تخطي إلى المحتوى
الاستعداد للموعد النهائي لإصدار قانون دورانا لعام 2025

نُشرت هذه المدونة لأول مرة في عام 2025 وتم تحديثها.

عندما تبنى الاتحاد الأوروبي قانون المرونة التشغيلية الرقمية (DORA)، كان ذلك بمثابة إشارة إلى تحول جوهري في كيفية تعامل المؤسسات المالية مع الأمن السيبراني وإدارة المخاطر واستمرارية التشغيل. فللمرة الأولى، لم يكتفِ المنظمون بذكر أمن الهوية بشكل عابر، بل قاموا بتضمينه مباشرةً في نسيج الامتثال.

يعترف هذا التطور بحقيقة يعرفها العديد من المتخصصين في مجال الأمن منذ سنوات: أن الهوية هي أساس الأمن الرقمي ومحور المرونة التشغيلية. دعونا نلقي نظرة على ما تغير، والتأثيرات التي سيحدثها قانون DORA على أمن الهوية، والتحديات التي تواجهها المؤسسات المالية، وكيف يجب على مدراء أمن المعلومات الاستعداد لضمان تلبية مؤسساتهم لمتطلبات قانون DORA بحلول الموعد النهائي في عام 2025.

لم يعد أمن الهوية وظيفة تكنولوجيا المعلومات فقط بعد الآن

وبموجب قانون DORA، يجب أن تكون كل عملية رقمية داخل المؤسسة المالية - بدءًا من المدفوعات إلى تأهيل العملاء إلى أنظمة التداول - آمنة ومرنة ومتاحة باستمرار. وهذا يضع أمن الهوية في المقدمة والمركز. لأنك إذا لم تتمكن من التحقق من هوية من يدخل إلى ماذا ومتى ومن أين، فإن استراتيجية الهوية الخاصة بك تنهار.

في الواقع التنظيمي الجديد في قانون DORA، لم تعد الهوية وظيفة تكنولوجيا المعلومات في المكاتب الخلفية. بل أصبحت الآن ضرورة استراتيجية يملكها قادة المخاطر ومسؤولو الامتثال ومدراء الأعمال على حد سواء.

تأثير DORA على أمن الهوية

تتطلب العديد من المواد في DORA بشكل مباشر أو ضمني قدرات قوية لإدارة الهوية والوصول (IAM). على سبيل المثال:

  • التحكم في الوصول والحوكمة: تُلزم DORA المؤسسات بإدارة حقوق وصول المستخدم في الوقت الفعلي وإجراء مراجعات منتظمة للوصول لمنع زحف الامتيازات والوصول غير المصرح به.
  • متطلبات التوثيق: من المتوقع أن تحمي أساليب المصادقة القوية، مثل المصادقة متعددة العوامل (MFA)، الأنظمة من الوصول غير المصرح به.
  • الاستمرارية التشغيلية: يجب على المؤسسات أن تضمن بقاء الوظائف الحيوية متاحة أثناء الحوادث السيبرانية أو الانقطاعات أو الأعطال الإلكترونية. ويشمل ذلك الحفاظ على خدمات الهوية تحت الإكراه.
  • المراقبة والكشف عن الحالات الشاذة: يجب على المؤسسات اكتشاف الحوادث الإلكترونية والاستجابة لها والتعافي منها بسرعة. وتُعد الحالات الشاذة المتعلقة بالهوية، مثل أنماط الوصول غير الاعتيادية، مؤشرات حاسمة.

تؤكد هذه المتطلبات على الحاجة إلى برنامج حديث لأمن الهوية مدرك للمخاطر.

يصادف عام 2025 العام الذي ينتقل فيه الامتثال الآن إلى مراحل الإنفاذ، مما يعني أن المؤسسات التي لا تمتثل لقانون DORA تواجه غرامات تبلغ 21 تيرابايت 3 تيرابايت من متوسط حجم الأعمال العالمي أو 11 تيرابايت 3 تيرابايت من متوسط حجم الأعمال اليومي مع إضافة غرامات يومية تُفرض على المؤسسات غير الممتثلة حتى تحقق الامتثال. المخاطر الآن كبيرة.

