δεν εισάγει νέες υποχρεώσεις πέραν όσων προβλέπονται ήδη από το DORA, αλλά αποσαφηνίζει το πλαίσιο εφαρμογής των υφιστάμενων κανόνων για τις εποπτευόμενες τράπεζες, ενισχύοντας τη διαφάνεια και τη συνέπεια στην εποπτεία. Η υιοθέτηση των εποπτικών προσδοκιών και των τεχνικών οδηγιών που περιγράφονται στον οδηγό αποτελεί πλέον κεντρικό σημείο για την αξιολόγηση της ανθεκτικότητας και της συμμόρφωσης των χρηματοπιστωτικών οργανισμών που κάνουν χρήση υπηρεσιών υπολογιστικού νέφους στην Ευρωζώνη.
Χρήστος Κοτσακάς – infocom.gr