DORA — новые стандарты кибербезопасности 🔒.
В цифровую эпоху, когда большинство финансовых операций происходит онлайн, безопасность наших данных и средств становится приоритетом. Недавно мы все видели на примере сбоя операционных систем Microsoft, что происходит, когда страдает один из наиболее часто используемых онлайн-сервисов для бизнеса, Office 365. ✈️🚫.
Авиарейсы были отменены, Лондонская фондовая биржа не работала, а клиенты банков также сообщали о проблемах (в Польше пострадали, в частности, Santander Bank и PKO BP). По оценкам Microsoft, инцидент затронул до 8,5 миллионов устройств с Windows. Последствия того, что оказалось «просто» сбоем, на мгновение остановили часть мира. Масштаб нарушения работы предприятий во многих отраслях заставляет задуматься над тем, что может произойти, когда мы имеем дело не со сбоем, а с успешной кибератакой. 🤔💻
Европейский Союз, признавая растущие риски в сфере цифровой безопасности для финансового сектора и его клиентов, в декабре 2023 года принял Закон о цифровой операционной устойчивости (сокращенно DORA), который устанавливает новые стандарты кибербезопасности финансовых учреждений, направленные на обеспечение их устойчивости ко всем сбоям и угрозам, связанным с ИКТ. 🌐📜
Новые правила имеют целью
Минимизировать риски, связанные не только с кибератаками, но и с инцидентами, связанными с безопасностью. Ожидается, что путем установления единых стандартов и процедур DORA будет способствовать защите целостности, безопасности и непрерывности финансовых услуг в Европейском Союзе. 🛡️🇪🇺
Обратный отсчет начался ⏳
У финансовых учреждений есть время до 17 января 2025 года, чтобы выполнить требования DORA. После этой даты льготных тарифов не будет — FSA во время тренингов и встреч с финансовым сектором предупреждает, что не будет ждать запоздалых и планирует проверять и обеспечивать выполнение новых обязательств с первого дня. 📅🔍
Важно, что DORA — это не директива (как в случае с другим актом, касающимся кибербезопасности, например, NIS2), а регламент. Это означает, что он является обязательным для исполнения в полном объеме субъектами, которым он адресован, и имеет прямое действие во всех странах Европейского Союза, без необходимости его имплементации в местные правопорядки посредством законов. 📜⚖️
На кого распространяется действие DORA ? 🏦💼🏦💼
DORA в первую очередь — но не исключительно — охватывает широкий спектр финансовых учреждений и субъектов цифровых финансов. В частности, банки, страховые компании, инвестиционные фонды, кредитные учреждения, провайдеры криптовалют, учреждения электронных денег и другие поставщики финансовых услуг обязаны соблюдать новые правила. 💳🏢
Кроме того, DORA вводит определенные обязательства для поставщиков технологий, включая поставщиков облачных услуг и других поставщиков ИКТ-услуг. ☁️💻
Что означает DORA для финансового сектора? 📊🔒📊🔒
DORA накладывает обязательства на игроков финансового сектора, требуя от финансовых учреждений не только реагировать на инциденты, но и принимать ряд превентивных мер, исходя из принципа, что профилактика лучше, чем лечение. 💡🔧
На практике это означает принятие мер прежде всего в таких ключевых сферах:
- Управление рисками в сфере ИКТ 🖥️⚠️Instytucje финансов должны разработать и внедрить комплексную стратегию управления рисками в сфере ИКТ. Эта стратегия должна включать выявление, оценку, мониторинг и контроль ИКТ-рисков для обеспечения безопасности и целостности ИТ-систем.
- Управление инцидентами в сфере ИКТ 🛡️🚨Классификация и отчетность об инцидентах в сфере ИКТ являются ключевыми для эффективного управления безопасностью, согласно DORA. Финансовые учреждения будут обязаны придерживаться четких рекомендаций по классификации инцидентов, что, как ожидается, приведет к надлежащему отслеживанию, анализу и реагированию.Обязанности в этой сфере будут включать, но не ограничиваются:Создание и внедрение единых руководящих принципов классификации инцидентов для классификации инцидентов по уровню серьезности и типу угрозы.Регулярная отчетность об инцидентах соответствующим органам власти и заинтересованным сторонам в соответствии с применимыми стандартами и нормативными актами.Проведение анализа первопричин
- Управление рисками от внешних поставщиков услуг ИКТ 🤝🔍Финансовые учреждения должны определить политику управления сотрудничеством с внешними поставщиками услуг ИКТ. Обязанности в этой сфере будут включать, среди прочего, разработку критериев оценки и отбора поставщиков услуг ИКТ для обеспечения их соответствия требованиям безопасности и комплаенса, обеспечение соответствия контрактов, заключенных с поставщиками услуг ИКТ, требованиям, установленным DORA, а также регулярный мониторинг и оценку эффективности работы поставщиков.
- Оперативное тестирование цифровой устойчивости 🔄🛠️Obowiązki в этой сфере будет включать, среди прочего, создание комплексной программы оперативного тестирования цифровой устойчивости. Финансовые учреждения, кроме микропредприятий, будут обязаны тестировать все ИКТ-системы и приложения минимум раз в год. Для некоторых обязанных субъектов DORA также предусматривает дополнительное обязательство проводить расширенное тестирование на проникновение (TLPT) для поиска угроз по меньшей мере каждые 3 года.
Где есть обязательства, там есть и санкции ⚖️💰.
Понимание и адаптация к требованиям DORA важны с точки зрения финансовых субъектов не только для обеспечения надлежащего уровня операционной цифровой устойчивости, но и для избежания серьезных юридических и финансовых последствий.
DORA предусматривает, что компетентные органы (в Польше это, прежде всего, FSA) получат широкие полномочия для надзора и обеспечения выполнения DORA. Они будут иметь право требовать доступ к любым документам и данным, которые они посчитают важными в контексте своих расследований. Финансовые учреждения должны быть готовы к возможным аудитам и проверкам. Отказ от сотрудничества или непредоставление запрашиваемой информации может привести к дополнительным санкциям. 🔍📋
В случае выявления нарушений DORA надзорные органы могут применять различные административные санкции. К ним относятся, в частности, предписания о прекращении деятельности, не соответствующей требованиям, требование прекратить практику, противоречащую нормативным актам, а также применение финансовых санкций, направленных на обеспечение соблюдения требований. 💼💸
Итог 📊✍️
Конечно, полная оценка влияния новых правил будет возможна только через некоторое время, но мы уже сейчас осмеливаемся предположить, что DORA является важной вехой на пути к обеспечению цифровой операционной устойчивости в финансовом секторе ЕС. С введением новых стандартов управления ИКТ-рисками и требованием проактивного подхода к цифровой безопасности, DORA должна не только помочь защитить финансовые учреждения, но и повысить доверие клиентов к финансовым услугам. Ход сейчас на стороне финансового сектора — достижение цели DORA и связанных с ней преимуществ станет возможным только при условии серьезного отношения к имплементации новых нормативных актов. 🔜🔧