تحديات الهوية التي تواجه المؤسسات المالية

على الرغم من زيادة الاستثمارات في مجال الأمن، لا تزال العديد من المؤسسات المالية تعاني من الثغرات المتعلقة بالهوية في وظائفها الأمنية والتشغيلية، بما في ذلك:

  • أنظمة IAM القديمة التي تفتقر إلى القدرة على التكيف والرؤية
  • أدوات الهوية المنعزلة عبر البيئات المحلية والسحابة
  • طرق المصادقة الضعيفة المعرضة للتصيد الاحتيالي
  • عمليات الحوكمة اليدوية التي تجعل الإبلاغ عن الامتثال بطيئًا وعرضة للأخطاء

هذه التحديات تجعل المؤسسات عُرضة - ليس فقط للمهاجمين، ولكن أيضًا للتدقيق التنظيمي وغرامات الامتثال.

ماذا يعني ذلك بالنسبة لرؤساء أمن المعلومات

يجب على مدراء أمن المعلومات في القطاع المالي أن يأخذوا زمام المبادرة في مواءمة استراتيجية الهوية مع DORA. وهذا يعني:

  • اعتماد الوصول المستند إلى المخاطر النماذج التي تضبط الضوابط بناءً على السياق والسلوك
  • ضمان استمرارية الأعمال مع تجاوز الفشل الهجين للمصادقة والوصول
  • التعزيز الحوكمة مع التوفير الآلي والمراجعات واعتماد الوصول الآلي
  • احتضان مصادقة بدون كلمة مرور للقضاء على نواقل الهجوم الشائعة
سيناريوهات تطبيق نظام DORA: أمثلة من الواقع العملي

إن الصياغة التنظيمية لقانون DORA واضحة — لكن طريقة التنفيذ تختلف باختلاف حجم كل مؤسسة وهيكلها ونقطة انطلاقها. وتوضح السيناريوهات التالية الكيفية التي تتعامل بها مؤسسات الخدمات المالية ذات الخصائص المختلفة مع الامتثال لقانون DORA في الممارسة العملية.

السيناريو 1: بنك أوروبي كبير يستعد لتطبيق قانون DORA

التحدي يواجه أحد كبرى البنوك التجارية في الاتحاد الأوروبي، الذي يعمل في اثني عشر بلدًا، مشكلة شائعة: فقد توسعت البنية التحتية الخاصة بالهوية لديه على مدار عقود من عمليات الاستحواذ، مما أدى إلى وجود سبعة أنظمة منفصلة لإدارة الهوية والوصول (IAM)، وسياسات غير متسقة للتوثيق متعدد العوامل (MFA) عبر وحدات الأعمال المختلفة، ودورات مراجعة الوصول التي تستغرق ما يصل إلى ثلاثين يومًا حتى تكتمل. وبموجب متطلبات المادة 9 من لائحة DORA المتعلقة بالتحكم في الوصول والحوكمة المستمرة، يمثل هذا التجزؤ فجوة في الامتثال ومخاطر تشغيلية في آن واحد.

متطلبات DORA السارية

  • المادة 9: إطار إدارة المخاطر في مجال تكنولوجيا المعلومات والاتصالات، والتحكم في الوصول، وتطبيق مبدأ «أدنى مستوى من الامتيازات»
  • المادة 10: الكشف عن الأنشطة الشاذة والحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات
  • المادة 17: عملية إدارة الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات

خطوات التنفيذ

  1. دمج أنظمة الهوية في منصة موحدة (RSA ID Plus) التي تدعم البيئات السحابية والمحلية والمختلطة في جميع الشركات التابعة.
  2. نشر نظام المصادقة متعددة العوامل (MFA) المقاوم للتصيد الاحتيالي (RSA iShield Key 2 Series) لجميع الحسابات ذات الامتيازات والحسابات الإدارية في غضون تسعين يومًا.
  3. أتمتة عمليات اعتماد الوصول وتوفير الخدمات باستخدام حوكمة RSA ودورة حياتها, ، لتحل محل عمليات المراجعة اليدوية التي تعتمد على جداول البيانات.
  4. تمكين الذكاء الاصطناعي للمخاطر RSA من أجل التحليل السلوكي المستمر والكشف عن الحالات الشاذة في الوقت الفعلي.
  5. إنشاء سجل تدقيق مركزي لنظام إدارة الهوية والوصول (IAM) يتم تغذيته مباشرةً في لوحات معلومات تقارير الامتثال لمعايير DORA.

