في السابع عشر من يناير 2025، دخل قانون المرونة التشغيلية الرقمية للاتحاد الأوروبي — DORA — حيز التطبيق الكامل. بعد عامين من المرحلة الانتقالية، لم تعد اللائحة مجرد تمرين في التخطيط. بالنسبة للبنوك وشركات التأمين وشركات الاستثمار ومزودي خدمات الأصول المشفرة والموردين التكنولوجيين الذين يخدمونهم، أصبحت DORA الحد الأدنى التشغيلي لممارسة الأعمال في القطاع المالي الأوروبي.
تمثل اللائحة تحولاً جوهرياً في طريقة تعامل الجهات التنظيمية مع المخاطر التكنولوجية في القطاع المالي. بينما كانت الأطر السابقة تعامل مخاطر تكنولوجيا المعلومات والاتصالات (ICT) باعتبارها فئة فرعية من المخاطر التشغيلية، ترفعها DORA إلى انضباط مستقل بمساراته الرقابية وشروط اختباره وسلاسل محاسبة الأطراف الثالثة. الفرضية واضحة: تعمل الخدمات المالية الحديثة على البرمجيات، وإخفاقات البرمجيات يمكن أن تُطلق أزمات نظامية. DORA هو إجابة الاتحاد الأوروبي على هذه الحقيقة.
ما الذي تغطيه DORA فعلاً
تنطبق DORA (اللائحة الأوروبية رقم 2022/2554) على طيف واسع من الكيانات المالية — أكثر من 22,000 مؤسسة عبر الدول الأعضاء في الاتحاد الأوروبي. يشمل النطاق:
- مؤسسات الائتمان (البنوك، صناديق الادخار)
- مؤسسات الدفع وإصدار النقود الإلكترونية
- شركات الاستثمار ومنصات التداول
- شركات التأمين وإعادة التأمين
- مزودو خدمات الأصول المشفرة (CASPs) المسجلون بموجب MiCA
- الأطراف المقابلة المركزية، ووكالات التصنيف الائتماني، ومزودو خدمات الإبلاغ عن البيانات
والأهم من ذلك، تنطبق DORA أيضاً على مزودي خدمات ICT من الأطراف الثالثة — أي منصات الحوسبة السحابية، وموردي برمجيات البنوك الأساسية، ومزودي تحليلات البيانات، وأي مورد تكنولوجي حيوي للكيانات المذكورة أعلاه. هذا ما يجعل DORA مختلفة هيكلياً عن اللوائح المالية السابقة: المورد التكنولوجي لم يعد مجرد مقاول. بموجب DORA، أصبح كياناً خاضعاً للتنظيم مع التزاماته الخاصة.
الركائز الخمس للامتثال مع DORA
1. إدارة مخاطر ICT
يجب على الكيانات المالية الحفاظ على إطار شامل لإدارة مخاطر ICT — ليس وثيقة لمرة واحدة، بل نظاماً حياً. يعني ذلك تحديد الأصول بصفة مستمرة، وتصنيف التهديدات، وتقييم المخاطر، والضوابط الموثقة. مجالس الإدارة والإدارة العليا مسؤولون صراحةً: تشترط DORA هياكل حوكمة تضع الإشراف على مخاطر ICT على المستوى التنفيذي، لا داخل أقسام تقنية المعلومات المعزولة.
2. الإبلاغ عن الحوادث
تُقدّم DORA نظاماً متناسقاً وملزماً بمواعيد محددة للإبلاغ عن الحوادث. يجب الإبلاغ عن حوادث ICT الكبرى إلى السلطة الوطنية المختصة ضمن مواعيد صارمة: إشعار أولي خلال 4 ساعات من التصنيف، وتقرير وسيط خلال 72 ساعة، وتقرير نهائي للأسباب الجذرية خلال شهر واحد. تعريف “الحادث الكبير” دقيق — تغطي العتبات عدد العملاء المتأثرين، والامتداد الجغرافي، والاضطراب في قيم المعاملات، ونطاق الأضرار التي لحقت بالسمعة.
