Η Σχέση μεταξύ DORA και GDPR

Μια Συμπληρωματική Προσέγγιση για την Ψηφιακή Ανθεκτικότητα και την Προστασία Δεδομένων στον Χρηματοπιστωτικό Τομέα

Το παρόν άρθρο επιχειρεί μια ολοκληρωμένη ανάλυση της μεταξύ τους σχέσης των κανονισμών DORA και GDPR , εστιάζοντας στις συνέργειες, τις διαφοροποιήσεις και τις πρακτικές επιπτώσεις για τους φορείς εφαρμογής.

Χάρης Αλεβιζόπουλος

Δικηγόρος, Group DPO Optima bank A.E.
LLM in Public International Law, MSc in Banking & Finance Law

Στέργιος Κωνσταντίνου,Δικηγόρος, Επικεφαλής Δικηγορικού Γραφείου «Στέργιος Κωνσταντίνου & Συνεργάτες – SGKLegal»
Advanced LLM – IP & ICT Law,
CIPP/E, CIPM, FIP IAPP Co – Chapter Chair

Στο διαρκώς εξελισσόμενο τοπίο της ψηφιακής οικονομίας, οι Χρηματοπιστωτικές Οντότητες (ΧΟ) βρίσκονται αντιμέτωπες με αυξανόμενους κινδύνους στον κυβερνοχώρο και απαιτήσεις κανονιστικής συμμόρφωσης. Ο Κανονισμός (ΕΕ) 2022/2554 (DORA) και ο Κανονισμός (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων – GDPR/ΓΚΠΔ) αποτελούν δύο πυλώνες της ενωσιακής πολιτικής για την ψηφιακή ασφάλεια και την προστασία προσωπικών δεδομένων.

Πεδίο εφαρμογής DORA

O DORA (Digital Operational Resilience Act) αποτελεί τη νέα, ολιστική, κανονιστική προσέγγιση για την αντιμετώπιση των ψηφιακών κινδύνων και των κινδύνων στον κυβερνοχώρο σε ό,τι αφορά τον χρηματοπιστωτικό τομέα. Αποτελεί πρωτοβουλία της ΕΕ στο πλαίσιο της Δέσμης Μέτρων για τον Ψηφιακό Χρηματοοικονομικό Τομέα (Digital Finance Package). Δημοσιεύθηκε στις 27 Δεκεμβρίου 2022 και τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023. Η ευθεία εφαρμογή του στο σύνολο των κρατών-μελών της Ένωσης έχει ξεκινήσει την 17η Ιανουαρίου 2025.

Ο DORA εστιάζει πρωτίστως στη θέσπιση ενιαίων απαιτήσεων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών των Χρηματοπιστωτικών Οντοτήτων (ΧΟ) για την επίτευξη υψηλού κοινού επιπέδου ψηφιακής επιχειρησιακής ανθεκτικότητας. Θίγει τη διάρθρωση των δομών διακυβέρνησης των υπόχρεων ΧΟ (financial entities – FEs), τις διαδικασίες αναφοράς στις αρμόδιες αρχές περιστατικών, που σχετίζονται με τις τεχνολογίες πληροφοριών και επικοινωνιών (information and communication technology – ICT), τη διαχείριση κινδύνου σε σχέση με τρίτους παρόχους υπηρεσιών ICT και την ενισχυμένη εποπτεία των κρίσιμων παρόχων υπηρεσιών ICT.

Στο πεδίο εφαρμογής του DORA εμπίπτουν ΧΟ, μεταξύ άλλων πιστωτικά ιδρύματα, ιδρύματα πληρωμών, επιχειρήσεις επενδύσεων, οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας και πάροχοι υπηρεσιών κρυπτοστοιχείων.

