DORA на горизонте: ключевые изменения для финансового сектора 🏦

14 ноября 2024   /  Bez kategorii

DORA — новые стандарты кибербезопасности 🔒.
В цифровую эпоху, когда большинство финансовых операций происходит онлайн, безопасность наших данных и средств становится приоритетом. Недавно мы все видели на примере сбоя операционных систем Microsoft, что происходит, когда страдает один из наиболее часто используемых онлайн-сервисов для бизнеса, Office 365. ✈️🚫.
Авиарейсы были отменены, Лондонская фондовая биржа не работала, а клиенты банков также сообщали о проблемах (в Польше пострадали, в частности, Santander Bank и PKO BP). По оценкам Microsoft, инцидент затронул до 8,5 миллионов устройств с Windows. Последствия того, что оказалось «просто» сбоем, на мгновение остановили часть мира. Масштаб нарушения работы предприятий во многих отраслях заставляет задуматься над тем, что может произойти, когда мы имеем дело не со сбоем, а с успешной кибератакой. 🤔💻

Европейский Союз, признавая растущие риски в сфере цифровой безопасности для финансового сектора и его клиентов, в декабре 2023 года принял Закон о цифровой операционной устойчивости (сокращенно DORA), который устанавливает новые стандарты кибербезопасности финансовых учреждений, направленные на обеспечение их устойчивости ко всем сбоям и угрозам, связанным с ИКТ. 🌐📜

Новые правила имеют целью

Минимизировать риски, связанные не только с кибератаками, но и с инцидентами, связанными с безопасностью. Ожидается, что путем установления единых стандартов и процедур DORA будет способствовать защите целостности, безопасности и непрерывности финансовых услуг в Европейском Союзе. 🛡️🇪🇺

Обратный отсчет начался ⏳

У финансовых учреждений есть время до 17 января 2025 года, чтобы выполнить требования DORA. После этой даты льготных тарифов не будет — FSA во время тренингов и встреч с финансовым сектором предупреждает, что не будет ждать запоздалых и планирует проверять и обеспечивать выполнение новых обязательств с первого дня. 📅🔍

Важно, что DORA — это не директива (как в случае с другим актом, касающимся кибербезопасности, например, NIS2), а регламент. Это означает, что он является обязательным для исполнения в полном объеме субъектами, которым он адресован, и имеет прямое действие во всех странах Европейского Союза, без необходимости его имплементации в местные правопорядки посредством законов. 📜⚖️

На кого распространяется действие DORA ? 🏦💼🏦💼

DORA в первую очередь — но не исключительно — охватывает широкий спектр финансовых учреждений и субъектов цифровых финансов. В частности, банки, страховые компании, инвестиционные фонды, кредитные учреждения, провайдеры криптовалют, учреждения электронных денег и другие поставщики финансовых услуг обязаны соблюдать новые правила. 💳🏢

Кроме того, DORA вводит определенные обязательства для поставщиков технологий, включая поставщиков облачных услуг и других поставщиков ИКТ-услуг. ☁️💻

Что означает DORA для финансового сектора? 📊🔒📊🔒

DORA накладывает обязательства на игроков финансового сектора, требуя от финансовых учреждений не только реагировать на инциденты, но и принимать ряд превентивных мер, исходя из принципа, что профилактика лучше, чем лечение. 💡🔧

На практике это означает принятие мер прежде всего в таких ключевых сферах:

  1. Управление рисками в сфере ИКТ 🖥️⚠️Instytucje финансов должны разработать и внедрить комплексную стратегию управления рисками в сфере ИКТ. Эта стратегия должна включать выявление, оценку, мониторинг и контроль ИКТ-рисков для обеспечения безопасности и целостности ИТ-систем.
  2. Управление инцидентами в сфере ИКТ 🛡️🚨Классификация и отчетность об инцидентах в сфере ИКТ являются ключевыми для эффективного управления безопасностью, согласно DORA. Финансовые учреждения будут обязаны придерживаться четких рекомендаций по классификации инцидентов, что, как ожидается, приведет к надлежащему отслеживанию, анализу и реагированию.Обязанности в этой сфере будут включать, но не ограничиваются:Создание и внедрение единых руководящих принципов классификации инцидентов для классификации инцидентов по уровню серьезности и типу угрозы.Регулярная отчетность об инцидентах соответствующим органам власти и заинтересованным сторонам в соответствии с применимыми стандартами и нормативными актами.Проведение анализа первопричин
  3. Управление рисками от внешних поставщиков услуг ИКТ 🤝🔍Финансовые учреждения должны определить политику управления сотрудничеством с внешними поставщиками услуг ИКТ. Обязанности в этой сфере будут включать, среди прочего, разработку критериев оценки и отбора поставщиков услуг ИКТ для обеспечения их соответствия требованиям безопасности и комплаенса, обеспечение соответствия контрактов, заключенных с поставщиками услуг ИКТ, требованиям, установленным DORA, а также регулярный мониторинг и оценку эффективности работы поставщиков.
  4. Оперативное тестирование цифровой устойчивости 🔄🛠️Obowiązki в этой сфере будет включать, среди прочего, создание комплексной программы оперативного тестирования цифровой устойчивости. Финансовые учреждения, кроме микропредприятий, будут обязаны тестировать все ИКТ-системы и приложения минимум раз в год. Для некоторых обязанных субъектов DORA также предусматривает дополнительное обязательство проводить расширенное тестирование на проникновение (TLPT) для поиска угроз по меньшей мере каждые 3 года.

Где есть обязательства, там есть и санкции ⚖️💰.

Понимание и адаптация к требованиям DORA важны с точки зрения финансовых субъектов не только для обеспечения надлежащего уровня операционной цифровой устойчивости, но и для избежания серьезных юридических и финансовых последствий.

DORA предусматривает, что компетентные органы (в Польше это, прежде всего, FSA) получат широкие полномочия для надзора и обеспечения выполнения DORA. Они будут иметь право требовать доступ к любым документам и данным, которые они посчитают важными в контексте своих расследований. Финансовые учреждения должны быть готовы к возможным аудитам и проверкам. Отказ от сотрудничества или непредоставление запрашиваемой информации может привести к дополнительным санкциям. 🔍📋

В случае выявления нарушений DORA надзорные органы могут применять различные административные санкции. К ним относятся, в частности, предписания о прекращении деятельности, не соответствующей требованиям, требование прекратить практику, противоречащую нормативным актам, а также применение финансовых санкций, направленных на обеспечение соблюдения требований. 💼💸

Итог 📊✍️

Конечно, полная оценка влияния новых правил будет возможна только через некоторое время, но мы уже сейчас осмеливаемся предположить, что DORA является важной вехой на пути к обеспечению цифровой операционной устойчивости в финансовом секторе ЕС. С введением новых стандартов управления ИКТ-рисками и требованием проактивного подхода к цифровой безопасности, DORA должна не только помочь защитить финансовые учреждения, но и повысить доверие клиентов к финансовым услугам. Ход сейчас на стороне финансового сектора — достижение цели DORA и связанных с ней преимуществ станет возможным только при условии серьезного отношения к имплементации новых нормативных актов. 🔜🔧

Podziel się

Podziel się

Potrzebujesz pomocy w tym temacie?

Napisz do naszego eksperta

Матеуш Боркевич

УПРАВЛЯЮЩИЙ ПАРТНЕР, АДВОКАТ

+48 663 683 888 Связаться с

Artykuły z tej kategorii

Киберпонедельник — как не быть обманутым? Кибербезопасность для клиентов электронной коммерции

Bez kategorii

Więcej
Киберпонедельник — как не быть обманутым? Кибербезопасность для клиентов электронной коммерции

О чем должен помнить работодатель, принимая на работу несовершеннолетних?

Bez kategorii

Więcej
О чем должен помнить работодатель, принимая на работу несовершеннолетних?

Что должна содержать политика использования систем искусственного интеллекта?

Bez kategorii

Więcej
Что должна содержать политика использования систем искусственного интеллекта?

Сигналисты — как подготовиться к грядущим изменениям?

Bez kategorii

Więcej
Сигналисты — как подготовиться к грядущим изменениям?

В журнале ODO опубликована новая статья наших экспертов по искусственному интеллекту под названием «Chat GPT против персональных данных».

Bez kategorii

Więcej
В журнале ODO опубликована новая статья наших экспертов по искусственному интеллекту под названием «Chat GPT против персональных данных».
Więcej

Связаться с

У вас есть вопросы?zobacz telefon+48 570 913 713
zobacz e-mail

Эй, пользователь,
ты уже в рассылке?

    Erfahren Sie hier, wie wir Ihre personenbezogenen Daten verarbeiten