3. اختبار المرونة التشغيلية الرقمية
هنا ترفع DORA السقف بأوضح صورة. يجب على جميع الكيانات في النطاق إجراء اختبارات مرونة منتظمة، تشمل تقييمات الثغرات الأمنية والاختبارات القائمة على السيناريوهات. بالنسبة للمؤسسات المالية ذات الأهمية، تفرض DORA اختبارات اختراق موجهة بالتهديدات (TLPT — Threat-Led Penetration Testing) — تمارين فرق الاختراق المتقدمة التي تُجرى مرة على الأقل كل ثلاث سنوات. يجب أن تُنفَّذ TLPT من قِبل مختبرين معتمدين وتشمل أنظمة الإنتاج، لا بيئات الاختبار فحسب. تُغذّي النتائج مباشرةً إطار إدارة المخاطر وتُكشَف للمشرفين.
4. إدارة مخاطر الأطراف الثالثة في ICT
يجب على كل كيان مالي الحفاظ على سجل كامل ومحدث لجميع عقود ICT مع الأطراف الثالثة، وإجراء العناية الواجبة على المزودين الحيويين. يجب أن تتضمن العقود مع موردي ICT الحيويين بنوداً محددة: استراتيجيات الخروج، وحقوق التدقيق، ومعايير الأداء، وبشكل حاسم — حق جهة تنظيم الكيان المالي في تدقيق المورد. يجب رسم خرائط سلاسل التعاقد من الباطن ومراقبتها. يجب إدارة مخاطر التركز — الاعتماد المفرط على مزود واحد — بصورة فعّالة.
5. تبادل المعلومات
تشجع DORA صراحةً — وتشترط في بعض الحالات — على أن تتبادل الكيانات المالية معلومات استخبارات التهديدات والثغرات مع أقرانها والجهات التنظيمية عبر ترتيبات تبادل معلومات التهديدات السيبرانية المخصصة. هذا خيار سياسي متعمد: يرى الاتحاد الأوروبي أن الأمن السيبراني للقطاع المالي مشكلة دفاع جماعي، لا ميزة تنافسية.
من يتأثر فعلاً — بما في ذلك الشركات خارج الاتحاد الأوروبي
يمتد النطاق الإقليمي لـ DORA إلى ما هو أبعد بكثير من حدود الاتحاد الأوروبي. أي شركة ICT تقدم خدمات للمؤسسات المالية الأوروبية تقع ضمن النطاق إذا اعتُبرت هذه الخدمات حيوية. هذا له تداعيات مباشرة على عمالقة التكنولوجيا العالمية.
يخضع كل من AWS وMicrosoft Azure وGoogle Cloud للتدقيق بوصفها مزودين محتملين لخدمات ICT الحيوية من الأطراف الثالثة (CITPPs). تُخوَّل السلطات الرقابية الأوروبية (EBA وESMA وEIOPA) تحديد مزودين بعينهم بوصفهم CITPPs، مما يُطلق إطار إشراف مباشراً: يمكن للسلطة المعيّنة طلب المعلومات وإجراء التحقيقات وفرض الغرامات — بغض النظر عن مقر المزود.
من الناحية العملية، يعني ذلك أن مزود السحابة الذي يتخذ من سياتل أو دبلن مقراً له يجب أن يُثبت قدرات المرونة المتوافقة مع DORA للمنظمين الأوروبيين إذا كانت نسبة كبيرة من المؤسسات المالية في الاتحاد الأوروبي تعتمد على بنيته التحتية. النطاق الإقليمي الخارجي مقصود — يسد ثغرة المساءلة التي كانت موجودة عندما كانت البنوك الأوروبية تُسند وظائف حيوية إلى موردين خارج النطاق التنظيمي الأوروبي.
