В начале 2025 года в ЕС вступил в действие специальный регламент обеспечения противодействия возможным кибернетическим угрозам, с которыми может столкнуться предприятие, работающее в сфере финансов.
Так называемый Регламент DORA или Digital Operational Resilience Act (EU) 2022/2554 — это новый регламент Европейского союза, по мысли законодателя, направленный на обеспечение цифровой операционной устойчивости финансового сектора и связанных с ним организаций. Регламент DORA был одобрен в конце 2022 года, и с 2023 года проходил процесс подготовки к внедрению новых требований. Полное вступление в силу всех положений регламента состоялось 17 января 2025 года
Сфера применения регламента DORA
Его основная цель — установить единые требования и стандарты, позволяющие финансовым учреждениям лучше защищаться от киберугроз, а также оперативно реагировать и восстанавливаться в случае киберинцидентов.
Регламент распространяется на широкий круг организаций, связанных с финансовым сектором, а именно: банки, страховые компании, инвестиционные фонды, платёжные сервисы, криптобиржи и т. д. Как крупные предприятия, а также малые и средние бизнесы финансового сектора.
Под действие регламента DORA может попасть и третья сторона, т.е. поставщики технологических услуг (например, облачные сервисы), которые оказывают критически важные услуги финансовым организациям.
В отличие от подходов, сосредоточенных главным образом на финансовых рисках и капитальных резервах, DORA требует системной стратегии цифровой устойчивости. Финансовые организации должны не только совершенствовать системы защиты от киберугроз, но и разрабатывать планы по выявлению, контролю и восстановлению после сбоев в их информационных и коммуникационных технологиях (ИКТ).
Поэтому DORA уделяет приоритетное внимание именно ИКТ-рискам, устанавливая требования к управлению рисками, отчётности об инцидентах, тестированию устойчивости и мониторингу рисков, связанных с внешними поставщиками IT-услуг. Такой подход подчёркивает решающую роль технологий в финансовом секторе и потенциальные системные риски, которые могут возникнуть при сбоях в ИКТ.
Сферы, на которые распространяется DORA
DORA затрагивает широкий спектр секторов в финансовой системе ЕС. Его положения охватывают разные типы организаций:
Прежде всего, это Финансовые институции и банки: Компании, занимающиеся приёмом депозитов, выдачей кредитов, инвестициями, обменом валют и т. д.
Далее — Технологические компании, работающие с финансовыми данными: Организации, обрабатывающие или хранящие финансовую информацию (включая платёжные процессоры и финтех-стартапы (fintech startups)).
Под действие Регламента подпадают Крупные предприятия, подчиняющиеся законодательству ЕС: Крупные корпорации, ведущие деятельность в ЕС и обязанные соблюдать комплекс финансовых и регулирующих норм, включая DORA.
А также Малые и средние предприятия финансового сектора, предоставляющие финансовые продукты и услуги, также попадают под действие требований DORA наряду с более крупными организациями.
Основные требования регламента DORA
Основные требования регламента включают в себя: управление рисками в Информационно-коммуникационных технологиях (ИКТ-рисками): организациям необходимо внедрять и регулярно обновлять процессы для выявления, оценки и управления киберрисками. Такая система должна охватывать весь жизненный цикл ИКТ — от проектирования и разработки до внедрения и вывода из эксплуатации;
Предполагается обязательный мониторинг и тестирование: т.е. регулярное тестирование ИТ-инфраструктуры (включая стресс-тесты и киберучения) для своевременного выявления уязвимостей. Объём тестирования должен соотноситься с уровнем рисков конкретного бизнеса и может варьироваться от базовых проверок до специализированных тестов, смоделированных по типу реальных кибератак;
Регламент предусматривает Устойчивость к инцидентам. Создание и поддержание планов непрерывности и восстановления после киберинцидентов, и определение внутренних процедур, кто и как должен действовать в экстренной ситуации.
Отчётность об инцидентах – важная составная часть Регламента: единые правила для информирования регулирующих органов об инцидентах в области информационной безопасности и кибератак, чтобы повысить прозрачность и эффективность мер реагирования. Это гарантирует, что связанные с ИКТ проблемы будут быстро обнаружены, детально описаны и оперативно урегулированы, чтобы минимизировать последствия. Необходимо также вести подробный журнал инцидентов и быть готовым при необходимости предоставить данные регулирующим органам.
И наконец, предполагается Взаимодействие с поставщиками в целях контроля и мониторинга рисков, которые могут возникнуть из-за зависимостей от внешних технологических партнёров (например, облачных провайдеров). Организация должна гарантировать, что такие поставщики способны поддерживать необходимый уровень устойчивости, и нести ответственность за соответствие их деятельности требованиям.
Цели и преимущества
DORA стремится унифицировать и стандартизировать подход к информационной безопасности и операционной устойчивости в финансовом секторе по всему ЕС. Цель унификации защита от киберугроз посредством повышения устойчивости к кибератакам и снижение рисков, связанных с финансовыми потерями в результате кибератак и репутационным ущербом.
Благодаря более жёстким правилам и прозрачности вырастет доверие клиентов к финансовым организациям. А единый набор норм упрощает регулятивную среду, поскольку компаниям не нужно ориентироваться сразу на несколько разных национальных требований.
Таким образом, Регламент DORA призван повысить киберустойчивость и обеспечить надёжность финансовых услуг во всём ЕС, защищая как сами организации, так и их клиентов от современных киберугроз и технологических рисков.
Санкции за несоблюдение требований Регламента
Digital Operational Resilience Act (DORA) предусматривает существенные санкции за несоблюдение регламента. Список санкций включает в себя административные штрафы размер, которых может достигать 1% от среднесуточного мирового оборота. Более того штраф может увеличиваться за каждый день несоответствия регламенту, пока организация не исправит все нарушения.
Помимо штрафов несоблюдение требований может нанести урон репутации компании, потерю доверия со стороны клиентов, инвесторов и других заинтересованных сторон. Кроме того нарушение Регламента DORA может повлечь за собой усиленный надзор со стороны регулятора. Также нарушения требований DORA могут вызвать сбои в работе сервисов и операциях, что отрицательно скажется на удовлетворённости клиентов и репутации.
В исключительных случаях при серьёзных нарушениях лица, ответственные за принятие решений, могут нести уголовную ответственность. Важно понимать, что эти санкции не исключают друг друга. Организация может одновременно столкнуться с несколькими видами последствий: от штрафов до репутационных потерь и возможных уголовных мер.
Свяжитесь с нами
Чтобы избежать подобных санкций, финансовые организации должны самостоятельно предпринять меры для установления соответствия требованиям DORA, то есть регулярно проводить оценку рисков, разрабатывать планы реагирования на инциденты, тестировать устойчивость и контролировать риски взаимодействия с третьими сторонами.
Компания Eesti Firma занимается юридическим сопровождением и консалтингом предприятий действующих на рынке цифровых активов. Eesti Firma, учитывая индивидуальные особенности каждого своего клиента, готова дать консультацию и разъяснения порядка применения Регламента DORA.