مقاييس النجاح

  • تم تقليص مدة دورة مراجعة طلبات الوصول من ثلاثين يومًا إلى ثلاثة أيام
  • 100% من الحسابات ذات الامتيازات التي تم تسجيلها في نظام المصادقة متعددة العوامل (MFA) المقاوم لعمليات التصيد الاحتيالي في غضون ستين يومًا من نشر المنصة
  • تقارير شهادات الوصول الجاهزة للتدقيق التي يتم إنشاؤها تلقائيًا كل ثلاثة أشهر
  • لم يتم رصد أي حوادث متعلقة بالمصادقة خلال أول عملية تفتيش تنظيمي أجرتها هيئة DORA

الدرس الرئيسي التوحيد ليس مجرد مشروع للامتثال — بل هو مشروع لتعزيز المرونة. فمنصة إدارة الهوية والوصول (IAM) الموحدة تقضي على النقاط العمياء الموجودة في نقاط التماس بين الأنظمة غير المتصلة ببعضها، وهي بالضبط الأماكن التي يبحث فيها المهاجمون عن الثغرات.

السيناريو 2: شركة خدمات مالية متوسطة الحجم تدير بنية تحتية مختلطة

التحدي أنظمة التداول الأساسية المُثبَّتة محليًّا، والتطبيقات الموجهة للعملاء على منصة Azure، ومجموعة متنوعة من أدوات SaaS المستخدمة في مختلف أقسام الشركة. وعندما تحدث انقطاعات في الخدمة السحابية أو اضطرابات في الشبكة المحلية، كانت حالات فشل المصادقة في السابق تؤدي إلى منع الموظفين من الوصول إلى الأنظمة الحيوية لساعات — وهو ما يشكل انتهاكًا مباشرًا لمتطلبات استمرارية التشغيل التي تنص عليها المادة 11 من قانون DORA.

متطلبات DORA السارية

  • المادة 11: استمرارية الأعمال في مجال تكنولوجيا المعلومات والاتصالات واستعادة القدرة على العمل بعد الكوارث
  • المادة 9: ضوابط الوصول إلى الشبكة والنظام
  • المادة 30: المتطلبات التعاقدية لمقدمي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة

خطوات التنفيذ

  1. النشر RSA ID Plus Hybrid Failover الهجين لضمان استمرار توفر خدمات المصادقة في حالة تعطل المكونات السحابية أو المحلية — مع التحويل التلقائي بين البيئات في أقل من 60 ثانية.
  2. تنفيذ قفل RSA المحمول لفرض إجراء فحوصات حالة الأجهزة على الموظفين الذين يدخلون إلى أنظمة التداول من أجهزة محمولة أو أجهزة غير خاضعة للإدارة.
  3. تحديد جميع التبعيات المتعلقة بالمصادقة من قبل أطراف ثالثة في مجال تكنولوجيا المعلومات والاتصالات، والتحقق من الامتثال التعاقدي لقانون DORA بموجب المادة 30.
  4. إجراء محاكاة ربع سنوية لاستعادة البيانات بعد الكوارث تتضمن سيناريوهات تعطل نظام المصادقة، مع توثيق أهداف وقت الاستعادة (RTOs) وأهداف نقطة الاستعادة (RPOs) لعرضها على الجهات الرقابية.