إعلان
أين يقف الامتثال في مطلع 2026
بدأ التطبيق في 17 يناير 2025، لكن مشهد الامتثال في مطلع 2026 لا يزال متفاوتاً. كشفت استطلاعات قطاعية من أواخر 2024 أن أقل من نصف المؤسسات المالية في الاتحاد الأوروبي اعتبرت نفسها ممتثلة بشكل جوهري لـ DORA عند الموعد النهائي للتطبيق. أصعب المجالات:
- تنفيذ TLPT — إيجاد مختبرين معتمدين، وتحديد نطاق اختبارات أنظمة الإنتاج، وإدارة التعقيد القانوني لاختراق البنية التحتية المصرفية الحية
- إعادة التفاوض على عقود الأطراف الثالثة — كثير من عقود الموردين الموروثة تفتقر إلى حقوق التدقيق وبنود الخروج التي تشترطها DORA الآن؛ وإعادة التفاوض تستغرق وقتاً وتتطلب نفوذاً
- جرد أصول ICT — اكتشفت كثير من البنوك متوسطة الحجم أن سجلات أصولها كانت غير مكتملة أو قديمة عند محاولة بناء خرائط مخاطر متوافقة مع DORA
- تحليل مخاطر التركز — أنتج مستوى اعتماد القطاعات المالية في بعض دول الاتحاد الأوروبي على عدد قليل من مزودي السحابة نتائج مقلقة في عدة تقييمات وطنية
أشارت الجهات التنظيمية إلى مبدأ التناسب — تواجه المؤسسات الأصغر التزامات مخففة بموجب إطار إدارة مخاطر ICT المبسط الصريح في DORA للكيانات دون العتبات المحددة. لكن التناسب لا يعني الإعفاء. يجب على جميع الكيانات في النطاق تطبيق المتطلبات الأساسية على الأقل.
ما تعنيه DORA لموردي السحابة والتكنولوجيا
بالنسبة لموردي التكنولوجيا، تغير DORA العلاقة التجارية مع العملاء الماليين بصورة دائمة. سيطالب العملاء الآن ببنود تعاقدية كانت في السابق مجرد نقاط تفاوض — حقوق التدقيق، ودقة SLA، ومواعيد الإخطار بالحوادث، والإفصاح عن المقاولين الفرعيين. يخاطر الموردون الذين يقاومون هذه الشروط بخسارة أعمالهم في القطاع المالي الأوروبي لصالح منافسين أكثر جاهزية للامتثال.
تُعدّ عملية تحديد CITPP العنصر الأعلى مخاطرة للموردين الكبار. يُطلق التحديد إشرافاً تنظيمياً مباشراً ويمكن أن يفرض متطلبات تشغيلية — كالحفاظ على بنية تحتية مخصصة في الاتحاد الأوروبي أو ضمانات إقامة البيانات — تتعارض مع البنية العالمية للمورد. استثمر عدد من كبار مزودي السحابة في مناطق السحابة السيادية الأوروبية استباقاً لهذه المتطلبات.
بالنسبة لشركات fintech الناشئة التي تبني منتجات البنية التحتية أو SaaS للشركات المباعة للبنوك الأوروبية، أصبح الامتثال لـ DORA متطلباً مسبقاً للبيع أكثر من كونه عاملاً تمييزياً. تتضمن فرق المشتريات المؤسسية في البنوك الآن استبيانات DORA في تدفقات استيعاب الموردين.
خطوات الامتثال العملية لعام 2026
بالنسبة للمنظمات التي لا تزال تعمل نحو الامتثال الكامل، تسير الأولويات وفق التسلسل التالي:
- إكمال جرد أصول ICT — لا يمكنك إدارة ما لا تراه. رسم خريطة لجميع الأنظمة وتدفقات البيانات والتبعيات من الأطراف الثالثة قبل أي شيء آخر.
- تصنيف عقود الأطراف الثالثة وتسجيلها — بناء السجل الذي تشترطه DORA، وتحديد المزودين الحيويين، وتحديد الثغرات التعاقدية.
