В этой статье мы рассмотрим детали Закона о цифровой операционной устойчивости (DORA), его цели и преимущества, на кого он распространяется и как повлияет на платежную экосистему ЕС
Европейский Союз делает важный шаг на пути к защите финансового ландшафта, принимая Закон о цифровой операционной устойчивости (Digital Operational Resilience Act, DORA) — инициативу, которая является частью новой Стратегии цифровых финансов, имеющей целью определить, как финансовые компании должны управлять цифровыми рисками. Этот законодательный акт был принят 16 января 2023 года и дал финучреждениям два года на то, чтобы соответствовать его требованиям, когда он вступит в силу 17 января 2025 года.
Это изменение, на которое стоит обратить внимание корпоративным архитекторам и IT-директорам в финансовом секторе. DORA представляет собой значительное изменение в регуляторных требованиях, требуя надежных мер кибербезопасности и планов действий на случай чрезвычайных ситуаций как для финансовых учреждений, так и для их сторонних поставщиков услуг.
Закон DORA — это больше, чем просто соблюдение нормативных требований. Повышенная цифровая операционная устойчивость способствует созданию более безопасной финансовой экосистемы, защищая конфиденциальные данные клиентов, повышая доверие потребителей и минимизируя системные риски. Заранее готовясь к регулированию DORA ЕС, бизнес может не только обеспечить соответствие требованиям, но и получить конкурентное преимущество в меняющемся финансовом ландшафте.
Что такое DORA и почему важен этот закон?
DORA создает надежную нормативно-правовую базу, направленную на предотвращение, выявление и реагирование на киберугрозы и операционные сбои. Предлагаем обзор, который объясняет, что такое DORA и что он предусматривает на высоком уровне:
- сосредоточение на управлении рисками: DORA требует создания комплексной системы управления рисками в области ИКТ (информационно-коммуникационные технологии), включающей оценку уязвимости, стратегии смягчения последствий и постоянный мониторинг;
- проверка третьей стороны: финансовые учреждения должны проводить тщательную комплексную проверку и потенциально привлекать к сотрудничеству только тех сторонних поставщиков, которые соответствуют требованиям DORA, чтобы усилить общую систему безопасности;
- реагирование на инциденты и тестирование: DORA предусматривает периодическое тестирование возможностей цифровой операционной устойчивости и требует внедрения систем управления для мониторинга и отчетности о значительных инцидентах, связанных с ИКТ, соответствующим органам власти;
- обмен информацией: DORA поощряет, но не обязывает финансовые учреждения обмениваться информацией и разведывательными данными о киберугрозах. Такой обмен должен происходить в рамках сообществ, которым доверяют, и быть формализованным с помощью структурированных договоренностей. Любая информация, которой обмениваются, должна сообщаться соответствующим надзорным органам, что будет способствовать совместному подходу к повышению цифровой операционной устойчивости.
Интересное по теме: Регламент MiCA создает угрозу для стейблкоинов и банков — СЕО Tether
На кого распространяется действие DORA?
Закон о цифровой операционной устойчивости применяется к широкому кругу финансовых учреждений, включая банки, поставщиков платежных услуг и поставщиков критической инфраструктуры в финансовом секторе. Кроме того, под сферу действия DORA подпадают любые сторонние поставщики, которые предоставляют услуги в области информационно-коммуникационных технологий (ИКТ) этим финансовым учреждениям. KPMG имеет подробный перечень организаций, на которые распространяется действие DORA.
Как DORA влияет на финансовый сектор Европейского Союза
Современные финансы процветают благодаря надежной цифровой инфраструктуре. Банки, платежные сервисы и инвестиционные компании в значительной степени полагаются на технологии для предоставления основных услуг. От защищенных платформ онлайн-банкинга до транзакций в режиме реального времени — эти системы обеспечивают бесперебойное функционирование финансовой экосистемы.
Такая зависимость от технологий несет в себе определенные риски. Кибератаки являются постоянной угрозой, что может привести к остановке финансовых операций, компрометации конфиденциальных данных и подрыву доверия потребителей. Кроме того, перебои в работе IT, вызванные техническими сбоями или стихийными бедствиями, могут иметь не менее разрушительные последствия.
Как отмечается в аналитическом отчете Lloyds of London:
«Если произойдет кибератака на крупную платежную систему финансовых услуг, глобальные потери могут достичь $3,5 трлн за пятилетний период».
Закон DORA вводится с целью снизить эти огромные потенциальные расходы для организаций и экономики в целом, а также защитить безопасность и конфиденциальность отдельных граждан и услуг, на которые они полагаются.
В целом, DORA существенно меняет кибербезопасность европейского финансового сектора, вводя строгие меры для повышения операционной устойчивости и обеспечения надежной защиты от киберугроз:
Преимущества соблюдения DORA
В 2020 году ФБР определило, что компрометация деловой электронной почты остается наиболее значимой киберугрозой. Национальный центр кибербезопасности Великобритании (NCSC) также предупредил о фишинговых кампаниях и выпустил рекомендации, которые включают развертывание глобального отраслевого стандартного протокола DMARC в качестве первой линии защиты.
