DORA на горизонте: ключевые изменения для финансового сектора 🏦

14 ноября 2024   /  Bez kategorii

DORA — новые стандарты кибербезопасности 🔒.
В цифровую эпоху, когда большинство финансовых операций происходит онлайн, безопасность наших данных и средств становится приоритетом. Недавно мы все видели на примере сбоя операционных систем Microsoft, что происходит, когда страдает один из наиболее часто используемых онлайн-сервисов для бизнеса, Office 365. ✈️🚫.
Авиарейсы были отменены, Лондонская фондовая биржа не работала, а клиенты банков также сообщали о проблемах (в Польше пострадали, в частности, Santander Bank и PKO BP). По оценкам Microsoft, инцидент затронул до 8,5 миллионов устройств с Windows. Последствия того, что оказалось «просто» сбоем, на мгновение остановили часть мира. Масштаб нарушения работы предприятий во многих отраслях заставляет задуматься над тем, что может произойти, когда мы имеем дело не со сбоем, а с успешной кибератакой. 🤔💻

Европейский Союз, признавая растущие риски в сфере цифровой безопасности для финансового сектора и его клиентов, в декабре 2023 года принял Закон о цифровой операционной устойчивости (сокращенно DORA), который устанавливает новые стандарты кибербезопасности финансовых учреждений, направленные на обеспечение их устойчивости ко всем сбоям и угрозам, связанным с ИКТ. 🌐📜

Новые правила имеют целью

Минимизировать риски, связанные не только с кибератаками, но и с инцидентами, связанными с безопасностью. Ожидается, что путем установления единых стандартов и процедур DORA будет способствовать защите целостности, безопасности и непрерывности финансовых услуг в Европейском Союзе. 🛡️🇪🇺

Обратный отсчет начался ⏳

У финансовых учреждений есть время до 17 января 2025 года, чтобы выполнить требования DORA. После этой даты льготных тарифов не будет — FSA во время тренингов и встреч с финансовым сектором предупреждает, что не будет ждать запоздалых и планирует проверять и обеспечивать выполнение новых обязательств с первого дня. 📅🔍

Важно, что DORA — это не директива (как в случае с другим актом, касающимся кибербезопасности, например, NIS2), а регламент. Это означает, что он является обязательным для исполнения в полном объеме субъектами, которым он адресован, и имеет прямое действие во всех странах Европейского Союза, без необходимости его имплементации в местные правопорядки посредством законов. 📜⚖️

На кого распространяется действие DORA ? 🏦💼🏦💼

DORA в первую очередь — но не исключительно — охватывает широкий спектр финансовых учреждений и субъектов цифровых финансов. В частности, банки, страховые компании, инвестиционные фонды, кредитные учреждения, провайдеры криптовалют, учреждения электронных денег и другие поставщики финансовых услуг обязаны соблюдать новые правила. 💳🏢

Кроме того, DORA вводит определенные обязательства для поставщиков технологий, включая поставщиков облачных услуг и других поставщиков ИКТ-услуг. ☁️💻

Что означает DORA для финансового сектора? 📊🔒📊🔒

DORA накладывает обязательства на игроков финансового сектора, требуя от финансовых учреждений не только реагировать на инциденты, но и принимать ряд превентивных мер, исходя из принципа, что профилактика лучше, чем лечение. 💡🔧

На практике это означает принятие мер прежде всего в таких ключевых сферах:

  1. Управление рисками в сфере ИКТ 🖥️⚠️Instytucje финансов должны разработать и внедрить комплексную стратегию управления рисками в сфере ИКТ. Эта стратегия должна включать выявление, оценку, мониторинг и контроль ИКТ-рисков для обеспечения безопасности и целостности ИТ-систем.
  2. Управление инцидентами в сфере ИКТ 🛡️🚨Классификация и отчетность об инцидентах в сфере ИКТ являются ключевыми для эффективного управления безопасностью, согласно DORA. Финансовые учреждения будут обязаны придерживаться четких рекомендаций по классификации инцидентов, что, как ожидается, приведет к надлежащему отслеживанию, анализу и реагированию.Обязанности в этой сфере будут включать, но не ограничиваются:Создание и внедрение единых руководящих принципов классификации инцидентов для классификации инцидентов по уровню серьезности и типу угрозы.Регулярная отчетность об инцидентах соответствующим органам власти и заинтересованным сторонам в соответствии с применимыми стандартами и нормативными актами.Проведение анализа первопричин
  3. Управление рисками от внешних поставщиков услуг ИКТ 🤝🔍Финансовые учреждения должны определить политику управления сотрудничеством с внешними поставщиками услуг ИКТ. Обязанности в этой сфере будут включать, среди прочего, разработку критериев оценки и отбора поставщиков услуг ИКТ для обеспечения их соответствия требованиям безопасности и комплаенса, обеспечение соответствия контрактов, заключенных с поставщиками услуг ИКТ, требованиям, установленным DORA, а также регулярный мониторинг и оценку эффективности работы поставщиков.
  4. Оперативное тестирование цифровой устойчивости 🔄🛠️Obowiązki в этой сфере будет включать, среди прочего, создание комплексной программы оперативного тестирования цифровой устойчивости. Финансовые учреждения, кроме микропредприятий, будут обязаны тестировать все ИКТ-системы и приложения минимум раз в год. Для некоторых обязанных субъектов DORA также предусматривает дополнительное обязательство проводить расширенное тестирование на проникновение (TLPT) для поиска угроз по меньшей мере каждые 3 года.