مقاييس النجاح

  • تحسنت نسبة توفر خدمة المصادقة أثناء انقطاعات البنية التحتية من 67% إلى 99.9%
  • انخفض وقت الاستجابة (RTO) لخدمات الهوية من 4 ساعات إلى أقل من 3 دقائق
  • تم تحديث جميع عقود الأطراف الثالثة في مجال تكنولوجيا المعلومات والاتصالات لتشمل أحكام المرونة التي تنص عليها اتفاقية DORA، وذلك خلال فترة الإعداد التي تبلغ 12 شهراً
  • تم توثيق نتائج محاكاة الاستعادة وهي جاهزة لمراجعتها من قبل السلطة المختصة

الدرس الرئيسي لا تقتصر استمرارية العمليات في إطار DORA على منع الهجمات فحسب، بل تتعلق أيضًا بالحفاظ على سير العمل أثناء وقوعها. ويُعد التحويل التلقائي الهجين للمصادقة أمرًا بالغ الأهمية للامتثال لمعايير DORA، تمامًا مثل المصادقة القوية نفسها.

السيناريو 3: استجابة شركة إدارة الاستثمارات لحادث إلكتروني بموجب قانون DORA

التحدي تعرضت شركة لإدارة الأصول مقرها الاتحاد الأوروبي، وتدير أصولاً بقيمة 40 مليار يورو، لهجوم يستهدف بيانات الاعتماد الخاصة بمنصة إدارة صناديقها. وأدت حملة تصيد احتيالي من نوع “المهاجم في الوسط” إلى اختراق حساب خدمة، مما سمح بالتحرك الأفقي داخل الشبكة. وبموجب إطار عمل DORA لتصنيف الحوادث والإبلاغ عنها، يتعين على المؤسسة إخطار السلطة المختصة في غضون 24 ساعة من تصنيف الحادث على أنه «كبير» — وتقديم تقرير مرحلي في غضون 72 ساعة وتقرير نهائي في غضون شهر واحد.

متطلبات DORA السارية

  • المادة 17: إدارة الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات، وتصنيفها، والإبلاغ عنها
  • المادة 19: الالتزامات المتعلقة بالإبلاغ عن الحوادث الكبرى والمواعيد المحددة لذلك
  • المادة 9: إجراءات المصادقة وضوابط الوصول التي يجب أن تظل عاملة أثناء وقوع الحادث

التسلسل الزمني للحادث والإجراءات المتخذة

  • الساعة 0: يكتشف نظام RSA Risk AI سلوكًا غير عادي في عملية المصادقة — حيث يقوم حساب خدمة بتسجيل الدخول من موقع جغرافي غير معتاد والوصول إلى الأنظمة خارج نطاق نمط الوصول المعتاد له. ويتم تفعيل تعليق الوصول تلقائيًّا ريثما يتم إجراء التحقيق.
  • الساعة الثانية: أكد فريق الأمن حدوث الاختراق. تم إلغاء تفعيل الحساب عبر RSA ID Plus في أقل من 60 ثانية. وتم احتواء الانتشار الأفقي.
  • الساعة السادسة: يؤكد التصنيف الداخلي أن هذا الحادث يستوفي معايير “الحادث الكبير” وفقًا لمعايير DORA، استنادًا إلى تأثيره على توفر الأنظمة الأساسية.
  • الساعة 18: تقديم الإخطار الأولي إلى السلطة المختصة — في غضون 24 ساعة وفقًا للمتطلبات — متضمنًا نوع الحادث، وأسباب تصنيفه، وتدابير الاحتواء الفورية التي تم اتخاذها.
  • الساعة الـ60: تم تقديم تقرير مرحلي — في غضون المهلة المحددة بـ 72 ساعة — يتضمن التسلسل الزمني الكامل للحادث، وتحليل الأسباب الجذرية (تفعيل ميزة المصادقة متعددة العوامل (MFA) القابلة للتصيد الاحتيالي على الحساب المخترق)، والأنظمة المتأثرة، وإجراءات التصحيح.
  • الأسبوع الرابع: تم تقديم التقرير النهائي عن الحادث، بما في ذلك المراجعة التي أعقبت الحادث، والتحسينات التي تم تنفيذها في أنظمة التحكم (تم نشر نظام المصادقة متعددة العوامل المقاوم لعمليات التصيد الاحتيالي على جميع حسابات الخدمة)، والتغييرات التي أُجريت على عتبات المراقبة.