Однако бизнес, как правило, не спешит реагировать на значительные киберугрозы. Хотя Закон о цифровой операционной устойчивости создает вызовы для IT-лидеров в финансовом секторе, он также предоставляет возможность устранить потенциальные слабые места в системе безопасности. Хотя реализация положений DORA требует определенных усилий, преимущества являются существенными:
- усиление безопасности: DORA обязывает финансовые учреждения принимать надежные меры кибербезопасности, что приводит к повышению безопасности финансовой экосистемы в целом. Более безопасная финансовая среда защищает ценные данные и способствует укреплению доверия с клиентами;
- снижение системного риска: DORA способствует проактивному управлению рисками и планированию реагирования на инциденты. Повышенная устойчивость позволяет финансовым учреждениям лучше противостоять сбоям и быстрее восстанавливаться после непредсказуемых кризисов, минимизируя их экономическое влияние;
- конкурентное преимущество: DORA способствует созданию более безопасного и устойчивого финансового ландшафта. Демонстрируя приоритетность цифровой операционной устойчивости, финансовые учреждения могут повысить доверие потребителей к финансовым услугам, на которые они полагаются, и получить конкурентное преимущество.
Читайте популярное: Как меняется рынок цифровых денежных переводов: отчет 2024
График имплементации DORA в ЕС
Ниже приведены ключевые даты имплементации Закона о цифровой операционной устойчивости в ЕС:
- Ноябрь 2022 года: DORA был официально принят Европейским Союзом, что стало отправной точкой для процесса имплементации.
- 16 января 2023 года: вступление в силу.
- 29 сентября 2023 года: Европейские надзорные органы (ESA) опубликовали свой ответ на запрос о предоставлении консультаций по критериям критичности и сборам.
- 17 января 2024 года: ESA опубликовали первый набор правил в соответствии с DORA по управлению рисками ИКТ и третьих сторон, а также классификации инцидентов.
- 12 марта 2024 года: ESA опубликовали совместный отзыв на вторую партию политических продуктов DORA, касающихся таких сфер, как надзор за критически важными сторонними провайдерами, тестирование на проникновение и отчетность о серьезных инцидентах.
- 17 июля 2024 года: ожидаемая поставка второй партии политических продуктов.
- 17 января 2025 года: DORA вступает в полную силу. До этой даты финансовые учреждения и соответствующие сторонние поставщики услуг должны соответствовать требованиям Закона.
Этапы подготовки финансового сектора к выполнению требований DORA
В процессе: финансовые учреждения должны ознакомиться с целями и ключевыми положениями DORA. Это включает просмотр официальных документов ЕС и доступных ресурсов соответствующих надзорных органов.
Отныне и до сентября 2024 года: финансовые учреждения должны провести оценку пробелов, чтобы определить сферы, в которых существующие политики и практики необходимо скорректировать, чтобы соответствовать требованиям DORA. Они должны разработать дорожную карту соответствия новому Закону на основе опубликованных RTS и ITS. Эта дорожная карта должна определять приоритеты действий и устанавливать сроки для достижения соответствия.
Читайте также: Влияние блокчейн-технологий на украинский банковский сектор
В период с сентября 2024 года по январь 2025 года: финансовые учреждения будут внедрять меры в соответствии со своей дорожной картой соответствия DORA. Это может включать:
- обновление системы управления рисками для приведения ее в соответствие с требованиями DORA;
- проведение комплексной юридической проверки и возможный пересмотр контрактов со сторонними поставщиками услуг для обеспечения их соответствия требованиям DORA;
- разработка и тестирование планов реагирования на инциденты и процедур отчетности;
- обучение персонала требованиям DORA и новым операционным процедурам;
- проведение внутренних аудитов для обеспечения соблюдения положений DORA.
До 17 января 2025 года: финансовые учреждения должны полностью соответствовать требованиям DORA. Это предусматривает создание системы управления рисками, надежных планов реагирования на инциденты и процедур уведомления о серьезных инцидентах, связанных с ИКТ.
Финансовые учреждения должны следить за официальными уведомлениями ЕС и соответствующих надзорных органов о любых изменениях в графике или конкретных требованиях.
Вывод
DORA имеет целью создать единые рамки для обеспечения того, чтобы все финансовые учреждения, включая поставщиков критически важных ИКТ-услуг (информационно-коммуникационные технологии), поддерживали надежную операционную устойчивость. Поскольку цифровая трансформация увеличивает потенциальные новые риски в секторе, мандат DORA имеет решающее значение для поддержания общей стабильности финансовой системы.
Новый Закон знаменует собой значительную эволюцию в регуляторном ландшафте, определяя, как финансовые учреждения ЕС управляют и отчитываются о своей операционной устойчивости, особенно в отношении ИКТ-рисков. Учитывая то, что его полное применение запланировано на январь 2025 года, для финансовых учреждений крайне важно начать активную подготовку к выполнению этих новых стандартов.
Чтобы адаптироваться к DORA, финансовые учреждения должны разработать передовые системы мониторинга. Эти системы необходимы для сбора и передачи данных в реальном времени, обеспечивая, чтобы регуляторные органы и заинтересованные стороны были хорошо информированы о рисках и инцидентах, связанных с ИКТ.
Внедрение такого мониторинга не только удовлетворяет регуляторные требования, но и повышает доверие, демонстрируя приверженность высоким стандартам устойчивости.
Ознакомьтесь с другими популярными материалами:
Участники финансовых рынков: основные группы и их роли
Что такое дропы и как побороть распространенную преступную схему
Как изменился банковский сектор во втором квартале 2024 года — аналитический отчет НБУ
По материалам: eba.europa.eu, ardoq.com, keepit.com, Fintech.Global.