З 17 січня 2025 року в дію вступив Закон про цифрову операційну стійкість (Regulation (EU) 2022/2554) або DORA (Digital Operational Resilience Act). DORA зосереджується на управлінні ризиками інформаційно-комунікаційних технологій (далі – ІКТ)[1], запроваджуючи чіткі правила управління ризиками ІКТ, звітування про інциденти, тестування операційної стійкості та нагляду за ризиками ІКТ третіх сторін.
До прийняття DORA фінансові установи переважно управляли операційними ризиками шляхом розподілу капіталу для покриття потенційних збитків. Такий підхід не охоплював усіх аспектів операційної стійкості, особливо щодо ризиків пов’язаних з ІКТ.
Регламент визнає, що інциденти пов’язані з ІКТ та відсутність операційної стійкості можуть загрожувати стабільності всій фінансовій системі, навіть, якщо для традиційних категорій ризиків виділено «адекватний» капітал. DORA заповнює цю прогалину, гарантуючи, що операційна стійкість – це не просто фінансові буфери, а здатність протистояти збоям в ІКТ та відновлюватися після них.
На кого поширюється?
DORA поширюється на всі фінансові установи в ЄС. Це стосується як традиційних фінансових установ, таких як банки, інвестиційні організації та кредитні установи, так і нетрадиційних, зокрема постачальників послуг щодо операцій з криптовалютами та краудфандингових платформ.
Слід зазначити, що DORA також застосовується до деяких суб’єктів, які зазвичай не підпадають під дію фінансового законодавства. Наприклад, сторонні постачальники послуг, які надають фінансовим установам ІКТ-системи та послуги, такі як провайдери хмарних сервісів і центри обробки даних.
Основні аспекти DORA
DORA встановлює вимоги у таких сферах:
- Управління ризиками ІКТ
- Управління інцидентами, пов’язаними з ІКТ, класифікація та звітування
- Тестування цифрової операційної стійкості
- Управління ризиками третіх сторін
- Організація обміну інформацією
Вимоги DORA будуть застосовуватися пропорційно, а це означає, що менші організації не будуть дотримуватися тих самих стандартів, що й великі фінансові установи. Хоча проекти регуляторних технічних стандартів та їх впровадження для кожної сфери все ще перебувають на стадії розробки, чинне законодавство DORA дає певне уявлення про загальні вимоги.
Що в загальному потрібно для відповідності DORA?
Ключові кроки, які допоможуть досягти відповідність:
- Основне – провести оцінку відповідності контролям DORA.
- Впровадити (або за наявності підтримувати) процес управління ризиками ІКТ.
- Переконатися, що постачальники послуг розуміють свої обов’язки відповідно до DORA.
- Застосовувати надійні заходи з кібербезпеки для дотримання DORA, що може створити більш безпечне середовище для конфіденційних фінансових даних.
- Регулярно проводити процес виявлення та аналізу вразливостей ІКТ.
- Розробити процедури щодо управління та звітування про інциденти інформаційної безпеки.
- Впровадити обмін інформацією, що може включати інформацію про поточні методи атак і способи запобігання їх реалізації.
Фінансові санкції за недотримання вимог DORA
DORA накладає фінансові санкції, які залежать від тяжкості та характеру порушення. Фінансові установи, визнані порушниками, можуть бути оштрафовані на суму до 2% від їхнього загального річного світового обороту або 1% від їхнього середньоденного обороту по всьому світу. Для фізичних осіб штрафи можуть сягати до 1 000 000 євро.
Для критично важливих сторонніх постачальників ІКТ накладаються ще більші штрафи, якщо вони не дотримуються DORA:
- для Компаній до 5 000 000 євро;
- для фізичних осіб – 500 000 євро.
Для порівняння, ці штрафи є більш суворими, ніж ті, що передбачені деякими нормативними актами, такими як GDPR.
[1] ІКТ в даній статті включає в себе програмне та апаратне забезпечення, що використовується фінансовими установами як локально, так і в хмарному середовищі.