مقاييس النجاح

  • تم احتواء الحادث في غضون ساعتين من اكتشافه
  • تم الالتزام بجميع المواعيد النهائية الثلاثة لتقديم تقارير DORA — التقرير الأولي خلال 24 ساعة، والتقرير المرحلي خلال 72 ساعة، والتقرير النهائي خلال شهر واحد
  • لم تتعرض خدمات إدارة الصناديق لأي انقطاع خلال الحادث بفضل نظام التحويل التلقائي في حالة فشل المصادقة
  • الإجراءات التصحيحية الفورية: تم ترحيل 100% من حسابات الخدمة إلى نظام مصادقة مقاوم للتصيد الاحتيالي في غضون 30 يومًا من وقوع الحادث

الدرس الرئيسي تكافئ متطلبات الإبلاغ عن الحوادث التي تضعها «دورا» (DORA) المؤسسات التي استثمرت بالفعل في أنظمة الكشف السريع والاحتواء. الذكاء الاصطناعي للمخاطر RSA أدت تحليلات السلوك إلى تقليص المدة الزمنية بين بدء الهجوم واحتوائه من متوسط محتمل يبلغ 254 يومًا (وهو المعيار السائد في القطاع فيما يتعلق بانتهاكات بيانات الاعتماد) إلى أقل من ساعتين — مما أدى إلى تغيير رواية الامتثال من “تعرضنا لاختراق” إلى “اكتشفنا الهجوم واحتويناه وأبلغنا عنه في إطار عمل DORA”.”

نهج RSA في أمن الهوية المتوافق مع DORA

في RSA، نساعد المؤسسات المالية على تفعيل الهوية كركيزة للمرونة. منصتنا للهوية التي تركز على الأمن أولاً, RSA ID Plus, ، تم تصميمه للبيئات المنظمة مثل التمويل.

توفر هذه الحلول مجتمعةً الضوابط اللازمة للتوافق مع قانون DORA - وتعزز مؤسستك بما يتجاوز الامتثال.

يمثل DORA نقطة تحول للهوية في الخدمات المالية. فهو يرتقي بالخدمات المالية من مجرد اهتمام تقني إلى تفويض تنظيمي - وعامل تمكين استراتيجي للمرونة التشغيلية.

لن تفي المؤسسات المالية التي تتبنى استراتيجيات أمن الهوية أولاً بمتطلبات قانون DORA فحسب، بل ستكتسب أيضاً ميزة تنافسية في الأمن وسرعة الحركة وثقة العملاء. لقد حان الوقت الآن لإعادة التفكير في وضع هويتك قبل أن يبدأ تطبيق قانون DORA.

الأسئلة الشائعة حول الامتثال لمعايير DORA
ما هو الموعد النهائي الدقيق لامتثال المؤسسات المالية لقانون DORA؟

دخل «قانون المرونة التشغيلية الرقمية» (DORA) حيز التنفيذ في 16 يناير 2023 وأصبح ساري المفعول بالكامل في 17 يناير 2025 — التاريخ الذي أصبح اعتبارًا منه يتعين على جميع الكيانات المالية المشمولة ومقدمي خدمات تكنولوجيا المعلومات والاتصالات الحيوية من الأطراف الثالثة الامتثال للقواعد، وتفعيل صلاحيات الإنفاذ في جميع الدول الأعضاء الـ27 في الاتحاد الأوروبي. ولا توجد فترة سماح للمؤسسات التي لم تستوفِ المتطلبات بعد؛ حيث يجوز للسلطات المختصة بدء التحقيقات وفرض العقوبات اعتبارًا من ذلك التاريخ.

أما بالنسبة للمؤسسات التي لا تزال تعمل على تحقيق الامتثال الكامل، فإن الأولوية تكمن في إثبات وجود برنامج امتثال موثق ويحرز تقدماً فعلياً — لا سيما فيما يتعلق بالبنية التحتية القديمة والمعقدة للهوية التي لا يمكن تحديثها بين عشية وضحاها.

