Τι είναι ο DORA;
Ο Κανονισμός για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα — γνωστός ως DORA — είναι ο Κανονισμός (ΕΕ) 2022/2554, που εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο στις 14 Δεκεμβρίου 2022. Η ΕΕ τον δημοσίευσε στην Επίσημη Εφημερίδα στις 27 Δεκεμβρίου 2022. Τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και έγινε πλήρως εφαρμοστέος στις 17 Ιανουαρίου 2025.
Ο DORA αντιμετωπίζει ένα συγκεκριμένο κενό στον χρηματοπιστωτικό κανονισμό της ΕΕ. Πριν από τον DORA, τα χρηματοπιστωτικά ιδρύματα διαχειρίζονταν τον λειτουργικό κίνδυνο κυρίως με την παρακράτηση κεφαλαίων. Ωστόσο, αυτή η προσέγγιση δεν κάλυπτε επαρκώς τις διαταραχές που σχετίζονται με τις ΤΠΕ, οι οποίες μπορούν να επηρεάσουν πολλά ιδρύματα ταυτόχρονα όταν ένας κοινός πάροχος τεχνολογίας αποτύχει. Ως εκ τούτου, ο DORA εισάγει ένα ενιαίο πλαίσιο σε ολόκληρη την ΕΕ για τη διαχείριση κινδύνων ΤΠΕ, την αναφορά περιστατικών, τις δοκιμές επιχειρησιακής ανθεκτικότητας και την εποπτεία των τρίτων παρόχων τεχνολογίας.
Ποιος πρέπει να συμμορφωθεί με τον DORA;
Ο DORA εφαρμόζεται σε δύο κύριες ομάδες οργανισμών που εμπλέκονται σε υπηρεσίες τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) εντός του χρηματοπιστωτικού τομέα.
Η πρώτη ομάδα είναι οι χρηματοπιστωτικές οντότητες. Αυτές περιλαμβάνουν πιστωτικά ιδρύματα, ιδρύματα πληρωμών, ιδρύματα ηλεκτρονικού χρήματος, επενδυτικές εταιρείες, ασφαλιστικές και αντασφαλιστικές επιχειρήσεις, παρόχους υπηρεσιών κρυπτοστοιχείων, κεντρικά αποθετήρια τίτλων, κεντρικούς αντισυμβαλλομένους και τόπους διαπραγμάτευσης, μεταξύ άλλων που αναφέρονται στο Άρθρο 2 του κανονισμού.
Η δεύτερη ομάδα είναι οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ — εταιρείες που παρέχουν τεχνολογικές υπηρεσίες σε χρηματοπιστωτικές οντότητες. Αυτή η ομάδα περιλαμβάνει παρόχους υπολογιστικού νέφους, προγραμματιστές λογισμικού, εταιρείες ανάλυσης δεδομένων, εταιρείες κυβερνοασφάλειας, παρόχους κέντρων δεδομένων και οποιονδήποτε άλλο πάροχο του οποίου οι υπηρεσίες υποστηρίζουν τις λειτουργίες ενός ρυθμιζόμενου χρηματοπιστωτικού ιδρύματος.
Είναι σημαντικό ότι ο DORA καλύπτει επίσης παρόχους ΤΠΕ που εδρεύουν εκτός ΕΕ. Εάν μια εταιρεία τεχνολογίας στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο ή την Ασία παρέχει υπηρεσίες σε χρηματοπιστωτικά ιδρύματα που ρυθμίζονται από την ΕΕ, ο DORA εφαρμόζεται σε αυτή τη σχέση.
Η απαίτηση LEI σύμφωνα με τον DORA
Ο DORA απαιτεί από τις χρηματοπιστωτικές οντότητες να διατηρούν ένα λεπτομερές Μητρώο Πληροφοριών που να καλύπτει όλους τους τρίτους παρόχους υπηρεσιών ΤΠΕ. Ο Εκτελεστικός Κανονισμός (ΕΕ) 2024/2956 της Επιτροπής, που δημοσιεύθηκε στις 2 Δεκεμβρίου 2024, καθορίζει τα τυποποιημένα υποδείγματα για αυτό το μητρώο.