Κοινός παρονομαστής, η Αρχή της Αναλογικότητας

Ο DORA ενσωματώνει ρητά την αρχή της αναλογικότητας σύμφωνα με την οποία η εφαρμογή της πρέπει να τελεί σε αναλογία με το μέγεθος, το συνολικό προφίλ κινδύνου κάθε ΧΟ και τη φύση, την κλίμακα και την πολυπλοκότητα των υπηρεσιών, δραστηριοτήτων και λειτουργιών της.
Πέντε Βασικές Κατηγορίες Κανόνων του DORA ως προς:

τη διαχείριση κινδύνων τεχνολογιών των πληροφοριών και των επικοινωνιών (ΤΠΕ),
την αναφορά συμβάντων,
τις δοκιμές επιχειρησιακής ανθεκτικότητας,
τη παρακολούθηση των κινδύνων τρίτων παρόχων ΤΠΕ,
την ανταλλαγή πληροφοριών σχετικά με κυβερνοαπειλές και ευπάθειες.

Αλληλεπίδραση DORA & GDPR

Ο DORA δεν σκοπεί στην αντικατάσταση του υφιστάμενου ρυθμιστικού πλαισίου προστασίας προσωπικών δεδομένων και ειδικότερα του GDPR. Οι δύο Κανονισμοί, αλληλοσυμπληρώνονται, έχοντας κοινό στόχο: την προστασία της ασφάλειας, της εμπιστευτικότητας και της ακεραιότητας των δεδομένων καθώς επίσης των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων στον ψηφιακό κόσμο. Οι απαιτήσεις του DORA θεωρούνται ευρύτερες και σε πολλές περιπτώσεις η εναρμόνιση των ΧΟ με αυτές συνεπάγονται και εναρμόνιση με τις υποχρεώσεις του GDPR. Ωστόσο λαμβανομένου υπόψη ότι πρόκειται για διαφορετικούς Κανονισμούς, οι ΧΟ οφείλουν να αναγνωρίζουν και να εφαρμόζουν τις υποχρεώσεις κάθε Κανονισμού ξεχωριστά.