ما هي العقوبات المحددة في حالة عدم الامتثال لقانون DORA؟

تضع «دورا» نظام عقوبات من مستويين. الكيانات المالية يواجهون غرامات تصل إلى 2% من إجمالي المبيعات السنوية العالمية أو 1% من متوسط حجم التداول اليومي على مستوى العالم—أيهما ينطبق وفقًا لتقييم السلطة المختصة—مع تطبيق المعدل اليومي كغرامة مستمرة حتى يتم الامتثال. وقد يواجه كبار المديرين الأفراد الذين تثبت مسؤوليتهم عن المخالفات غرامات شخصية تصل إلى €1,000,000.

مزودي تكنولوجيا المعلومات والاتصالات الخارجيين ذوي الأهمية الحيوية (CTPPs) التي حددتها السلطات الأوروبية الإشرافية تواجه مخاطر أكبر: تصل إلى €5,000,000 عن كل مخالفة، مع غرامات على المستوى الفردي تصل إلى €500,000, ، بالإضافة إلى غرامات يومية تصل إلى 1% من متوسط حجم التداول اليومي العالمي لمدة تصل إلى ستة أشهر. وبالإضافة إلى العقوبات المالية، يجوز للسلطات المختصة الكشف علنًا عن انتهاكات قانون DORA — مما يؤدي إلى مخاطر تتعلق بالسمعة يمكن أن تتجاوز، بالنسبة للمؤسسات المالية الخاضعة للرقابة، التكلفة المالية للغرامة نفسها.

ما هي المؤسسات المالية التي تخضع لمتطلبات قانون DORA؟

تنطبق لائحة «دورا» (DORA) على القطاع المالي في الاتحاد الأوروبي بأكمله تقريبًا. وتشمل الكيانات الخاضعة لهذا القانون مؤسسات الائتمان، ومؤسسات الدفع والنقود الإلكترونية، وشركات الاستثمار، ومقدمي خدمات الأصول المشفرة (CASPs)، ومستودعات الأوراق المالية المركزية، والأطراف المقابلة المركزية، ومنصات التداول، ومديري صناديق الاستثمار البديلة، وشركات التأمين وإعادة التأمين، ووكالات التصنيف الائتماني، وشركات تدقيق الحسابات للكيانات ذات المصلحة العامة، ومقدمي خدمات التمويل الجماعي.

والأهم من ذلك، أن نطاق تطبيق قانون DORA يمتد إلى ما وراء المؤسسات التي يقع مقرها الرئيسي في الاتحاد الأوروبي. كما تخضع الكيانات المالية غير التابعة للاتحاد الأوروبي التي تعمل داخل الاتحاد الأوروبي، ومقدمو خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة — بما في ذلك مقدمو الخدمات السحابية — الذين يقدمون خدمات إلى الكيانات المالية الخاضعة لولاية الاتحاد الأوروبي، لمتطلبات DORA بموجب الأحكام التعاقدية الواردة في المادة 30. ولا ينبغي لشركات الخدمات المالية التي تتخذ من الولايات المتحدة مقراً لها وتدير عمليات في الاتحاد الأوروبي أو لديها عملاء مقيمين في الاتحاد الأوروبي أن تفترض أنها خارج نطاق تطبيق هذه اللائحة.

ما هي إجراءات ضوابط أمن الهوية التي تتطلبها DORA على وجه التحديد؟

لا تفرض «دورا» استخدام تقنيات محددة، لكن متطلباتها المتعلقة بإدارة المخاطر والتحكم في الوصول، المنصوص عليها في المادتين 9 و10، تُترجم مباشرةً إلى قدرات إلزامية في مجال إدارة الهوية والوصول (IAM). ويجب على المؤسسات المالية تنفيذ ما يلي:

  • المصادقة القوية بالنسبة لجميع الأنظمة: يُتوقع صراحةً وجود سياسات وبروتوكولات خاصة بـ MFA، مع التوصية باستخدام أساليب مقاومة للتصيد الاحتيالي في حالات الوصول المتميز وذات المخاطر العالية.
  • التحكم في الوصول على أساس أقل الامتيازات: يجب ألا يتمتع المستخدمون والأنظمة إلا بحقوق الوصول اللازمة لأداء مهامهم، على أن تخضع هذه الحقوق للمراجعة المستمرة والتعديل في الوقت الفعلي.
  • حوكمة الوصول: يلزم إجراء مراجعات منتظمة وموثقة لحقوق الوصول ودورات اعتماد، مع توفير وإلغاء التخصيص تلقائيًّا لمنع التوسع التدريجي في الصلاحيات.
  • الكشف عن الحالات الشاذة: تتيح المراقبة المستمرة لأنماط المصادقة والوصول الكشف عن الأنشطة غير العادية التي تشير إلى حدوث اختراق، والتصدي لها.
  • استمرارية التشغيل لخدمات الهوية: يجب أن تظل البنية التحتية للمصادقة متاحة أثناء الحوادث السيبرانية وحالات انقطاع الخدمة، مع وجود أهداف موثقة لاستعادة الخدمة.
  • صيانة سجل التدقيق: يجب أن تكون السجلات الشاملة والمقاومة للتلاعب لجميع أحداث الهوية والوصول متاحة للمراجعة التنظيمية والتحقيق في الحوادث.

معرف RSA ID Plus للخدمات المالية تتوافق بشكل مباشر مع كل واحد من هذه المتطلبات.

كيف تختلف لائحة DORA عن اللوائح المالية الأخرى للاتحاد الأوروبي مثل PSD2؟

ركزت توجيهات خدمات الدفع 2 (PSD2) بشكل خاص على تأمين المدفوعات الرقمية، وفرضت على مقدمي خدمات الدفع الإبلاغ عن الحوادث الكبرى إلى الهيئات التنظيمية في غضون ساعتين من اكتشافها. يحلّ قانون DORA محل قواعد الإبلاغ عن الحوادث الواردة في توجيه خدمات الدفع 2 (PSD2) بالنسبة لجميع الكيانات الخاضعة لكلا الإطارين — فقد ألغت الهيئة المصرفية الأوروبية رسمياً إرشاداتها المتعلقة بالإبلاغ عن الحوادث الكبرى بموجب توجيه خدمات الدفع 2 (PSD2) اعتباراً من 17 يناير 2025، واستبدلتها بالإطار المنسق الخاص بقانون DORA.

والفرق الرئيسي يكمن في النطاق: فقد غطت اللائحة PSD2 أمن المدفوعات؛ بينما تغطي اللائحة DORA الوضع الأمني الكامل لتكنولوجيا المعلومات والاتصالات لدى جميع الكيانات المالية، وذلك بالنسبة لجميع الحوادث التشغيلية والأمنية — وليس فقط تلك المتعلقة بالمدفوعات. كما أن الجدول الزمني للإبلاغ عن الحوادث في إطار اللائحة DORA أكثر تنظيماً: 24 ساعة للإخطار الأولي،, 72 ساعة لإعداد تقرير مرحلي، و شهر واحد لإعداد تقرير نهائي. كما تمنح DORA سلطة إشراف مباشرة على الأطراف الثالثة الحيوية في مجال تكنولوجيا المعلومات والاتصالات، وهي آلية للمساءلة لا يوجد لها نظير في PSD2.

ماذا يحدث إذا تعرضت مؤسسة مالية لحادث إلكتروني بموجب قانون DORA؟

بموجب المادتين 17 و19 من قانون DORA، يتعين على المؤسسات اتباع إجراءات محددة للاستجابة للحوادث والإبلاغ عنها. أولاً، يجب اكتشاف الحادث وتسجيله وتصنيفه — تحدد DORA معايير ما يشكل حادثاً “كبيراً” بناءً على تأثيره على توفر الخدمة، وعدد العملاء المتأثرين، والانتشار الجغرافي، والتأثير الاقتصادي. وبمجرد تصنيفه على أنه حادث كبير، تبدأ مدة الإبلاغ:

  1. الإخطار الأولي إلى السلطة المختصة في غضون 24 ساعة تصنيف الحادث كحادث كبير
  2. تقرير مرحلي ضمن 72 ساعة مع سرد تفصيلي للحادث، والإجراءات التي تم اتخاذها لاحتوائه، والتقييم الأولي للأسباب الجذرية
  3. التقرير النهائي ضمن شهر واحد من التقرير المرحلي، بما في ذلك التحليل الكامل لما بعد الحادث، وتدابير الإصلاح الدائمة، والدروس المستفادة

طوال فترة وقوع الحادث، يجب أن تظل خدمات تحديد الهوية والمصادقة قيد التشغيل. وتشترط لائحة DORA صراحةً أن تشمل خطط استمرارية الأعمال البنية التحتية لتكنولوجيا المعلومات والاتصالات، بما في ذلك أنظمة الوصول والمصادقة — ولا يجوز للمؤسسات استخدام الحادث الجاري كمبرر لعدم توفر أنظمة المصادقة.