Το Άρθρο 3(5) του εν λόγω εκτελεστικού κανονισμού αναφέρει απευθείας:
«Οι χρηματοπιστωτικές οντότητες χρησιμοποιούν έναν έγκυρο και ενεργό κωδικό αναγνώρισης νομικής οντότητας (LEI) ή τον Ευρωπαϊκό Μοναδικό Αναγνωριστικό Κωδικό που αναφέρεται στο άρθρο 16 της οδηγίας (ΕΕ) 2017/1132 («EUID»), και όπου είναι διαθέσιμοι και οι δύο αυτοί κωδικοί, για την αναγνώριση όλων των τρίτων παρόχων υπηρεσιών ΤΠΕ που είναι νομικά πρόσωπα, εκτός από τα φυσικά πρόσωπα που ενεργούν υπό επιχειρηματική ιδιότητα.»
Με άλλα λόγια, κάθε τρίτος πάροχος ΤΠΕ που είναι νομική οντότητα πρέπει να είναι αναγνωρίσιμος χρησιμοποιώντας είτε έναν έγκυρο και ενεργό LEI είτε έναν EUID. Και οι δύο πρέπει να είναι τρέχοντες. Ένας ληγμένος ή ανενεργός LEI δεν πληροί αυτή την απαίτηση.
LEI ή EUID — Ποιος ισχύει για εσάς;
Και οι δύο αναγνωριστικοί κωδικοί πληρούν τις απαιτήσεις του DORA, αλλά καλύπτουν διαφορετικές καταστάσεις. Η κατανόηση της διαφοράς σας βοηθά να επιλέξετε σωστά.
Ο LEI (Legal Entity Identifier) είναι ένας παγκοσμίως αναγνωρισμένος αλφαριθμητικός κωδικός 20 χαρακτήρων που βασίζεται στο πρότυπο ISO 17442. Το Global Legal Entity Identifier Foundation (GLEIF) διέπει το Global LEI System και καθιστά όλα τα δεδομένα LEI δημόσια διαθέσιμα στο Global LEI Index. Ο LEI καλύπτει νομικές οντότητες σε περισσότερες από 200 δικαιοδοσίες και περιλαμβάνει επίσης δεδομένα ιδιοκτησίας και ελέγχου.
Ο EUID (European Unique Identifier) συνδέεται με το Σύστημα Διασύνδεσης Μητρώων Επιχειρήσεων (BRIS) της ΕΕ. Επειδή συνδέεται αποκλειστικά με τα εθνικά μητρώα της ΕΕ, καλύπτει μόνο οντότητες που είναι εγγεγραμμένες στα κράτη μέλη της ΕΕ.
Εδώ ο εκτελεστικός κανονισμός κάνει μια κρίσιμη διάκριση: οι πάροχοι ΤΠΕ που είναι εγκατεστημένοι εκτός ΕΕ πρέπει να αναγνωρίζονται χρησιμοποιώντας μόνο τον LEI. Ο EUID απλά δεν είναι διαθέσιμος για οντότητες εκτός ΕΕ. Ως αποτέλεσμα, ο LEI είναι ο μόνος έγκυρος αναγνωριστικός κωδικός για οποιονδήποτε πάροχο λειτουργεί εκτός ΕΕ.
Για τους παρόχους που εδρεύουν στην ΕΕ, οποιοσδήποτε αναγνωριστικός κωδικός λειτουργεί. Ωστόσο, για παγκόσμιες λειτουργίες ή παρόχους με έκθεση εκτός ΕΕ, ο LEI είναι η ισχυρότερη επιλογή λόγω της διεθνούς αναγνώρισής του και της ευρύτερης κάλυψης δεδομένων.
Τι σημαίνει «Έγκυρος και Ενεργός» στην πράξη
Ο εκτελεστικός κανονισμός απαιτεί συγκεκριμένα έναν έγκυρο και ενεργό LEI. Αυτό αναφέρεται στην κατάσταση που εμφανίζεται στην παγκόσμια βάση δεδομένων GLEIF.
Ένας LEI που εμφανίζει την κατάσταση «Εκδοθείς» είναι έγκυρος και ενεργός, και επομένως πληροί τον DORA. Ένας LEI που εμφανίζει «Ληγμένος» έχει λήξει, και κατά συνέπεια δεν πληροί την απαίτηση. Οι χρηματοπιστωτικές οντότητες δεν μπορούν να καταγράψουν έναν ληγμένο LEI ως συμμορφούμενο αναγνωριστικό στο Μητρώο Πληροφοριών τους.
