С 17 января 2025 года вступает в силу Закон о цифровой операционной устойчивости (Regulation (EU) 2022/2554), известный как DORA (Digital Operational Resilience Act). DORA фокусируется на управлении рисками в сфере информационно-коммуникационных технологий (далее — ИКТ), устанавливая чёткие правила управления ИКТ-рисками, отчётности об инцидентах, тестирования операционной устойчивости и контроля за рисками ИКТ третьих сторон.
До внедрения DORA финансовые учреждения в основном управляли операционными рисками путём распределения капитала для покрытия потенциальных убытков. Такой подход не охватывал все аспекты операционной устойчивости, особенно связанные с ИКТ-рисками.
Регламент признаёт, что инциденты, связанные с ИКТ, и отсутствие операционной устойчивости могут угрожать стабильности всей финансовой системы, даже если по традиционным категориям рисков выделен «адекватный» капитал. DORA устраняет этот пробел, гарантируя, что операционная устойчивость — это не просто финансовые буферы, но и способность противостоять ИКТ-сбоям и восстанавливаться после них.
На кого распространяется?
DORA распространяется на все финансовые учреждения ЕС. Это касается как традиционных финансовых учреждений, таких как банки, инвестиционные организации и кредитные учреждения, так и нетрадиционных, в частности, поставщиков услуг по операциям с криптовалютами и краудфандинговых платформ.
Следует отметить, что DORA также применяется к некоторым субъектам, обычно не подпадающим под действие финансового законодательства. К примеру, сторонние поставщики услуг, предоставляющие финансовым учреждениям ИКТ-системы и услуги, такие как провайдеры облачных сервисов и центры обработки данных.
Основные аспекты DORA
DORA устанавливает требования в следующих областях:
- Управление рисками ИКТ
- Управление инцидентами, связанными с ИКТ, классификация и отчетность
- Тестирование цифровой операционной стойкости
Управление рисками третьих сторон - Организация обмена информацией
Требования DORA будут применяться пропорционально, а это значит, что меньшие организации не будут соблюдать те же стандарты, что и крупные финансовые учреждения. Хотя проекты регуляторных технических стандартов и их внедрение для каждой сферы все еще находятся в стадии разработки, действующее законодательство DORA дает определенное представление об общих требованиях.
Что необходимо для соответствия DORA?
Основные шаги для обеспечения соответствия:
-
Проведение оценки соответствия контролям DORA
-
Внедрение (или поддержание) процесса управления ИКТ-рисками
-
Убедиться, что сторонние поставщики понимают свои обязательства в рамках DORA
-
Применение надёжных кибербезопасностных мер для защиты конфиденциальных данных
-
Регулярное проведение оценки уязвимостей ИКТ
-
Разработка процедур управления и отчётности об инцидентах
-
Внедрение механизмов обмена информацией — включая информацию о текущих угрозах и методах защиты
Финансовые санкции за несоблюдение DORA
DORA предусматривает значительные штрафы, зависящие от характера и степени нарушения. Финансовые учреждения, признанные нарушителями, могут быть оштрафованы:
-
До 2% от общего годового оборота по всему миру
-
Или 1% от их среднего дневного оборота по всему миру
Физическим лицам может быть назначен штраф до 1 000 000 евро.
Для критически важных сторонних ИКТ-поставщиков предусмотрены ещё более жёсткие санкции:
-
До 5 000 000 евро для компаний
-
До 500 000 евро для физических лиц
Эти штрафы в некоторых случаях строже, чем предусмотренные, например, регламентом GDPR.
[1] Под ИКТ в настоящем документе подразумеваются программные и аппаратные средства, используемые финансовыми учреждениями как локально, так и в облачной среде.
