Імплементація DORA в Європі: що зміниться для фінансових установ

У цій статті ми розглянемо деталі Закону про цифрову операційну стійкість (DORA), його цілі та переваги, на кого він поширюється та як вплине на платіжну екосистемуЄС

Імплементація DORA в Європі: що зміниться для фінансових установ Фото: freepik.com

Європейський Союз робить важливий крок на шляху до захисту фінансового ландшафту, ухвалюючи Закон про цифрову операційну стійкість (Digital Operational Resilience Act, DORA) — ініціативу, яка є частиною нової Стратегії цифрових фінансів, що має на меті визначити, як фінансові компанії повинні управляти цифровими ризиками. Цей законодавчий акт був прийнятий 16 січня 2023 року і дав фінустановам два роки на те, щоб відповідати його вимогам, коли він набуде чинності 17 січня 2025 року.

Це зміна, на яку варто звернути увагу корпоративним архітекторам та ІТ-директорам у фінансовому секторі. DORA являє собою значну зміну в регуляторних вимогах, вимагаючи надійних заходів кібербезпеки та планів дій на випадок надзвичайних ситуацій як для фінансових установ, так і для їхніх сторонніх постачальників послуг.

Закон DORA — це більше, ніж просто дотримання нормативних вимог. Підвищена цифрова операційна стійкість сприяє створенню більш безпечної фінансової екосистеми, захищаючи конфіденційні дані клієнтів, підвищуючи довіру споживачів та мінімізуючи системні ризики. Заздалегідь готуючись до регулювання DORA ЄС, бізнес може не лише забезпечити відповідність вимогам, але й отримати конкурентну перевагу в мінливому фінансовому ландшафті.

Що таке DORA і чому важливий цей закон?

DORA створює надійну нормативно-правову базу, спрямовану на запобігання, виявлення та реагування на кіберзагрози та операційні збої. Пропонуємо огляд, який пояснює, що таке DORA і що він передбачає на високому рівні:

• зосередження на управлінні ризиками: DORA вимагає створення комплексної системи управління ризиками в галузі ІКТ (інформаційно-комунікаційні технології), що включає оцінку вразливості, стратегії пом’якшення наслідків і постійний моніторинг;
• перевірка третьої сторони: фінансові установи повинні проводити ретельну комплексну перевірку і потенційно залучати до співпраці лише тих сторонніх постачальників, які відповідають вимогам DORA, щоб посилити загальну систему безпеки;
• реагування на інциденти та тестування: DORA передбачає періодичне тестування можливостей цифрової операційної стійкості та вимагає впровадження систем управління для моніторингу та звітування про значні інциденти, пов’язані з ІКТ, відповідним органам влади;
• обмін інформацією: DORA заохочує, але не зобов’язує фінансові установи обмінюватися інформацією та розвідувальними даними про кіберзагрози. Такий обмін повинен відбуватися в межах спільнот, яким довіряють, і бути формалізованим за допомогою структурованих домовленостей. Будь-яка інформація, якою обмінюються, повинна повідомлятися відповідним наглядовим органам, що сприятиме спільному підходу до підвищення цифрової операційної стійкості.

Фон: freepik.com, pngwing.com

Цікаве по темі: Регламент MiCA створює загрозу для стейблкоїнів та банків — СЕО Tether

На кого поширюється дія DORA?

Закон про цифрову операційну стійкість застосовується до широкого кола фінансових установ, включаючи банки, постачальників платіжних послуг та постачальників критичної інфраструктури у фінансовому секторі. Крім того, під сферу дії DORA підпадають будь-які сторонні постачальники, які надають послуги в галузі інформаційно-комунікаційних технологій (ІКТ) цим фінансовим установам. KPMG має детальний перелік організацій, на які поширюється дія DORA.

Як DORA впливає на фінансовий сектор Європейського Союзу

Сучасні фінанси процвітають завдяки надійній цифровій інфраструктурі. Банки, платіжні сервіси та інвестиційні компанії значною мірою покладаються на технології для надання основних послуг. Від захищених платформ онлайн-банкінгу до транзакцій у режимі реального часу — ці системи забезпечують безперебійне функціонування фінансової екосистеми.

Така залежність від технологій несе в собі певні ризики. Кібератаки є постійною загрозою, що може призвести до зупинки фінансових операцій, компрометації конфіденційних даних та підриву довіри споживачів. Крім того, перебої в роботі ІТ, спричинені технічними збоями або стихійними лихами, можуть мати не менш руйнівні наслідки.

Як зазначається в аналітичному звіті Lloyds of London:

«Якщо відбудеться кібератака на велику платіжну систему фінансових послуг, глобальні втрати можуть сягнути $3,5 трлн за п’ятирічний період».

Закон DORA запроваджується з метою знизити ці величезні потенційні витрати для організацій та економіки в цілому, а також захистити безпеку та конфіденційність окремих громадян і послуг, на які вони покладаються.

У цілому, DORA суттєво змінює кібербезпеку європейського фінансового сектору, запроваджуючи суворі заходи для підвищення операційної стійкості та забезпечення надійного захисту від кіберзагроз:

Переваги дотримання DORA

У 2020 році ФБР визначило, що компрометація ділової електронної пошти залишається найбільш значущою кіберзагрозою. Національний центр кібербезпеки Великої Британії (NCSC) також попередив про фішингові кампанії та випустив рекомендації, які включають розгортання глобального галузевого стандартного протоколу DMARC в якості першої лінії захисту.

