ארבעת עמודי התווך של DORA דורשים באופן הגיוני ארבעה פתרונות, וקיימים מוצרים ייעודיים לכל אחד מהם בדרגות שונות. אבל ניהול סיכונים, דיווח על אירועים, בדיקות חוסן וסיכון צד שלישי אינם פועלים באופן עצמאי זה מזה. DORA מטפלת בהם יחד ללא הפרעה מסיבה טובה; ספקי פתרונות אבטחת סייבר ופתרונות אחרים לסיכונים תפעוליים עשויים לשקול לעשות את אותו הדבר.

רשתות התשלומים מכירות היטב את הצורך להיות "תמיד פעילות" באמצעות עיבוד החלפים שהן מספקות לבנקים כדי לעמוד בדרישות אימות לקוחות חזק (SCA) במהלך הפסקות וזמני השבתה של הבנק.

מעבר לאימות ואישור תשלומים, רשתות תשלום גם מגנות באופן רציף על כל הנתונים ברשתות שלהן. הגנה זו עשויה לכסות עסקאות המתמקדות אך ורק בכרטיסי אשראי או בתשלומים בזמן אמת בין חשבונות, או שהיא עשויה לשלב נתונים פיננסיים אחרים באמצעות בנקאות פתוחה או יותר ויותר באמצעות בלוקצ'יין.

מחזורים מתמשכים של כימות סיכוני סייבר מאפשרים לרשתות תשלומים לנהל סיכונים תפעוליים לרשתות מרובות המסילות שלהן ולאלה העומדים בפני הגופים הפיננסיים שהן משרתות. גישה כמותית זו לעמוד התווך הראשון של DORA לוקחת את אבטחת הסייבר מעבר למנטליות של משחקי ארקייד של הכנסת מטבעות באופן ריאקטיבי למכונת מזל כדי לבלום מתקפה בלתי פוסקת של התקפות. התאמה אישית פנימית יכולה לטפל בצרכים עסקיים ספציפיים, בעוד שהתאמה חיצונית מספקת תמיכה המבוססת על איומים דינמיים המתפתחים ללא הרף.

בדיקות חוסן באמצעות סימולציות של פריצות ותקיפות משלימות את ניהול הסיכונים על ידי חיקוי התנהגותם של גורמים זדוניים. הסימולציות יכולות לפעול ברציפות בתוך סביבת הייצור של הארגון כדי לטפל בעמוד השני של DORA, בעוד שפעילות העסקית נמשכת ללא הפרעה. הם יכולים לשמש גם כמערכת אימות מתמשכת המנטרת את יעילותן של בקרות אבטחה. התוצאות מספקות נתונים משופרים לניהול סיכונים, אשר בתורם מזינים מבחני חוסן נוספים במחזורים חיוביים. דוחות הנובעים מהבדיקות המתמשכות יכולים לאחר מכן להזין למנגנוני דיווח על אירועים עבור עמוד התווך השלישי של DORA לפי הצורך.

העמוד הרביעי, סיכון צד שלישי, מגיע לאחר ניהול סיכונים, דיווח על אירועים ובדיקות חוסן ב-DORA. נראה כי העמדה אינה משקפת חשיבות, אלא הכרה באופן שבו היא עומדת בבסיס שלושת עמודי התווך האחרים במערכת אקולוגית פיננסית.

סיכון צד שלישי צוין כאתגר הגדול ביותר מבין ארבעת עמודי התווך העיקריים של DORA בסקר בחסות מאסטרקארד שנערך בקרב צוותי סיכון של טכנולוגיית מידע ותקשורת (ICT) ב-20 גופים פיננסיים ב-20 מדינות האיחוד האירופי בין נובמבר 2022 לפברואר 2023.

האתגר נובע מהצורך הגובר בחוסן של המערכת האקולוגית , כאשר הסיכון מצד צד שלישי עובר ממנטליות של "אני נגד הם" ל"אנחנו" קולקטיבית, העומדת בבסיס כל שאר ההיבטים של אבטחת סייבר. המטרה הכוללת של DORA היא לספק חוסן מערכת אקולוגית זה לאיחוד האירופי, ובאופן אידיאלי לכל העולם.

מנקודת מבט גלובלית, DORA אינו דורש לוקליזציה של נתונים בנוגע לטיפול בנתונים הנכנסים והיוצאים מהאיחוד האירופי. ובכל זאת, DORA אינה חסינה מפני "אפקט בריסל", המתייחס להשפעת חקיקת האיחוד האירופי מעבר לגבולותיה הגיאוגרפיים.

באופן ספציפי יותר, במונחים של DORA עצמו וסיכון צד שלישי, סעיפים 36 ו-44 מתייחסים לפעילויות של רשויות פיקוח אירופאיות "מחוץ לאיחוד" ולפיתוח שיטות עבודה מומלצות באמצעות "שיתוף פעולה בינלאומי".

משמעות ההיקף היא שיכולתן של גופים פיננסיים להתמודד עם DORA תלויה בפתרונות הוליסטיים מצד ספקים, כגון רשתות תשלומים גלובליות, עם שותפויות המשתרעות על פני המערכת האקולוגית הפיננסית. המעגל הטוב של ניהול סיכונים וחוסן יכול להפיק תועלת נוספת מכלכלות הגודל הקשורות למערכת אקולוגית פיננסית גדושה ביחסים מובנים עם צד שלישי. גישות ייעודיות לסיכון צד שלישי, כגון ניטור חשיפה מקוונת וסיכון מערכתי, משלימות את גישת הרשת.

חוק החוסן התפעולי הדיגיטלי נשמע הרבה יותר נגיש תחת ראשי התיבות האישיים שלו DORA. גופים פיננסיים באיחוד האירופי ובמקומות אחרים יצטרכו להכיר היטב את DORA עד ינואר 2025, כאשר האכיפה תיכנס לתוקף.

הסקר בחסות מאסטרקארד מצביע על כך שגופים פיננסיים יתחילו ביישום תאימות באמצע 2023 לאחר השלמת הערכות פערים. חבילת פתרונות מקיפה או "הרמונית" אמורה לעזור להם להגיע בזמן.

עם זאת, עזרה זו צריכה לעלות על אספקת פתרונות מחוברים בלבד כדי לענות על צרכי התאימות. DORA תלויה ביותר מאשר רק בגופים פיננסיים בודדים העומדים בדרישות החוק. זה תלוי גם בגופים פיננסיים שמכירים בצורך להתאחד ברחבי המערכת האקולוגית הפיננסית באמצעות גישת רשת.

בלי הרשת הזו, סביר להניח שיהיה ניתוק. תוצאה אירונית למעשה שנועד לשרת עולם מחובר.