DORA Compliance: ফাইন্যান্সিয়াল সেক্টরের জন্য ইউরোপীয় ইউনিয়নের নতুন সাইবার রেগুলেশন!

Digital Operational Resilience Act বা DORA, যা EU Regulation 2022/2554 নামেও পরিচিত, হলো ইউরোপীয় ইউনিয়নের একটি ব্যাপক রেগুলেশন যা ফাইন্যান্সিয়াল সেক্টরে ডিজিটাল operational স্থিতিস্থাপকতা নিশ্চিত করতে ডিজাইন করা হয়েছে। এটি 2022 সালের 28 ডিসেম্বর গৃহীত হয় এবং 2025 সালের 17 জানুয়ারি থেকে পুরোপুরি প্রয়োগযোগ্য হয়।

DORA এর সৃষ্টির পেছনে রয়েছে গত দশকে ফাইন্যান্সিয়াল সেক্টরে ক্রমবর্ধমান সাইবার আক্রমণের ঘটনা। 2019 সালে Capital One এর ডেটা লঙ্ঘন যা 100 মিলিয়ন গ্রাহককে প্রভাবিত করেছিল, 2020 সালের SolarWinds সাপ্লাই চেইন আক্রমণ যা বহু ফাইন্যান্সিয়াল প্রতিষ্ঠানকে প্রভাবিত করেছিল, এবং 2021 সালে ক্রমবর্ধমান র‌্যানসমওয়্যার আক্রমণ - এই সব ঘটনা ইউরোপীয় নীতিনির্ধারকদের সচেতন করেছিল যে বিদ্যমান ফ্র্যাগমেন্টেড নিয়মাবলী যথেষ্ট নয়।

DORA এর আগে ইউরোপের বিভিন্ন দেশে ফাইন্যান্সিয়াল সাইবার নিরাপত্তা সংক্রান্ত পৃথক পৃথক নিয়মাবলী ছিল। ইউরোপীয় ব্যাংকিং কর্তৃপক্ষ বা EBA, ইউরোপীয় সিকিউরিটিজ এবং মার্কেটস অথরিটি বা ESMA এবং ইউরোপীয় ইন্স্যুরেন্স অথরিটি বা EIOPA এর গাইডলাইন বিদ্যমান থাকলেও সেগুলোর প্রয়োগ অসমান ছিল। DORA এই বিভাজন দূর করে একটি অভিন্ন কাঠামো প্রতিষ্ঠা করেছে যা সমগ্র ইউরোপীয় ইউনিয়ন জুড়ে সমানভাবে প্রযোজ্য।

DORA এর প্রয়োগ ক্ষেত্র অত্যন্ত বিস্তৃত। এটি 21 ধরনের ফাইন্যান্সিয়াল সত্তা (financial entity) প্রভাবিত করে, যার মধ্যে রয়েছে ক্রেডিট ইনস্টিটিউশন, পেমেন্ট প্রতিষ্ঠান, ইলেকট্রনিক মানি প্রতিষ্ঠান, ইনভেস্টমেন্ট ফার্ম, ক্রিপ্টো-অ্যাসেট সার্ভিস প্রোভাইডার, সেন্ট্রাল সিকিউরিটিজ ডিপোজিটরি, সেন্ট্রাল কাউন্টারপার্টি, ট্রেডিং ভেন্যু, ট্রেড রিপোজিটরি, অলটারনেটিভ ইনভেস্টমেন্ট ফান্ড ম্যানেজার, ইন্স্যুরেন্স এবং রিইন্স্যুরেন্স প্রতিষ্ঠান, ইন্স্যুরেন্স ব্রোকার, ক্রেডিট রেটিং এজেন্সি এবং ক্রাউডফান্ডিং সার্ভিস প্রোভাইডার।

আরও গুরুত্বপূর্ণ হলো, DORA শুধু ফাইন্যান্সিয়াল প্রতিষ্ঠানেই সীমাবদ্ধ নয়। এটি Critical Third-Party ICT Service Provider বা CTPP নামক একটি নতুন বিভাগ তৈরি করেছে। এর মানে হলো বড় ক্লাউড প্রদানকারী যেমন AWS, Microsoft Azure, Google Cloud এবং অন্যান্য সমালোচনামূলক প্রযুক্তি সরবরাহকারীরাও সরাসরি ইউরোপীয় সুপারভাইজরি অথরিটির তত্ত্বাবধানে আসবে। এটি একটি যুগান্তকারী পদক্ষেপ কারণ এর আগে এই ধরনের তৃতীয় পক্ষের সরাসরি নিয়ন্ত্রণ ছিল না।

DORA এর প্রভাব ইউরোপের সীমা ছাড়িয়ে বিশ্বব্যাপী বিস্তৃত। যেকোনো ফাইন্যান্সিয়াল প্রতিষ্ঠান যা ইউরোপীয় গ্রাহক বা প্রতিষ্ঠানের সাথে কাজ করে অথবা ইউরোপীয় ফাইন্যান্সিয়াল প্রতিষ্ঠানকে পরিষেবা প্রদান করে, তাদের DORA এর প্রয়োজনীয়তা মেনে চলতে হবে। বাংলাদেশের ব্যাংক বা সফটওয়্যার কোম্পানি যারা ইউরোপীয় ব্যাংকের সাথে ব্যবসা করে, তাদেরও এই বিষয়ে সচেতন এবং প্রস্তুত থাকতে হবে।