- وضع بروتوكولات تصنيف الحوادث — تحديد مسبق لما يُشكّل حادثاً كبيراً وفق عتبات DORA. لا يمكن إيقاف ساعة الإخطار البالغة 4 ساعات بسبب جدال داخلي حول التصنيف.
- جدولة TLPT وتخصيص الموارد له — تتطلب هذه الخطوة للمؤسسات ذات الأهمية ميزانية ومختبرين خارجيين معتمدين وموافقة مجلس الإدارة. تمتد فترات الانتظار للحصول على مزودي TLPT المؤهلين من 6 إلى 9 أشهر.
- إشراك القسم القانوني في إعادة التفاوض على العقود — إعطاء الأولوية للموردين الأكبر والأكثر حيوية. بنود استراتيجية الخروج غير قابلة للتفاوض بموجب DORA.
- الإبلاغ لمجلس الإدارة — يجب أن تكون حوكمة مخاطر ICT مرئية على المستوى التنفيذي. يجب أن توثق محاضر مجلس الإدارة جلسات الإحاطة والقرارات المتعلقة بـ DORA.
DORA ليست تمريناً لمرة واحدة في الامتثال. إنها انضباط تشغيلي مستمر ستراقبه الجهات التنظيمية وتختبره وتطبقه. الجهات التي تعامله كمربع للوضع عليه علامة ستجد دورة الإشراف 2026 أكثر إرهاقاً من الموعد النهائي الأولي للتطبيق.
إعلان
🧭 رادار القرار (منظور الجزائر)
| البُعد | التقييم |
|---|---|
| الصلة بالجزائر | متوسطة — تحتاج شركات fintech الجزائرية الطامحة للتوسع في الاتحاد الأوروبي إلى فهم DORA؛ وتواجه البنوك الجزائرية ذات العلاقات المراسلة مع الاتحاد الأوروبي متطلبات غير مباشرة |
| البنية التحتية جاهزة؟ | جزئياً — تتوفر أنظمة تكنولوجيا المعلومات المصرفية؛ معايير المرونة على مستوى DORA غير موجودة بعد |
| المهارات متوفرة؟ | جزئياً — أدوار المخاطر والامتثال موجودة؛ الخبرة المحددة بـ DORA غائبة |
| الجدول الزمني للعمل | 6-12 شهراً للشركات المتعاملة مع الاتحاد الأوروبي |
| أصحاب المصلحة الرئيسيون | بنك الجزائر، CPA، BNA، شركات fintech الجزائرية المستهدفة للاتحاد الأوروبي، ARPCE |
| نوع القرار | استراتيجي |
خلاصة سريعة: تحتاج شركات fintech الجزائرية ذات الطموحات الأوروبية إلى البدء الآن في بناء أطر إدارة مخاطر ICT متوافقة مع DORA — ستكون شرطاً مسبقاً لأي شراكة مصرفية أوروبية أو دخول للسوق.
المصادر والقراءات الإضافية
- اللائحة (EU) 2022/2554 — قانون المرونة التشغيلية الرقمية — EUR-Lex
- نظرة عامة على DORA وتنفيذها — هيئة المصارف الأوروبية (EBA)
- قاعدة اللوائح التفاعلية لـ DORA — ESMA
- مزودو خدمات ICT الحيويون من الأطراف الثالثة بموجب DORA — S&P Global Market Intelligence
- امتثال DORA: ما يجب على المؤسسات المالية فعله — Deloitte
🔗 مقالات ذات صلة
إدارة الثغرات الأمنية بمساعدة الذكاء الاصطناعي: من الفحص إلى التصحيح في ساعات لا أسابيع
افتراض الاختراق: لماذا باتت المرونة السيبرانية تتفوق على الأمن السيبراني التقليدي
قانون المرونة السيبرانية الأوروبي يدخل مرحلته الحاسمة
كشف المحتوى المُولَّد بالذكاء الاصطناعي: C2PA وSynthID وسباق التسلح حول الأصالة
إعلان