Однак бізнес, як правило, не поспішає реагувати на значні кіберзагрози. Хоча Закон про цифрову операційну стійкість створює виклики для ІТ-лідерів у фінансовому секторі, він також надає можливість усунути потенційні слабкі місця в системі безпеки. Хоча реалізація положень DORA вимагає певних зусиль, переваги є суттєвими:

• посилення безпеки: DORA зобов’язує фінансові установи вживати надійних заходів кібербезпеки, що призводить до підвищення безпеки фінансової екосистеми в цілому. Більш безпечне фінансове середовище захищає цінні дані та сприяє зміцненню довіри з клієнтами;
• зниження системного ризику: DORA сприяє проактивному управлінню ризиками та плануванню реагування на інциденти. Підвищена стійкість дозволяє фінансовим установам краще протистояти збоям і швидше відновлюватися після непередбачуваних криз, мінімізуючи їх економічний вплив;
• конкурентна перевага: DORA сприяє створенню більш безпечного та стійкого фінансового ландшафту. Демонструючи пріоритетність цифрової операційної стійкості, фінансові установи можуть підвищити довіру споживачів до фінансових послуг, на які вони покладаються, і отримати конкурентну перевагу.

Читайте популярне: Як змінюється ринок цифрових грошових переказів: звіт 2024

Імплементація DORA в Європі: що зміниться для фінансових установ Фото: freepik.com

Графік імплементації DORA в ЄС

Нижче наведено ключові дати імплементації Закону про цифрову операційну стійкість в ЄС:

1. Листопад 2022 року: DORA був офіційно прийнятий Європейським Союзом, що стало відправною точкою для процесу імплементації.
2. 16 січня 2023 року: набуття чинності.
3. 29 вересня 2023 року: Європейські наглядові органи (ESA) опублікували свою відповідь на запит про надання консультацій щодо критеріїв критичності та зборів.
4. 17 січня 2024 року: ESA опублікували перший набір правил відповідно до DORA щодо управління ризиками ІКТ та третіх сторін, а також класифікації інцидентів.
5. 12 березня 2024 року: ESA опублікували спільний відгук на другу партію політичних продуктів DORA, що стосуються таких сфер, як нагляд за критично важливими сторонніми провайдерами, тестування на проникнення та звітування про серйозні інциденти.
6. 17 липня 2024 року: очікувана поставка другої партії політичних продуктів.
7. 17 січня 2025 року: DORA набуває повної чинності. До цієї дати фінансові установи та відповідні сторонні постачальники послуг повинні відповідати вимогам Закону.

Етапи підготовки фінансового сектору до виконання вимог DORA

У процесі: фінансові установи повинні ознайомитися з цілями та ключовими положеннями DORA. Це включає перегляд офіційних документів ЄС та доступних ресурсів відповідних наглядових органів.

Відтепер і до вересня 2024 року: фінансові установи повинні провести оцінку прогалин, щоб визначити сфери, у яких існуючі політики та практики необхідно скоригувати, щоб відповідати вимогам DORA. Вони повинні розробити дорожню карту відповідності новому Закону на основі опублікованих RTS та ITS. Ця дорожня карта повинна визначати пріоритети дій і встановлювати терміни для досягнення відповідності.

Читайте також: Вплив блокчейн-технологій на український банківський сектор

У період з вересня 2024 року по січень 2025 року: фінансові установи впроваджуватимуть заходи відповідно до своєї дорожньої карти відповідності DORA. Це може включати:

• оновлення системи управління ризиками для приведення її у відповідність до вимог DORA;
• проведення комплексної юридичної перевірки та можливий перегляд контрактів зі сторонніми постачальниками послуг для забезпечення їх відповідності вимогам DORA;
• розробка та тестування планів реагування на інциденти та процедур звітування;
• навчання персоналу вимогам DORA та новим операційним процедурам;
• проведення внутрішніх аудитів для забезпечення дотримання положень DORA.

До 17 січня 2025 року: фінансові установи повинні повністю відповідати вимогам DORA. Це передбачає створення системи управління ризиками, надійних планів реагування на інциденти та процедур повідомлення про серйозні інциденти, пов’язані з ІКТ.

Фінансові установи повинні стежити за офіційними повідомленнями ЄС та відповідних наглядових органів щодо будь-яких змін у графіку або конкретних вимогах.

Висновок

DORA має на меті створити єдині рамки для забезпечення того, щоб усі фінансові установи, включаючи постачальників критично важливих ІКТ-послуг (інформаційно-комунікаційні технології), підтримували надійну операційну стійкість. Оскільки цифрова трансформація збільшує потенційні нові ризики в секторі, мандат DORA має вирішальне значення для підтримки загальної стабільності фінансової системи.

Новий Закон знаменує собою значну еволюцію в регуляторному ландшафті, визначаючи, як фінансові установи ЄС управляють та звітують про свою операційну стійкість, особливо щодо ІКТ-ризиків. З огляду на те, що його повне застосування заплановане на січень 2025 року, для фінансових установ вкрай важливо розпочати активну підготовку до виконання цих нових стандартів.

Щоб адаптуватися до DORA, фінансові установи повинні розробити передові системи моніторингу. Ці системи необхідні для збору та передачі даних у реальному часі, забезпечуючи, щоб регуляторні органи та зацікавлені сторони були добре поінформовані про ризики та інциденти, пов’язані з ІКТ.

Впровадження такого моніторингу не лише задовольняє регуляторні вимоги, але й підвищує довіру, демонструючи прихильність до високих стандартів стійкості.

Ознайомтеся з іншими популярними матеріалами:

Учасники фінансових ринків: основні групи та їхні ролі

Що таке дропи та як побороти поширену злочинну схему

Як змінився банківський сектор у другому кварталі 2024 — аналітичний звіт НБУ

За матеріалами: eba.europa.eu, ardoq.com, keepit.com, Fintech.Global.