DORA: هل مؤسستك مستعدة لمتطلبات المرونة الرقمية؟
الامتثال لقانون DORA: ضرورة استراتيجية لتعزيز المرونة الرقمية
في عالم الخدمات المالية المتسارع، لم يعد الامتثال لقانون المرونة التشغيلية الرقمية (DORA) مجرد خيار، بل أصبح ضرورة استراتيجية قصوى. يُعرف DORA، واسمه الكامل "لائحة الاتحاد الأوروبي 2022/2554 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 14 ديسمبر 2022 بشأن المرونة التشغيلية الرقمية للقطاع المالي"، بكونه إطارًا تنظيميًا شاملًا يهدف إلى تعزيز أمان تقنية المعلومات والاتصالات (ICT) والمرونة التشغيلية للكيانات المالية داخل الاتحاد الأوروبي وخارجه. بعد ستة أشهر من دخوله حيز التنفيذ في يناير الماضي (مع العلم أن تاريخ التطبيق الفعلي هو 17 يناير 2025)، كشفت الأبحاث أن 96% من مؤسسات الخدمات المالية في أوروبا والشرق الأوسط وأفريقيا (EMEA) لا تزال تسعى جاهدة لتحسين مرونتها لتلبية متطلبات DORA الصارمة.
يركز قانون DORA على ثلاثة محاور رئيسية لتعزيز المرونة التشغيلية الرقمية: الإبلاغ عن الحوادث، إدارة مخاطر الأطراف الثالثة، واختبار المرونة. ومع ذلك، تواجه هذه المؤسسات تحديات كبيرة في تحقيق الامتثال الكامل لهذه المتطلبات الحاسمة.
أحد أبرز هذه التحديات هو الضغط المتزايد على فرق تكنولوجيا المعلومات والأمن، حيث ذكر 41% من المؤسسات أن هذا الضغط يشكل عائقاً كبيراً أمام الامتثال لـ DORA. وقد عانى قطاع الأمن السيبراني بشكل عام من الإجهاد والإرهاق بسبب طبيعة العمل عالية الضغط وسريعة الوتيرة. ولكن، يمكن التخفيف من هذه المشكلة من خلال اعتماد نهج أكثر شمولية. بدلاً من التعامل مع DORA كمشروع إضافي، يجب على المنظمات دمج متطلباته في خطة أوسع لمرونة البيانات، باستخدام نماذج نضج مرونة البيانات (DRMM). هذا النهج لا يقلل فقط من الضغط الفوري على الفرق، بل يؤدي أيضاً إلى تحسين شامل في مرونة البيانات وتعزيز الأمن السيبراني.
تحدي الاختبارات والمرونة التشغيلية
على الصعيد العملي، كانت نقطة الخلاف التقنية الأكبر في قانون DORA تتمحور حول الاختبار. ما يقرب من ربع (24%) المؤسسات المالية في منطقة أوروبا والشرق الأوسط وأفريقيا لم تقم بإنشاء اختبارات لاستعادة البيانات واستمرارية العمل، و23% منها لم تجرِ اختبارات المرونة التشغيلية الرقمية بعد. ومع تزايد انتشار الاختراقات الأمنية، لا تستطيع المؤسسات تأجيل الاختبارات لفترة أطول. فمن غير المجدي تطبيق تدابير جديدة إذا كان أول استخدام لها يحدث أثناء وقوع حادث، حيث قد تفشل عندما تكون الحاجة إليها ماسة. يفرض DORA إجراء اختبارات صارمة للمرونة التشغيلية، بما في ذلك اختبارات الاختراق المستندة إلى التهديدات (TLPT)، لضمان قدرة المؤسسات المالية على تحديد ومعالجة الثغرات الأمنية بشكل استباقي وفعال (المصدر: IBM، تاريخ النشر: 29 يوليو 2025).
أهمية الاختبارات في تعزيز مرونة البيانات
بناء ثقافة أمن سيبراني قوية
إدارة مخاطر طويلة الأمد
ضمان استمرارية الأعمال
حماية سمعة المؤسسة
قد يكون إجراء الاختبار الأول أمراً مخيفاً خشية ما قد يكشفه من نقاط ضعف، ولكنه غالباً ما يكون أفضل نقطة انطلاق لمعالجة مرونة البيانات. لا يقتصر الأمر على طلب DORA لذلك، بل يعزز المرونة بما يتجاوز متطلبات التنظيم الأخرى، حيث يسهم في بناء ثقافة قوية للأمن السيبراني وإدارة المخاطر على المدى الطويل، مما يعود بالنفع على استمرارية الأعمال وحماية سمعة المؤسسة.