Σημαντικό πεδίο συνάντησης αλλά και διαφοροποίησης ταυτόχρονα των ανωτέρω Κανονισμών, συνιστούν τα περιστατικά παραβίασης προσωπικών δεδομένων (data breaches) και τα αντίστοιχα συνδεόμενα με ΤΠΕ (ICT-related incidents). Υπό τον GDPR, οι ΧΟ, ως Υπεύθυνοι Επεξεργασίας (Data Controllers), υποχρεούνται να αναφέρουν -υπό συγκεκριμένες προϋποθέσεις- στην αρμόδια Εποπτική Αρχή ή/και στα υποκείμενα των δεδομένων, τυχόν παραβίαση, ενώ αντίστοιχη υποχρέωση αναφοράς σε Εποπτική Αρχή ή/και σε πελάτες τους έχουν οι ΧΟ για περιστατικά ΤΠΕ. Περιστατικό παραβίασης ΤΠΕ ενδέχεται να συνιστά παράλληλα περιστατικό παραβίασης προσωπικών δεδομένων και αντίστροφα, συνεπώς οι ΧΟ υποχρεούνται σε διαφορετικές αναφορές ενώπιον αρμόδιων Εποπτικών Αρχών βάσει των ανωτέρω Κανονισμών. Οι τελευταίοι διαφοροποιούνται ως προς τις προθεσμίες, καθώς ο GDPR ορίζει προθεσμία 72 ωρών από τη στιγμή που η ΧΟ αντιληφθεί την παραβίαση προσωπικών δεδομένων ενώ ο DORA διαβαθμίζει τις αναφορές σε αρχική, ενδιάμεση και τελική ορίζοντας ένα γενικότερο πλαίσιο προθεσμίας «μέχρι τέλους εργάσιμης ημέρας» (end of business day) ως προς την αρχική αναφορά.
Υπό τον DORA οι ΧΟ οφείλουν να διενεργούν τακτική και ολοκληρωμένη αξιολόγηση πιθανών κινδύνων ΤΠΕ, η οποία περιλαμβάνει τον εντοπισμό, την κατηγοριοποίηση και τον μετριασμό συνεπειών πιθανών κυβερνοεπιθέσεων, δυσλειτουργιών ΤΠΕ και λοιπών ψηφιακών απειλών. Η ανωτέρω αξιολόγηση επεκτείνεται στην κάλυψη πιθανών κινδύνων για την προστασία προσωπικών δεδομένων και ιδιωτικότητας. Οι ΧΟ οφείλουν να εξετάζουν προσεκτικά πιθανά σενάρια παραβίασης προσωπικών δεδομένων, περιλαμβανομένων της μη εξουσιοδοτημένης πρόσβασης και απώλειας δεδομένων εξαιτίας ακατάλληλων, ανεπαρκών τεχνικών μέτρων. Από την άνω αξιολόγηση οι ΧΟ αποκτούν μια ολιστική εικόνα πιθανών κινδύνων ως προς τα αντικείμενα των δύο Κανονισμών.
Κατά τη διαδικασία σύνταξης και υιοθέτησης πολιτικών που απαιτεί ο DORA, οι ΧΟ διασφαλίζουν ότι είναι πλήρως εναρμονισμένοι με τις αρχές και τις υποχρεώσεις του GDPR, όπως την αρχή της ελαχιστοποίησης των δεδομένων ή την προστασία δεδομένων εξ ορισμού (by default) και από τον σχεδιασμό (by design). Για παράδειγμα εάν οι ΧΟ βάσει GDPR οφείλουν να διενεργήσουν Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (ΕΑΠΔ/DPIA), ενδέχεται να ελεγχθούν και επανεκτιμηθούν τα επίπεδα ασφαλείας των συστημάτων ΤΠΕ. Παράλληλα, οι πολιτικές/διαδικασίες διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων χρειάζεται να ενσωματώνουν υποχρεώσεις αναφοράς κατά τα ανωτέρω υπό το πρίσμα και των δύο Κανονισμών. Αυτές οι πολιτικές/διαδικασίες είναι σημαντικό να λειτουργούν ταυτόχρονα και συμπληρωματικά προς διασφάλιση των ΤΠΕ και της προστασίας δεδομένων.
Ο DORA υποχρεώνει τις ΧΟ να επιβλέπουν αποτελεσματικά τους παρόχους υπηρεσιών ΤΠΕ, ειδικά στις περιπτώσεις ανάθεσης κρίσιμων λειτουργιών ή/και υπηρεσιών τους. Ταυτόχρονα οι ΧΟ θα πρέπει να επανεξετάσουν τις συμβάσεις τους ως προς την προστασία προσωπικών δεδομένων, προκειμένου να διασφαλίσουν ότι περιλαμβάνουν όχι μόνο υποχρεωτικούς όρους λόγω απαιτήσεων, που εισήχθησαν από τον GDPR (βλ. όρους για Εκτελούντες την Επεξεργασία – DPA) αλλά και πρόσθετες απαιτήσεις ασφαλείας, ανθεκτικότητας και προστασίας δεδομένων, που εισήχθησαν από τον DORA.

Συμπέρασμα

Ο DORA σηματοδοτεί μια καίρια ρυθμιστική καμπή της ΕΕ με στόχο την ενδυνάμωση της ψηφιακής ανθεκτικότητας των ΧΟ. Οι υπόχρεες εταιρείες (βλ. ΠΙ κλπ.) θα πρέπει να λάβουν άμεσα δράση για να ευθυγραμμίσουν τη διαχείριση κινδύνων ICT, την εποπτεία των τρίτων παρόχων και το πλαίσιο αναφοράς περιστατικών με τις απαιτήσεις του DORA. Η μη συμμόρφωση μπορεί να οδηγήσει σε σημαντική διακινδύνευση για τις υπόχρεες εταιρείες, τόσο από οικονομική άποψη, όσο και από άποψη φήμης. Έχουσες ωστόσο την εμπειρία εφαρμογής του GDPR και της «επανάστασης» που έφερε ο τελευταίος στην υιοθέτηση μέτρων για την προστασία των προσωπικών δεδομένων, εκτιμάται ότι θα προσαρμοσθούν άμεσα, αντιμετωπίζοντας δραστικά τους hackers και τις απειλές των κυβερνοεπιθέσεων.

