הפאניקה של ינואר 2025 הסתיימה לחלוטין. אבל עבור המנהיגים המצליחים ביותר במגזר הפיננסי, העבודה האמיתית, והגמול האמיתי, רק החלו. אנו חוקרים כיצד חוק החוסן התפעולי הדיגיטלי העביר את השיח מ"הימנעות מקנסות" ל"הגנה על הכנסות".
בעוד שרבים ראו בחוק החוסן התפעולי הדיגיטלי (DORA) נטל ציות, שנים עשר החודשים האחרונים חשפו את תפקידו האמיתי: זוהי תוכנית אב לזמן פעילות. כעת אנו רואים הוכחות מוחשיות לכך שהמנגנונים הספציפיים ש-DORA אוכף, דהיינו בדיקות דיגיטליות קפדניות ומיפוי עמוק של שרשרת האספקה, עושים יותר מאשר לספק את הרגולטורים. הם מונעים הפסקות חשמל שפוגעות בהכנסות.
כדי להבין מדוע, עלינו לבחון את השינוי התרבותי שחל בחדרי הישיבות.
הפסקות שלא התרחשו
קשה להאמין שחלפה שנה שלמה מאז המועד האחרון של ה-17 בינואר. החזירו את תשומת ליבכם לסוף 2024: ניתוחי הפערים המטורפים, הלילות המאוחרים של בחינת חוזים של צדדים שלישיים בתחום ה-ICT, והמאבק למפות פונקציות קריטיות.
עבור רבים, זה היה קו הסיום. אבל עבור "המנצחים" של 2025, זה היה יריית הפתיחה לעידן חדש של הגנה אקטיבית.
"ארגונים רבים רואים ב-DORA אך ורק מכשול רגולטורי", אומר כריס ניוטון-סמית', מנכ"ל ISMS.online. "אבל השינוי הקריטי ביותר שעסקים צריכים לעשות הוא לשאול את השאלות הנכונות לגבי תאימותם. יותר מדי עסקים מתמקדים ב'האם אנחנו תואמים?' כאשר השאלה החשובה יותר היא 'האם התאימות שלנו באמת עוזרת לנו להמשיך לפעול כשמשהו משתבש?'"
כפי שמציין ניוטון-סמית', כאשר משנים את צורת החשיבה, "הציות לחוקים מפסיק מהר מאוד להיות תרגיל של סימון מתקנות ומתחיל להגן באופן פעיל על הארגון".
אולי ההשפעה המשמעותית ביותר של DORA הייתה "הניצחונות הבלתי נראים", ההפסקות שמעולם לא התרחשו.
כדי להבין את גודל השינוי הזה, עלינו לבחון את הלך הרוח של התעשייה בדיוק כשהכללים נכנסו לתוקף. אטיין בואט, מנהל בכיר בחברת הייעוץ Wavestone, מוזהר בינואר 2025 שהתעשייה מסתכנת בפספסת הנקודה אם תתמקד רק בניירת.
"אין לראות את DORA רק כתרגיל ציות", ציין בואט באותה תקופה. "כן, ישנן דרישות רגולטוריות לעמוד בהן, אך האתגר האמיתי טמון בבניית חוסן... ציות לבדו אינו מספיק אם הוא לא מגיע עם שיפורים אמיתיים בחוסן."
אלו שהקשיבו לעצה זו קוצרים כעת את הפירות. בשנים עשר החודשים האחרונים, ראינו ארגונים עוברים מ"מגן נייר", מדיניות המצהירה שהם בטוחים, ל"כיפת ברזל" של הגנה אקטיבית. זה לא היה אופציונלי. דרישת DORA להדגים כיצד תתאושש משיבוש חמור במערכות מידע ותקשורת אילצה את הצוותים לבחון את התיאוריות שלהם.
התוצאה היא נוף של מערכות שבאמת מתאוששות. כאשר שגיאות קלות בתצורת הענן פגעו במעבדי התשלומים מוקדם יותר השנה, הבנקים התואמים ל-DORA לא נעלמו. פרוטוקולי היתירות שלהם, שנבדקו ושוכללו במסגרת עמוד התווך של DORA לבדיקות חוסן תפעולי דיגיטלי, נכנסו לתוקף באופן אוטומטי.
עידן חדש של בגרות
שינוי זה מסמן התבגרות של התעשייה. במשך שנים, מגזר הפינטק בפרט התאפיין בצמיחה מהירה, לעתים קרובות על חשבון יציבות. DORA למעשה אילצה שיחה "בוגרת" על סיכונים.
עד אמצע 2025, הלחץ של המעבר הזה היה גלוי לעין. לכל האוכלוסין סקר דו"ח שפורסם ביולי 2025 גילה כי שישה חודשים לאחר תחילת המשטר, 96% מהארגונים הפיננסיים באזור EMEA עדיין חשו שעמידות הנתונים שלהם "לא הייתה כפי שהיא צריכה להיות".
נתון זה מדגיש את הפער בשוק. מצד אחד, 96% התקשו להתאים חוסן למערכות מדור קודם. מצד שני, ה"מנצחים" הזריזים שהשתמשו ב-DORA כתוכנית אב למודרניזציה של הארכיטקטורה שלהם.