Ένας LEI παραμένει έγκυρος για ένα έτος από την ημερομηνία έκδοσης ή της τελευταίας ανανέωσης. Μετά από αυτό, ο κάτοχος πρέπει να τον ανανεώσει για να διατηρήσει την ενεργή κατάσταση. Κατά την ανανέωση, ο εκδίδων οργανισμός επαληθεύει εκ νέου τα δεδομένα αναφοράς της οντότητας — συμπεριλαμβανομένου του νομικού ονόματος, της καταχωρισμένης διεύθυνσης και της δομής ιδιοκτησίας — έναντι επίσημων πηγών μητρώου. Αυτή η διαδικασία διασφαλίζει ότι τα δεδομένα στην παγκόσμια βάση δεδομένων LEI παραμένουν ακριβή και ενημερωμένα.
Μπορείτε να ελέγξετε την κατάσταση οποιουδήποτε LEI χρησιμοποιώντας το εργαλείο αναζήτησης LEI της GLEIF ή μέσω της αναζήτησης του LEI System.
Γιατί ο LEI είναι το πρακτικό πρότυπο για τη συμμόρφωση με τον DORA
Οι ρυθμιστικές αρχές του DORA επέλεξαν τον LEI επειδή επιλύει ένα πρόβλημα που κανένας εθνικός αναγνωριστικός κωδικός δεν μπορεί: τη συνεπή, διασυνοριακή αναγνώριση νομικών οντοτήτων σε ένα ενιαίο παγκοσμίως αναγνωρισμένο μορφότυπο.
Οι εθνικοί αριθμοί μητρώου εταιρειών διαφέρουν σημαντικά μεταξύ των χωρών, δεν είναι πάντα αναγνώσιμοι από μηχανές και δεν καλύπτουν καθόλου οντότητες εκτός ΕΕ. Ο LEI, αντίθετα, παρέχει έναν συνεπή κωδικό για οποιαδήποτε νομική οντότητα, ανεξάρτητα από το πού είναι ενσωματωμένη. Επιπλέον, επειδή τα δεδομένα LEI είναι δημόσια διαθέσιμα και επαληθεύσιμα, τα χρηματοπιστωτικά ιδρύματα μπορούν να ελέγχουν άμεσα τα στοιχεία του παρόχου χωρίς να ζητούν έγγραφα.
Για τα χρηματοπιστωτικά ιδρύματα που διαχειρίζονται πολλούς προμηθευτές ΤΠΕ σε διάφορες χώρες, αυτή η τυποποίηση μειώνει σημαντικά τη διοικητική πολυπλοκότητα της συμμόρφωσης με τον DORA. Μια απλή αναζήτηση LEI παρέχει επαληθευμένες πληροφορίες σχετικά με το νομικό όνομα του παρόχου, τα στοιχεία εγγραφής και τη δομή ιδιοκτησίας — όλα αυτά είναι άμεσα σχετικά με τις υποχρεώσεις διαχείρισης κινδύνου τρίτων του DORA.
Για τους παρόχους ΤΠΕ, η κατοχή ενός έγκυρου LEI διευκολύνει τους πελάτες χρηματοπιστωτικών ιδρυμάτων να τους συμπεριλάβουν σωστά στο μητρώο DORA τους. Οι πάροχοι χωρίς έγκυρο LEI, από την άλλη πλευρά, δημιουργούν κενά συμμόρφωσης για τους πελάτες τους και, ως εκ τούτου, κινδυνεύουν να βλάψουν την επιχειρηματική σχέση. Η GLEIF παρέχει περαιτέρω πλαίσιο για το πώς ο LEI υποστηρίζει αυτό στην επισκόπησή της σχετικά με την κανονιστική χρήση του LEI.
Τι πρέπει να κάνουν τώρα οι πάροχοι ΤΠΕ
Ελέγξτε αν έχετε έγκυρο LEI. Εάν παρέχετε υπηρεσίες ΤΠΕ σε οποιοδήποτε χρηματοπιστωτικό ίδρυμα που ρυθμίζεται από την ΕΕ, ο πελάτης σας πρέπει να σας αναγνωρίσει στο Μητρώο Πληροφοριών DORA. Επικοινωνήστε μαζί του για να επιβεβαιώσετε εάν έχει καταχωρίσει τον LEI σας και εάν είναι επί του παρόντος ενεργός.
Καταχωρίστε έναν LEI εάν δεν έχετε. Η διαδικασία είναι πλήρως ψηφιακή και ολοκληρώνεται εντός 24 ωρών για τις περισσότερες δικαιοδοσίες. Πρέπει να παρέχετε το νομικό όνομα της εταιρείας σας, την καταχωρισμένη διεύθυνση και τον αριθμό μητρώου. Στις περισσότερες περιπτώσεις, το σύστημα επαληθεύει αυτόματα αυτά τα δεδομένα έναντι των επίσημων μητρώων επιχειρήσεων. Το LEI System είναι διαπιστευμένος παράγοντας εγγραφής της GLEIF. Μπορείτε να ξεκινήσετε την εγγραφή του LEI σας σήμερα.