هل يمكن لحلول الهوية القائمة على السحابة أن تفي بمتطلبات قانون DORA؟

نعم، شريطة أن يستوفي الحل القائم على السحابة وشروطه التعاقدية متطلبات DORA الخاصة بمزودي تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة بموجب المادة 30. ويجب على مزودي الهوية السحابية تقديم ضمانات تعاقدية تتعلق بتوافر الخدمة، والمواعيد الزمنية للإبلاغ عن الحوادث، وحقوق التدقيق، وقابلية نقل البيانات. قد تواجه المؤسسات التي تعتمد حصريًّا على خدمة المصادقة السحابية دون امتلاك قدرة التبديل التلقائي الهجينة صعوبة في إثبات استمرارية التشغيل التي تتطلبها لائحة DORA.

RSA ID Plus وقد صُمم خصيصًا لمواجهة هذا التحدي: فهو يدعم المصادقة السحابية والمختلطة والمحلية من خلال منصة واحدة، مع تجاوز الفشل الهجين ضمان استمرار توفر خدمات المصادقة في حالة انقطاع الاتصال بالسحابة. وهذا يعني الاستفادة من مزايا الامتثال التي توفرها إدارة السحابة — مثل الإدارة المركزية، والتحديثات التلقائية، وقابلية التوسع — دون التعرض لمخاطر «نقطة الفشل الوحيدة» التي تراقبها الجهات التنظيمية عن كثب.

ما هي المستندات المطلوبة لإثبات الامتثال لقانون DORA؟

تُلزم «دورا» المؤسسات المالية بالاحتفاظ بما يلي والقدرة على تقديمه عند الطلب:

  • وثائق إطار عمل إدارة المخاطر في مجال تكنولوجيا المعلومات والاتصالات—السياسات والإجراءات والضوابط التي تتوافق مع متطلبات DORA، والتي تتم مراجعتها والموافقة عليها من قبل هيئة الإدارة مرة واحدة على الأقل سنويًّا
  • الوصول إلى سجلات المراجعة—دورات شهادات الوصول الموثقة والمؤرخة التي تثبت تطبيق مبدأ «أدنى امتياز» وإلغاء الترخيص في الوقت المناسب للموظفين الذين غادروا الشركة أو الذين تغيرت أدوارهم
  • سجلات الحوادث—سجل كامل لجميع الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات، مع توضيح تصنيفها، والتسلسل الزمني لها، وإجراءات احتوائها، ونتائجها
  • تقارير الحوادث الكبرى—جميع الإخطارات المقدمة (الأولية، والمرحلية، والنهائية) بشأن أي حوادث تستوفي معايير التصنيف «الكبرى» الخاصة بـ DORA
  • عقود تكنولوجيا المعلومات والاتصالات المبرمة مع أطراف ثالثة—اتفاقيات متوافقة مع المادة 30 مع جميع مزودي خدمات تكنولوجيا المعلومات والاتصالات، بما في ذلك مزودي خدمات المصادقة السحابية وإدارة الهوية
  • خطط استمرارية الأعمال واستعادة البيانات بعد الكوارث—خطط موثقة ومختبرة تغطي توفر نظام المصادقة، مع نتائج RTO/RPO مسجلة من عمليات المحاكاة

حوكمة RSA ودورة حياتها تعمل على أتمتة عملية إنشاء سجلات مراجعة الوصول وتقارير الامتثال وصيانتها، مما يقلل الوقت اللازم لإعداد الوثائق الجاهزة للتدقيق من أسابيع إلى ساعات.

قد تكون مهتمًا أيضًا ب...

طلب عرض توضيحي

احصل على عرض توضيحي