עבור המנצחים, "סוף המעבר המהיר והשבירת דברים" הוא מה שמעניין כעת את הדירקטוריון. כאשר הם מציגים דוחות סוף שנה, מנהיגי אבטחה כבר לא רק מפרטים את סטטוס התאימות. הם מפרטים את ההכנסות המשוערות שנחסכו משום שמערכות נשארו פעילות כאשר המתחרים לא.
שרשרת אספקה: "הפאזל" של חיבוריות
אם 2024 הייתה שנת ה"אמון" בספקים, 2025 ו-2026 היו השנים של ניטורם. ההסתמכות על צדדים שלישיים תמיד הייתה סיכון ידוע, אך DORA אילצה ארגונים לכמת אותו.
אולף יונקרס, מנהל אבטחת הפנים הראשי בפלטפורמת הזהות הדיגיטלית itsme, הדגיש את השינוי הזה באחריותיות כבר בפברואר 2025.
"DORA מבטיחה שספקי טכנולוגיות מידע ותקשורת המספקים שירותים לחברות פיננסיות (FSI) יהיו אחראים כראוי לשמירה על ממשל פנימי חזק", ג'ונקרס מוסבר"זה חשוב מאוד משום שההסתמכות הגוברת של חברות תקשורת ותקשורת (FSI) על ספקי טכנולוגיות מידע ותקשורת (ICT) משמעותה שקריסת מערכת או פריצה עלולות פתאום להפחית את הפעילות לחלק קטן."
ההתמקדות של DORA בניהול סיכונים של צד שלישי (TPRM) בתחום ה-ICT אילצה ארגונים למפות את התלות הללו. צוותי אבטחה גילו ככל הנראה שפונקציה "קריטית" הסתמכה על ספק שהסתמך על ספק אחר שלא הייתה לו תוכנית גיבוי.
המיפוי הראשוני היה כואב. אבל התועלת התפעולית הייתה עצומה. אנחנו כבר לא מופתעים מכשלים של צד רביעי. בעבר, הפסקת פעילות אצל ספק הייתה תירוץ תקף: "זו לא אשמתנו, זו ספק הענן". התירוץ הזה כבר לא עובד אצל הלקוחות, ובוודאי שלא אצל הרגולטורים. בגלל DORA, אסטרטגיות יציאה והגדרות מרובות ספקים עבור פונקציות קריטיות הן כיום נוהג סטנדרטי.
ציות כגורם מניע ערך
הסכנה בעולם "שאחרי הדד-ליין" הזה היא שאננות. נוף הסיכונים משתנה מדי יום; אם תיעוד החוסן הוא סטטי, ארגון כבר אינו עומד בדרישות.
ראינו צוותים רבים מתקשים בשנה האחרונה משום שהם התייחסו ל-DORA כפרויקט "חד פעמי". הם בנו את מרשם המידע שלהם באקסל, תיעקו אותו, ומאז לא בדקו אותו. נתונים אלה מיושנים כעת.
"העדיפות היא לשמור על תאימות 'חיה' ותפעולית", מייעצת ניוטון-סמית'. "אנו רואים שמסגרות כמו DORA מספקות את הערך הרב ביותר לעסקים כאשר להנהגה שלהם יש תמונה בזמן אמת של תאימות... משמעות הדבר היא שעסקים צריכים לעבור מעבר למסמכים סטטיים ומעקב ידני לעבר כלים המציעים פיקוח מתמשך."
ניהול חוסן תפעולי דינמי באמצעות כלים סטטיים אינו אפשרי עוד. מנהלי אבטחה זקוקים לתצוגה "חיה" של סיכונים. אם תוקף אישור האבטחה של ספק מפתח פג, יש לעדכן את רישום הסיכונים באופן מיידי.
חוסן הוא הכנסה
עידן "הפחד, חוסר הוודאות והספק" (FUD) של מכירת אבטחת סייבר הסתיים. DORA דחפה את התעשייה לעידן החוסן כגורם מניע ערך.
הארגונים שינצחו ב-2026 לא יהיו אלה ש"עברו" את השלב הראשון בינואר האחרון. הם אלה שהשתמשו במסגרת כדי להקשיח את פעילותם. הם חווים פחות אירועי השבתה, מנהלים סיכוני ספקים באופן יזום, וישנים טוב יותר בלילה בידיעה שתוכניות ההתאוששות שלהם באמת עובדות.
כדי להבין את הערך האמיתי של שינוי זה, על מנהיגים להסתכל אחורה על יומני האירועים שלהם מששת החודשים האחרונים. על ידי זיהוי "כמעט היתקלות" שנתפסו על ידי בקרות שהוטמעו עבור DORA, וחישוב העלות הפוטנציאלית אילו אירועים אלה היו מתפתחים להפסקות חשמל מלאות, המציאות הפיננסית מתבהרת. נתון זה, עלות האסון שלא התרחש, הוא הערך האמיתי של עמידה בדרישות. המועד האחרון חלף, אך עידן היציבות כאן עבור אלו שיש להם את הכלים ליהנות ממנו.
