Perusahaan layanan keuangan dan pemasok teknologi digital mereka berada di bawah tekanan intens untuk mencapai kepatuhan dengan aturan baru yang ketat dari UE yang meminta mereka untuk meningkatkan ketangguhan siber mereka.
Pada awal tahun depan, perusahaan layanan keuangan dan pemasok teknologi mereka harus memastikan bahwa mereka patuh dengan undang-undang baru dari Uni Eropa yang dikenal sebagai DORA, atau Undang-undang Ketangguhan Operasional Digital.
CNBC menjelaskan apa yang perlu Anda ketahui tentang DORA — termasuk apa itu, mengapa penting, dan apa yang dilakukan bank untuk memastikan mereka siap menghadapinya.
Apa itu DORA?
DORA mensyaratkan bank, perusahaan asuransi, dan investasi untuk memperkuat keamanan IT mereka. Regulasi UE juga bertujuan untuk memastikan industri jasa keuangan tangguh dalam menghadapi gangguan berat terhadap operasi.
Gangguan tersebut bisa termasuk serangan ransomware yang menyebabkan komputer perusahaan keuangan mati, atau serangan DDOS (distribusi penolakan layanan) yang membuat situs web suatu perusahaan offline.
Regulasi juga bertujuan untuk membantu perusahaan menghindari peristiwa pemadaman besar, seperti keruntuhan IT historis bulan lalu yang disebabkan oleh perusahaan siber CrowdStrike ketika pembaruan perangkat lunak sederhana yang dikeluarkan oleh perusahaan tersebut membuat sistem operasi Windows Microsoft crash.
Banyak bank, perusahaan pembayaran, dan perusahaan investasi — mulai dari JPMorgan Chase dan Santander, hingga Visa dan Charles Schwab — tidak dapat memberikan layanan karena pemadaman tersebut. Perusahaan-perusahaan ini memerlukan beberapa jam untuk mengembalikan layanan kepada konsumen.
Masa depan, peristiwa seperti itu akan masuk ke dalam jenis gangguan layanan yang akan diawasi sesuai dengan aturan yang akan datang dari UE.
Mike Sleightholme, presiden perusahaan fintech Broadridge International, mencatat bahwa faktor utama dari DORA adalah bahwa tidak hanya fokus pada apa yang dilakukan bank untuk memastikan ketangguhan — tetapi juga melihat dengan cermat pemasok teknologi perusahaan.
Dibawah DORA, bank akan diwajibkan untuk melakukan manajemen risiko IT yang ketat, manajemen insiden, klasifikasi dan pelaporan, pengujian ketangguhan operasional digital, informasi dan berbagi intelijen terkait ancaman siber dan kerentanan, serta langkah-langkah untuk mengelola risiko pihak ketiga.
Perusahaan akan diwajibkan untuk melakukan penilaian terhadap “risiko konsentrasi” terkait dengan outsourcing fungsi operasional kritis atau penting kepada perusahaan eksternal.
Penyedia IT ini sering memberikan “layanan digital penting kepada pelanggan,” kata Joe Vaccaro, manajer umum perusahaan pemantauan kualitas internet milik Cisco, ThousandEyes.
“Para penyedia pihak ketiga ini sekarang harus menjadi bagian dari proses pengujian dan pelaporan, yang berarti perusahaan layanan keuangan perlu mengadopsi solusi yang membantu mereka mengungkap dan memetakan ketergantungan yang terkadang tersembunyi dengan para penyedia,” katanya kepada CNBC.
Bank juga harus “mengembangkan kemampuan mereka untuk menjamin pengiriman dan kinerja pengalaman digital di seluruh infrastruktur yang mereka miliki, bukan hanya yang mereka miliki,” tambah Vaccaro.
Kapan undang-undang ini berlaku?
DORA mulai berlaku pada 16 Januari 2023, tetapi aturan tersebut tidak akan diberlakukan oleh negara-negara anggota UE hingga 17 Januari 2025.
UE telah memberikan prioritas pada reformasi ini karena sektor keuangan semakin bergantung pada teknologi dan perusahaan teknologi untuk memberikan layanan penting. Hal ini membuat bank dan penyedia layanan keuangan lainnya lebih rentan terhadap serangan siber dan peristiwa lainnya.
“Saat ini, banyak fokus pada manajemen risiko pihak ketiga,” kata Sleightholme kepada CNBC. “Bank menggunakan penyedia layanan pihak ketiga untuk bagian penting dari infrastruktur teknologi mereka.”