DORA পাঁচটি মূল ক্ষেত্রের উপর কেন্দ্রীভূত, যা একসাথে একটি ব্যাপক operational resilience কাঠামো তৈরি করে।

প্রথম স্তম্ভ হলো ICT Risk Management। প্রতিটি প্রতিষ্ঠানকে একটি ব্যাপক ICT risk management framework প্রতিষ্ঠা করতে হবে যা বোর্ড অফ ডিরেক্টরের অনুমোদন এবং তত্ত্বাবধানে থাকবে। এতে অন্তর্ভুক্ত রয়েছে নিয়মিত ঝুঁকি মূল্যায়ন, ডেটা সুরক্ষা ব্যবস্থা, ব্যাকআপ এবং পুনরুদ্ধার ক্ষমতা, ব্যবসা ধারাবাহিকতা পরিকল্পনা এবং কর্মচারীদের সচেতনতা প্রশিক্ষণ।

দ্বিতীয় স্তম্ভ হলো ICT-related Incident Reporting। DORA একটি অভিন্ন ঘটনা প্রতিবেদন কাঠামো প্রতিষ্ঠা করে যেখানে গুরুতর সাইবার ঘটনা নির্দিষ্ট সময়ের মধ্যে কর্তৃপক্ষকে রিপোর্ট করতে হবে। প্রাথমিক প্রতিবেদন (initial notification) ঘটনার 4 ঘণ্টার মধ্যে, intermediate report 72 ঘণ্টার মধ্যে এবং final report এক মাসের মধ্যে প্রদান করতে হবে। এটি বিদ্যমান NIS2 এবং GDPR এর সাথে সংগতিপূর্ণ।

তৃতীয় স্তম্ভ হলো Digital Operational Resilience Testing। প্রতিষ্ঠানগুলোকে নিয়মিত তাদের সিস্টেমের ক্ষমতা পরীক্ষা করতে হবে। বড় ও সমালোচনামূলক প্রতিষ্ঠানের জন্য Threat-Led Penetration Testing বা TLPT প্রতি তিন বছরে একবার বাধ্যতামূলক। এই TLPT TIBER-EU ফ্রেমওয়ার্কের ভিত্তিতে পরিচালিত হবে এবং সমালোচনামূলক functions এবং বাস্তব হুমকি দৃশ্যপটের উপর ভিত্তি করে হবে।

চতুর্থ স্তম্ভ হলো ICT Third-Party Risk Management। এটি DORA এর সবচেয়ে গুরুত্বপূর্ণ উদ্ভাবনগুলোর একটি। ফাইন্যান্সিয়াল প্রতিষ্ঠানগুলোকে তাদের তৃতীয় পক্ষের ICT পরিষেবা প্রদানকারীদের সাথে চুক্তি এবং সম্পর্ক ব্যবস্থাপনার জন্য কঠোর নিয়ম মেনে চলতে হবে। প্রতিটি চুক্তিতে নির্দিষ্ট প্রয়োজনীয়তা অন্তর্ভুক্ত থাকতে হবে যেমন পরিষেবা মান (SLA), ডেটা সুরক্ষা, অডিট অধিকার, exit strategy এবং sub-outsourcing সংক্রান্ত নিয়ম।

প্রতিটি বড় ফাইন্যান্সিয়াল প্রতিষ্ঠানকে তাদের সকল ICT তৃতীয় পক্ষের পরিষেবা প্রদানকারীদের একটি রেজিস্টার বজায় রাখতে হবে এবং নিয়মিত কর্তৃপক্ষকে রিপোর্ট করতে হবে। সমালোচনামূলক ফাংশন সমর্থনকারী চুক্তিগুলোর জন্য আরও কঠোর প্রয়োজনীয়তা প্রযোজ্য। European Supervisory Authorities বা ESAs Critical Third-Party Provider তালিকা প্রকাশ করবে এবং তাদের সরাসরি তত্ত্বাবধান করবে।

পঞ্চম স্তম্ভ হলো Information Sharing। DORA সাইবার হুমকি এবং দুর্বলতা সম্পর্কিত তথ্য ফাইন্যান্সিয়াল সেক্টরের মধ্যে ভাগাভাগি করার ব্যবস্থা প্রতিষ্ঠা করে। এটি সম্পূর্ণ ঐচ্ছিক ভিত্তিতে কাজ করে এবং প্রতিষ্ঠানগুলোকে threat intelligence sharing arrangement এ অংশগ্রহণ করতে উৎসাহিত করে। এর মাধ্যমে সমষ্টিগত সাইবার প্রতিরক্ষা শক্তিশালী হয় এবং নতুন হুমকির বিরুদ্ধে দ্রুত প্রতিক্রিয়া সম্ভব হয়।

