DORA: Pierwsi dostawcy krytycznych usług ICT

Europejskie organy nadzoru oficjalnie opublikowały pierwszą w historii listę krytycznych zewnętrznych dostawców usług ICT zgodnie z rozporządzeniem DORA.

Oznacza to faktyczny początek nowego systemu nadzoru w Europie, w ramach którego niektórzy z największych światowych dostawców technologii i usług zostaną objęci bezpośrednim nadzorem UE ze względu na ich znaczenie systemowe dla stabilności finansowej.

Organy regulacyjne zastosowały pełną metodologię DORA:

➡️ mapowanie zależności przy użyciu rejestrów ICT,

➡️ analiza substytucyjności,

➡️ ocena wpływu systemowego,

➡️ oraz umożliwienie dostawcom udzielenia odpowiedzi przed ostatecznym wyznaczeniem.

Foto: https://pl.freepik.com/

Europejski system finansowy jest w dużym stopniu uzależniony od skoncentrowanej grupy globalnych dostawców usług w chmurze, danych i infrastruktury.

Według europejskich organów nadzoru finansowego (ESA) następujące przedsiębiorstwa są pierwszymi dostawcami usług w chmurze na poziomie UE:

✅ Accenture plc

✅ Amazon Web Services EMEA Sarl

✅ Bloomberg L.P.

✅ Capgemini SE

✅ Colt Technology Services

✅ Deutsche Telekom AG

✅ Equinix (EMEA) B.V.

✅ Fidelity National Information Services, Inc. (FIS)

✅ Google Cloud EMEA Limited

✅ International Business Machines Corporation (IBM)

✅ InterXion HeadQuarters B.V.

✅ Kyndryl Inc.

✅ LSEG Data and Risk Limited

✅ Microsoft Ireland Operations Limited

✅ NTT DATA Inc.

✅ Oracle Nederland B.V.

✅ Orange S.A.

✅ SAP SE

✅ Tata Consultancy Services Limited (TCS)

To bardzo jasny obraz tego, gdzie koncentruje się systemowe ryzyko związane z technologiami informacyjno-komunikacyjnymi:

globalni dostawcy usług w chmurze i infrastruktury

dostawcy danych i infrastruktury rynkowej

główni dostawcy oprogramowania i platform

duże firmy konsultingowe i integracyjne

niewielka liczba dostawców usług telekomunikacyjnych i łączności

Nie dziwi mnie, że większość z tych podmiotów została uznana za krytyczne — są one głęboko zakorzenione w infrastrukturze europejskich finansów.

Dla mnie kilka kwestii jest szczególnie interesujących:

1️⃣ Dlaczego firmy konsultingowe i integracyjne są uznawane za krytyczne?

✅ Ale co dokładnie sprawia, że są one tak ważne?

✅ Czy to dlatego, że obsługują i utrzymują podstawowe platformy bankowe?

✅ Czy dlatego, że integrują systemy, których awaria miałaby wpływ na cały system?

✅Czy dlatego, że obsługują środowiska outsourcingowe niezbędne do codziennego funkcjonowania?

✅ Czy dlatego, że zarządzają migracją, architekturą i projektami transformacji wysokiego ryzyka?

2️⃣ Dlaczego jest tak mało dostawców usług telekomunikacyjnych?

Na liście znajdują się tylko dwaj operatorzy telekomunikacyjni: Deutsche Telekom i Orange.

Biorąc pod uwagę, że cały system finansowy zależy od łączności, rodzi to dodatkowe pytania:

✅ Czy inni dostawcy usług telekomunikacyjnych są uważani za mniej krytycznych?

✅ Czy w przyszłych aktualizacjach pojawi się więcej operatorów telekomunikacyjnych, gdy organy regulacyjne doprecyzują swoje stanowisko w sprawie ryzyka koncentracji na poziomie sieci?

Link

Autor: Sebastian Burgemejster