تحديات الإشراف على الأطراف الثالثة ومتطلبات DORA
تحديات وحلول الإشراف على الأطراف الثالثة
تعقيد شبكات الأطراف الثالثة (متوسط 88 شريكًا)
صعوبة تتبع وتقييم المخاطر الأمنية بشكل موحد
المطالبة بنماذج المسؤولية المشتركة
إعادة التفاوض بشأن اتفاقيات مستوى الخدمة (SLAs)
من المتطلبات الأكثر إرباكاً في DORA كان الإشراف على الأطراف الثالثة. وصف أكثر من ثلث (34%) المؤسسات هذا الأمر بأنه "الأكثر صعوبة في التنفيذ"، ولم يتمكن 20% منها من القيام بذلك بعد. يعود السبب في ذلك إلى أن معظم المؤسسات قللت ببساطة من نطاق شبكات الأطراف الثالثة لديها. ومع أن المؤسسة الواحدة تعمل في المتوسط مع 88 شريكاً من الأطراف الثالثة، فإن عدد اتصالات الشبكة يتزايد بسرعة خارج السيطرة. تشمل التحديات الرئيسية في إدارة مخاطر الأطراف الثالثة بموجب DORA، صعوبة تتبع جميع مقدمي الخدمات من الأطراف الثالثة، وتقييم مخاطرهم الأمنية بشكل موحد، وضمان التوافق مع معايير DORA عبر سلسلة التوريد الرقمية بأكملها (المصدر: Entrust).
في السابق، ربما كانت المؤسسات المالية راضية بالاعتماد على البائعين الخارجيين الذين يقدمون حلول "الصندوق الأسود"، لكن DORA يطالبها بالتحقيق بشكل أعمق. فقد تكون المؤسسات في السابق تعتمد على حلول تفترض أن المرونة مدمجة فيها، بينما كانت في الواقع عرضة للخطر. الآن، يُطلب من مؤسسات الخدمات المالية التعمق أكثر، والمطالبة بنماذج المسؤولية المشتركة التي تحدد المسؤوليات الأمنية لكل طرف في الشراكة لضمان المرونة التشغيلية الرقمية الشاملة.
لا يوجد حل سهل لهذه المشكلة. ستحتاج مؤسسات الخدمات المالية في جميع أنحاء الاتحاد الأوروبي إلى إعادة التفاوض بشأن اتفاقيات مستوى الخدمة (SLAs) مع جميع شركاء الأطراف الثالثة. وهذا ليس بالمهمة السهلة، وسيتطلب مشاركة فرق الأمن والمخاطر والإدارة والقانون لتحقيقه، ولكنه جزء أساسي من تحسين مرونة البيانات وتأمين سلاسل التوريد الرقمية الحساسة.
بناء الثقة والمرونة الشاملة لامتثال DORA
نقطة انطلاق DORA: استخدم القانون كمنبه لتقييم القدرات الحالية.
طرح الأسئلة الصعبة: تقييم مرونة المؤسسة وشبكات الموردين.
الاختبارات الصارمة والمستمرة: الكشف عن نقاط الضعف الفريدة ومعالجتها.
النتائج: بناء ثقة أقوى في مرونة البيانات واستقرار القطاع المالي.
لا يمكن لمؤسسات الخدمات المالية في منطقة أوروبا والشرق الأوسط وأفريقيا تعزيز ثقتها في مرونة البيانات بين عشية وضحاها. سيكون الطريق طويلاً، ومن المرجح أن تكون هناك بعض العقبات. ولكن، إذا بدأت العمل الآن، واعتمدت نهجاً شاملاً لمرونة البيانات بدلاً من نهج "التنظيم حسب التنظيم"، فستحصل فرقها ومرونة بياناتها على دفعة كبيرة، مما يضمن الامتثال لـ DORA ويساهم في بناء مستقبل مالي رقمي أكثر أمانًا.
بدلاً من تأجيل الأمر ليوم آخر، يجب على المؤسسات طرح الأسئلة الصعبة حول مرونتها اليوم. وباستخدام قانون DORA كنقطة انطلاق ومنبه، يمكنها تقييم قدراتها الخاصة وكذلك قدرات شبكات الموردين من الأطراف الثالثة. لا يهم حجم النصائح التي تتلقاها، فلن تتمكن من معالجة نقاط ضعفها الفريدة في مرونة البيانات إلا إذا عرفت ما هي، ولا يمكن الكشف عن ذلك إلا من خلال الاختبارات الصارمة والمستمرة.
قد يزعزع ذلك ثقة المؤسسة على المدى القصير، كما اكتشف الكثيرون بالفعل. ولكن إذا تم اتخاذ الإجراء الصحيح، فسيؤدي ذلك على المدى الطويل إلى بناء ثقة أقوى من أي وقت مضى في مرونة البيانات، سواء فيما يتعلق بـ DORA أو ما بعدها، مما يعزز الاستقرار والأمان في القطاع المالي.