Где есть обязательства, там есть и санкции ⚖️💰.

Понимание и адаптация к требованиям DORA важны с точки зрения финансовых субъектов не только для обеспечения надлежащего уровня операционной цифровой устойчивости, но и для избежания серьезных юридических и финансовых последствий.

DORA предусматривает, что компетентные органы (в Польше это, прежде всего, FSA) получат широкие полномочия для надзора и обеспечения выполнения DORA. Они будут иметь право требовать доступ к любым документам и данным, которые они посчитают важными в контексте своих расследований. Финансовые учреждения должны быть готовы к возможным аудитам и проверкам. Отказ от сотрудничества или непредоставление запрашиваемой информации может привести к дополнительным санкциям. 🔍📋

В случае выявления нарушений DORA надзорные органы могут применять различные административные санкции. К ним относятся, в частности, предписания о прекращении деятельности, не соответствующей требованиям, требование прекратить практику, противоречащую нормативным актам, а также применение финансовых санкций, направленных на обеспечение соблюдения требований. 💼💸

Итог 📊✍️

Конечно, полная оценка влияния новых правил будет возможна только через некоторое время, но мы уже сейчас осмеливаемся предположить, что DORA является важной вехой на пути к обеспечению цифровой операционной устойчивости в финансовом секторе ЕС. С введением новых стандартов управления ИКТ-рисками и требованием проактивного подхода к цифровой безопасности, DORA должна не только помочь защитить финансовые учреждения, но и повысить доверие клиентов к финансовым услугам. Ход сейчас на стороне финансового сектора — достижение цели DORA и связанных с ней преимуществ станет возможным только при условии серьезного отношения к имплементации новых нормативных актов. 🔜🔧

Podziel się

Podziel się

Potrzebujesz pomocy w tym temacie?

Napisz do naszego eksperta

Mateusz Borkiewicz

Управляющий партнер, adwokat

+48 663 683 888 Связаться с

Artykuły z tej kategorii

NIS 2 — новые требования

Bez kategorii

Więcej
NIS 2 — новые требования

С какими юридическими проблемами сталкивается искусственный интеллект?

Bez kategorii

Więcej
С какими юридическими проблемами сталкивается искусственный интеллект?
Więcej

Связаться с

У вас есть вопросы?zobacz telefon+48 570 913 713
zobacz e-mail

Эй, пользователь,
ты уже в рассылке?

    Erfahren Sie hier, wie wir Ihre personenbezogenen Daten verarbeiten

    Ustawienia Prywatności

    Zdecyduj, które ciasteczka chcesz włączyćMożesz zmienić ustawienia w dowolnym momencie. Pamiętaj, że ograniczenie ciasteczek może zablokować korzystanie z niektórych funkcji. Aby uzyskać informacje na temat usuwania plików cookie, skorzystaj z funkcji pomocy w swojej przeglądarce.Dowiedz się więcej o używanych przez nas plikach cookie.

    Za pomocą suwaka można włączać i wyłączać różne typy plików ciasteczek:

    • Zablokuj wszystkie
    • Elementy zasadnicze
    • Funkcjonalne
    • Analityczne
    • Reklamowe

    Ta strona będzie:

    • Запомнить, какую группу cookie вы приняли

    Ta strona internetowa nie będzie:

    • Помните Ваш логин и пароль
    • Основной: Запомните настройки для разрешения использовать файлы coоkies
    • Основной: Разрешить все сессионные coоkies
    • Основной: Соберите информацию, которую вы вводите в контактную форму для рассылки и другие формы на всех страницах
    • Основной: Следите за тем, что вы помещаете в корзину
    • Основной: Подтверждайте, что именно вы вошли в учетную запись Пользователя
    • Основной: Запомните какой язык вы выбрали
    • Функционал: Запомните настройки для социальных сетей
    • Функционал: Запомните выбранный регион и страну
    • Аналитика: Следите за тем, какие страницы вы посетили и в каких взаимодействиях участвовали
    • Аналитика: Следите за своим местонахождением и регионом на основе Вашего IP-номера
    • Аналитика: Следите за тем, сколько времени вы проводите на каждой странице
    • Аналитика: Улучшайте качество данных о статистических функциях
    • Реклама: Адаптируйте информацию и рекламу в соответствии с вашими интересами, например, на основе rонтента, который Вы посетили раньше. (В настоящее время мы не используем тагетирование или целевые файлы cookie)
    • Реклама: Собирайте личную информацию такую как имя и местонахождение

    Ta strona będzie:

    • Essential: zapamiętaj ustawienie uprawnień do plików cookie
    • Essential: Zezwalaj na pliki cookie sesji
    • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
    • Essential: Śledź, co wkładasz do koszyka
    • Essential: Uwierzytelnij się, że jesteś zalogowany na swoje konto użytkownika
    • Essential: Zapamiętaj wybraną wersję językową

    Ta strona internetowa nie będzie:

    • Zapamiętaj swoje dane logowania
    • Funkcjonalność: Zapamiętaj ustawienia mediów społecznościowych
    • Funkcjonalność: Zapamiętaj wybrany region i kraj
    • Analytics: śledź odwiedzane strony i podejmowane interakcje
    • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
    • Analytics: Śledź czas spędzony na każdej stronie
    • Analytics: Zwiększ jakość danych funkcji statystycznych
    • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treść, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania lub kierowania
    • Reklama: gromadzenie informacji umożliwiających identyfikację osoby, takich jak imię i nazwisko oraz lokalizacja

    Ta strona będzie:

    • Essential: zapamiętaj ustawienie uprawnień do plików cookie
    • Essential: Zezwalaj na pliki cookie sesji
    • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
    • Essential: Śledź, co wkładasz do koszyka
    • Essential: Uwierzytelnij się, że jesteś zalogowany na swoje konto użytkownika
    • Essential: Zapamiętaj wybraną wersję językową
    • Funkcjonalność: Zapamiętaj ustawienia mediów społecznościowych
    • Funkcjonalność: Zapamiętaj wybrany region i kraj

    Ta strona internetowa nie będzie:

    • Zapamiętaj swoje dane logowania
    • Analytics: śledź odwiedzane strony i podejmowane interakcje
    • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
    • Analytics: Śledź czas spędzony na każdej stronie
    • Analytics: Zwiększ jakość danych funkcji statystycznych
    • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treść, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania lub kierowania
    • Reklama: gromadzenie informacji umożliwiających identyfikację osoby, takich jak imię i nazwisko oraz lokalizacja

    Ta strona będzie:

    • Essential: Remember your cookie permission setting
    • Essential: Allow session cookies
    • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
    • Essential: Keep track of what you input in a shopping cart
    • Essential: Authenticate that you are logged into your user account
    • Essential: Remember language version you selected
    • Functionality: Remember social media settings
    • Functionality: Remember selected region and country
    • Analytics: Keep track of your visited pages and interaction taken
    • Analytics: Keep track about your location and region based on your IP number
    • Analytics: Keep track of the time spent on each page
    • Analytics: Increase the data quality of the statistics functions

    Ta strona internetowa nie będzie:

    • Zapamiętaj swoje dane logowania
    • Reklama: wykorzystuj informacje do dostosowanej reklamy ze stronami trzecimi
    • Reklama: pozwala łączyć się z serwisami społecznościowymi
    • Reklama: Zidentyfikuj urządzenie, z którego korzystasz
    • Reklama: Zbierz dane osobowe, takie jak imię i nazwisko oraz lokalizację

    Ta strona będzie:

    • Essential: Remember your cookie permission setting
    • Essential: Allow session cookies
    • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
    • Essential: Keep track of what you input in a shopping cart
    • Essential: Authenticate that you are logged into your user account
    • Essential: Remember language version you selected
    • Functionality: Remember social media settings
    • Functionality: Remember selected region and country
    • Analytics: Keep track of your visited pages and interaction taken
    • Analytics: Keep track about your location and region based on your IP number
    • Analytics: Keep track of the time spent on each page
    • Analytics: Increase the data quality of the statistics functions
    • Advertising: Use information for tailored advertising with third parties
    • Advertising: Allow you to connect to social sitesl Advertising: Identify device you are using
    • Advertising: Gather personally identifiable information such as name and location

    Ta strona internetowa nie będzie:

    • Zapamiętaj dane logowania
    Zapisz i zamknij