Ανανεώστε τον LEI σας εάν έχει λήξει. Ένας ληγμένος LEI πρέπει να ανανεωθεί πριν οι πελάτες σας μπορέσουν να τον χρησιμοποιήσουν σε μητρώο DORA. Η ανανέωση αποκαθιστά την κατάσταση «Εκδοθείς» και επαναβεβαιώνει τα δεδομένα αναφοράς της εταιρείας σας. Μπορείτε να ανανεώσετε τον LEI σας γρήγορα μέσω του LEI System.
Διατηρήστε τα δεδομένα του LEI σας ενημερωμένα. Εάν το όνομα της εταιρείας σας, η καταχωρισμένη διεύθυνση ή η δομή ιδιοκτησίας έχει αλλάξει, ενημερώστε τα δεδομένα αναφοράς του LEI σας αναλόγως. Τα παρωχημένα δεδομένα LEI δημιουργούν επιπλοκές συμμόρφωσης για τους πελάτες χρηματοπιστωτικών ιδρυμάτων σας όταν υποβάλλουν το μητρώο τους στις εθνικές αρχές.
Ο DORA στο πλαίσιο της ευρύτερης νομοθεσίας της ΕΕ
Ο DORA δεν λειτουργεί μεμονωμένα. Συνυπάρχει με άλλους κανονισμούς της ΕΕ που χρησιμοποιούν επίσης τον LEI ως τον τυπικό αναγνωριστικό κωδικό για νομικές οντότητες, συμπεριλαμβανομένης της αναφοράς συναλλαγών MiFID II, της αναφοράς παραγώγων EMIR και του Κανονισμού Άμεσων Πληρωμών της ΕΕ. Για τις χρηματοπιστωτικές οντότητες που χρησιμοποιούν ήδη LEI για την αναφορά συναλλαγών, ο DORA προσθέτει επομένως μια περαιτέρω διάσταση αντί για ένα εντελώς νέο σύστημα.
Επιπλέον, ο DORA συνδέεται άμεσα με την Οδηγία NIS2 (Οδηγία (ΕΕ) 2022/2555) για την κυβερνοασφάλεια. Ο DORA λειτουργεί ως τομεακή πράξη βάσει της NIS2 για τις χρηματοπιστωτικές οντότητες. Μπορείτε να διαβάσετε περισσότερα για την NIS2 και τον LEI στο άρθρο NIS2 και LEI σε αυτόν τον ιστότοπο. Για μια ευρύτερη επισκόπηση του τρόπου λειτουργίας του LEI στον χρηματοπιστωτικό κανονισμό της ΕΕ, ανατρέξτε στο Πώς λειτουργεί ο LEI στην πράξη στην ΕΕ.
DORA και LEI — Βασικά στοιχεία με μια ματιά
Τι είναι ο DORA; Κανονισμός (ΕΕ) 2022/2554 για την ψηφιακή επιχειρησιακή ανθεκτικότητα στον χρηματοπιστωτικό τομέα.
Πότε έγινε εφαρμοστέος ο DORA; 17 Ιανουαρίου 2025.
Ποιος πρέπει να συμμορφωθεί; Οι χρηματοπιστωτικές οντότητες της ΕΕ και οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ, συμπεριλαμβανομένων των παρόχων εκτός ΕΕ που εξυπηρετούν χρηματοπιστωτικά ιδρύματα της ΕΕ.
Τι απαιτεί ο DORA για την αναγνώριση παρόχων ΤΠΕ; Ένας έγκυρος και ενεργός LEI ή EUID, όπως ορίζεται στον Εκτελεστικό Κανονισμό (ΕΕ) 2024/2956 της Επιτροπής.
Ποιος αναγνωριστικός κωδικός ισχύει για τους παρόχους ΤΠΕ εκτός ΕΕ; Μόνο LEI. Ο EUID καλύπτει μόνο οντότητες εγγεγραμμένες στην ΕΕ.
Ποια κατάσταση LEI πληροί τον DORA; Μόνο «Εκδοθείς». Ένας «Ληγμένος» LEI δεν πληροί την απαίτηση.
Πού μπορώ να καταχωρίσω ή να ανανεώσω έναν LEI; Μέσω ενός διαπιστευμένου παράγοντα εγγραφής της GLEIF, όπως το LEI System.