DORA বাস্তবায়নে প্রতিষ্ঠানগুলো অনেক চ্যালেঞ্জের সম্মুখীন হচ্ছে। সবচেয়ে বড় চ্যালেঞ্জ হলো বিদ্যমান চুক্তিগুলোকে নতুন প্রয়োজনীয়তা অনুযায়ী পরিবর্তন করা। অধিকাংশ ফাইন্যান্সিয়াল প্রতিষ্ঠানের শত শত বা হাজার হাজার তৃতীয় পক্ষের চুক্তি রয়েছে, এবং প্রতিটি পর্যালোচনা ও সংশোধন একটি বিশাল কাজ।

ছোট ও মাঝারি ফাইন্যান্সিয়াল প্রতিষ্ঠানের জন্য DORA এর সম্মতি খরচ একটি বড় উদ্বেগ। যদিও DORA proportionality নীতি অনুসরণ করে এবং আকার ও জটিলতা অনুযায়ী প্রয়োজনীয়তা স্কেল করে, তবুও প্রাথমিক বাস্তবায়ন খরচ উল্লেখযোগ্য। European Banking Federation এর অনুমান অনুসারে গড়ে একটি বড় ব্যাংকের জন্য প্রাথমিক বাস্তবায়ন খরচ 5 থেকে 15 মিলিয়ন ইউরো এবং বার্ষিক চলমান খরচ 1 থেকে 3 মিলিয়ন ইউরো।

দক্ষ পেশাদারদের অভাবও একটি গুরুতর চ্যালেঞ্জ। DORA এর সাথে পরিচিত GRC বিশেষজ্ঞ, সাইবার নিরাপত্তা বিশেষজ্ঞ এবং অডিটরদের চাহিদা সরবরাহের তুলনায় অনেক বেশি। অনেক প্রতিষ্ঠান বহিরাগত পরামর্শদাতা ও আইনি বিশেষজ্ঞের সহায়তা নিতে বাধ্য হচ্ছে। বাংলাদেশসহ অন্যান্য দেশের প্রতিষ্ঠানের জন্য এটি একটি সুযোগ হতে পারে এই ক্ষেত্রে দক্ষতা গড়ে তুলে আন্তর্জাতিক বাজারে কাজ করার।

DORA সম্মতির জন্য একটি কাঠামোগত পদ্ধতি অপরিহার্য। প্রথম পদক্ষেপ হলো একটি বিস্তৃত gap analysis পরিচালনা যা বর্তমান অবস্থা এবং DORA প্রয়োজনীয়তার মধ্যে পার্থক্য চিহ্নিত করে। এই বিশ্লেষণে প্রতিষ্ঠানের নীতিমালা, প্রক্রিয়া, প্রযুক্তি, কর্মীদের দক্ষতা এবং বিদ্যমান চুক্তি সব অন্তর্ভুক্ত থাকা উচিত।

একটি ক্রস-ফাংশনাল DORA প্রকল্প দল গঠন করতে হবে যেখানে IT, সাইবার নিরাপত্তা, আইনি, ক্রয়, ঝুঁকি ব্যবস্থাপনা এবং ব্যবসায়িক বিভাগের প্রতিনিধি থাকবে। বোর্ড পর্যায়ের সম্পৃক্ততা অপরিহার্য কারণ DORA বোর্ডকে সরাসরি দায়িত্ব অর্পণ করে। নিয়মিত বোর্ড প্রতিবেদন এবং পর্যালোচনার ব্যবস্থা প্রতিষ্ঠা করুন।

প্রযুক্তিগত দিক থেকে, একটি ICT asset inventory প্রতিষ্ঠা করুন যা সমস্ত সমালোচনামূলক সিস্টেম, ডেটা এবং তৃতীয় পক্ষের নির্ভরশীলতা চিহ্নিত করে। ঘটনা সনাক্তকরণ এবং প্রতিক্রিয়া ক্ষমতা শক্তিশালী করুন, যা DORA এর সময়সীমা পূরণে সহায়তা করবে। নিয়মিত resilience testing প্রোগ্রাম প্রতিষ্ঠা করুন যা vulnerability assessment, scenario-based testing, red team exercise এবং TLPT অন্তর্ভুক্ত করে।

তৃতীয় পক্ষের ঝুঁকি ব্যবস্থাপনা একটি বিশেষ মনোযোগের ক্ষেত্র হওয়া উচিত। সমস্ত বর্তমান সরবরাহকারী চুক্তি পর্যালোচনা করুন এবং DORA-সম্মতি ক্লজ যোগ করুন। সরবরাহকারী ঝুঁকি স্কোরিং সিস্টেম প্রতিষ্ঠা করুন, exit strategy প্রস্তুত করুন এবং concentration risk মনিটর করুন। বড় ক্লাউড প্রদানকারীদের উপর অতিরিক্ত নির্ভরশীলতা একটি সাধারণ সমস্যা যা সংশ্লিষ্ট ঝুঁকি ব্যবস্থাপনা প্রয়োজন।