“Objektif waktu pemulihan yang ditingkatkan adalah bagian penting dari hal itu. Ini benar-benar tentang keamanan seputar teknologi, dengan fokus khusus pada pemulihan keamanan siber dari peristiwa siber,” tambahnya.
Banyak reformasi kebijakan digital UE dari beberapa tahun terakhir cenderung fokus pada kewajiban perusahaan untuk memastikan sistem dan kerangka kerja mereka cukup kuat untuk melindungi terhadap peristiwa merugikan seperti kehilangan data kepada peretas atau individu dan entitas yang tidak sah.
General Data Protection Regulation UE, atau GDPR, misalnya, mensyaratkan perusahaan untuk memastikan cara mereka memproses informasi yang dapat diidentifikasi secara pribadi dilakukan dengan persetujuan, dan bahwa informasi tersebut ditangani dengan perlindungan yang memadai untuk meminimalkan potensi data tersebut terungkap dalam pelanggaran atau kebocoran.
DORA akan lebih fokus pada rantai pasokan digital bank — yang mewakili dinamika hukum baru, yang potensialnya kurang nyaman bagi perusahaan keuangan.
Apa yang terjadi jika suatu perusahaan tidak mematuhi?
Untuk perusahaan keuangan yang melanggar aturan baru tersebut, otoritas UE akan memiliki kekuatan untuk memberikan denda hingga 2% dari pendapatan global tahunan mereka.
Manajer individu juga dapat dianggap bertanggung jawab atas pelanggaran. Sanksi terhadap individu dalam entitas keuangan dapat mencapai 1 juta euro ($1,1 juta).
Untuk penyedia IT, regulator dapat memberikan denda sebanyak 1% dari pendapatan global rata-rata dalam tahun bisnis sebelumnya. Perusahaan juga dapat dikenai denda setiap hari selama enam bulan sampai mereka mencapai kepatuhan.
Perusahaan IT pihak ketiga yang dianggap “kritikal” oleh regulator UE bisa menghadapi denda hingga 5 juta euro — atau, dalam kasus manajer individu, maksimum 500.000 euro.
Ini sedikit kurang parah daripada undang-undang seperti GDPR, di mana perusahaan bisa didenda hingga 10 juta euro ($10,9 juta), atau 4% dari pendapatan global tahunan mereka — mana yang lebih tinggi.
Carl Leonard, strategis keamanan siber EMEA di perusahaan perangkat lunak keamanan Proofpoint, menekankan bahwa sanksi pidana bisa berbeda dari negara anggota ke negara anggota tergantung pada bagaimana setiap negara UE menerapkan aturan dalam pasar mereka masing-masing.
DORA juga menuntut “prinsip proporsionalitas” dalam hal sanksi sebagai respons terhadap pelanggaran peraturan, tambah Leonard.
Artinya, respon terhadap kegagalan hukum harus seimbang dengan waktu, usaha, dan uang yang dihabiskan perusahaan untuk meningkatkan proses internal dan teknologi keamanan mereka terhadap seberapa kritis layanan yang mereka tawarkan dan data apa yang mereka coba lindungi.
Apakah bank dan pemasok mereka siap?
Stephen McDermid, kepala petugas keamanan EMEA untuk perusahaan keamanan siber Okta, mengatakan kepada CNBC bahwa banyak perusahaan layanan keuangan telah memprioritaskan menggunakan program ketahanan operasional internal yang sudah ada dan program risiko pihak ketiga untuk mematuhi DORA dan “mengidentifikasi celah yang mungkin mereka miliki.”
“Ini adalah tujuan dari DORA, untuk menciptakan keselarasan dari banyak program tata kelola yang sudah ada di bawah otoritas pengawas tunggal dan mengharmonisasikannya di seluruh UE,” tambahnya.
Fredrik Forslund, wakil presiden dan manajer umum internasional di perusahaan sanitasi data Blancco, memperingatkan bahwa meskipun bank dan vendor teknologi telah membuat kemajuan menuju kepatuhan dengan DORA, masih ada “pekerjaan yang harus dilakukan.”
Pada skala dari satu hingga sepuluh — dengan nilai satu mewakili ketidakpatuhan dan sepuluh mewakili kepatuhan penuh — Forslund mengatakan, “Kami berada pada 6 dan kami berusaha keras mencapai 7.”
“Kami tahu bahwa kami harus berada di level 10 pada bulan Januari,” katanya, menambahkan bahwa “tidak semua orang akan mencapai level tersebut pada bulan Januari.”