Όταν η Τεχνητή Νοημοσύνη Αναλαμβάνει Δράση, η Ασφάλεια Γίνεται Αποστολή

Η 360° Στρατηγική Κυβερνοασφάλειας της FORTINET

AWS re:Invent 2025: Εκεί που η καινοτομία γίνεται εμπειρία και διαμορφώνει το μέλλον

Το marketing του μέλλοντος δεν θέλει creators θέλει.. curators νοήματος

AI, Cybersecurity και Κανονισμοί – Ο Τριπλός Πυλώνας της Ψηφιακής Ασφάλειας

EU AI Act & Κυβερνοασφάλεια

Κυβερνοασφάλεια και Τεχνητή Νοημοσύνη στις Ελληνικές Επιχειρήσεις το 2026

AI και Cybersecurity: Παρελθόν, Παρόν, Μέλλον και ο ρόλος του CISO

Τεχνητή Νοημοσύνη με Επίκεντρο τον Άνθρωπο

Από το SOC.. στο Risk Operation Center

Security και AI, μια σχέση αλληλένδετη με λαμπρό μέλλον

Τεχνητή Νοημοσύνη στην Κυβερνοασφάλεια: Υπόσχεση, Κίνδυνος και το Playbook για το 2026

Mitigating Confabulation with Hallucination aka “AI, Captain!”

Η Σημασία της Τεχνητής Νοημοσύνης στην Κυβερνοασφάλεια

Τεχνητή Νοημοσύνη στην Κυβερνοασφάλεια

Η Τεχνητή Νοημοσύνη μετασχηματίζει την κυβερνοάμυνα και αναβαθμίζει την αντίληψη του κινδύνου

Αντιμετωπίζοντας τις Αυτοματοποιημένες Επιθέσεις Agentic AI με ThreatSync+ NDR

ESET: Γιατί το Shadow AI Είναι το Νέο Τυφλό Σημείο σας

Από τους Χειμώνες της ΑΙ στην Άνοιξη των Μηχανών

Deepfakes, Social Engineering και Τεχνητή Νοημοσύνη

Palo Alto Networks: Οδηγώντας τη Συμμόρφωση, την Ασφάλεια AI και την Καινοτομία

Τεχνητή Νοημοσύνη και Κυβερνοασφάλεια

Τεχνητή Νοημοσύνη και Ασφάλιση Κυβερνοκινδύνων: Πλοήγηση στη Νέα Εποχή

ΤΝ: Σύμμαχος ή Απειλή;

Voice of the CISO 2025 – Η πραγματική εικόνα της κυβερνοασφάλειας από την PeS Cybersecurity & Proofpoint

The State of Cybersecurity 2025 – Αποτελέσματα και Συμπεράσματα

Redgate Monitor: Η ολοκληρωμένη λύση στην προληπτική διαχείριση βάσεων δεδομένων

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

“Στη γραμμή των οριζόντων: Από τη Μαδρίτη στην επόμενη μέρα της κυβερνοασφάλειας”

Τεχνολογική Καινοτομία, Εμπιστοσύνη και Ανθρωποκεντρική Προσέγγιση – Οι Πυλώνες Ανάπτυξης της ORTHOLOGY

Kaspersky Horizons 2025: AI, Ransomware και Κβαντική Εποχή: Η νέα γεωγραφία των ψηφιακών απειλών