DORA – нові стандарти кібербезпеки 🔒.
У цифрову епоху, коли більшість фінансових операцій відбувається онлайн, безпека наших даних і коштів стає пріоритетом. Нещодавно ми всі бачили на прикладі збою операційних систем Microsoft, що відбувається, коли страждає один з найбільш часто використовуваних онлайн-сервісів для бізнесу, Office 365. ✈️🚫.
Авіарейси були скасовані, Лондонська фондова біржа не працювала, а клієнти банків також повідомляли про проблеми (у Польщі постраждали, зокрема, Santander Bank і PKO BP). За оцінками Microsoft, інцидент зачепив до 8,5 мільйонів пристроїв з Windows. Наслідки того, що виявилося «просто» збоєм, на мить зупинили частину світу. Масштаб порушення роботи підприємств у багатьох галузях змушує замислитися над тим, що може статися, коли ми маємо справу не зі збоєм, а з успішною кібератакою. 🤔💻
Європейський Союз, визнаючи зростаючі ризики у сфері цифрової безпеки для фінансового сектору та його клієнтів, у грудні 2023 року прийняв Закон про цифрову операційну стійкість (скорочено DORA), який встановлює нові стандарти кібербезпеки фінансових установ, спрямовані на забезпечення їх стійкості до всіх збоїв та загроз, пов’язаних з ІКТ. 🌐📜
Нові правила мають на меті
Мінімізувати ризики, пов’язані не лише з кібератаками, але й з інцидентами, пов’язаними з безпекою. Очікується, що шляхом встановлення єдиних стандартів і процедур DORA сприятиме захисту цілісності, безпеки та безперервності фінансових послуг в Європейському Союзі. 🛡️🇪🇺
Зворотний відлік розпочато ⏳
Фінансові установи мають час до 17 січня 2025 року, щоб виконати вимоги DORA. Після цієї дати пільгових тарифів не буде – FSA під час тренінгів та зустрічей з фінансовим сектором попереджає, що не чекатиме запізнілих і планує перевіряти та забезпечувати виконання нових зобов’язань з першого дня. 📅🔍
Важливо, що DORA – це не директива (як у випадку з іншим актом, що стосується кібербезпеки, наприклад, NIS2), а регламент. Це означає, що він є обов’язковим для виконання в повному обсязі суб’єктами, яким він адресований, і має пряму дію в усіх країнах Європейського Союзу, без необхідності його імплементації в місцеві правопорядки за допомогою законів. 📜⚖️
На кого поширюється дія DORA? 🏦💼
DORA в першу чергу – але не виключно – охоплює широкий спектр фінансових установ та суб’єктів цифрових фінансів. Зокрема, банки, страхові компанії, інвестиційні фонди, кредитні установи, провайдери криптовалют, установи електронних грошей та інші постачальники фінансових послуг зобов’язані дотримуватися нових правил. 💳🏢
Крім того, DORA вводить певні зобов’язання для постачальників технологій, включаючи постачальників хмарних послуг та інших постачальників ІКТ-послуг. ☁️💻
Що означає DORA для фінансового сектору? 📊🔒
DORA накладає зобов’язання на гравців фінансового сектору, вимагаючи від фінансових установ не тільки реагувати на інциденти, а й вживати низку превентивних заходів, виходячи з принципу, що профілактика краще, ніж лікування. 💡🔧
На практиці це означає вжиття заходів насамперед у таких ключових сферах:
- Управління ризиками в сфері ІКТ 🖥️⚠️Instytucje фінансів повинні розробити та впровадити комплексну стратегію управління ризиками в сфері ІКТ. Ця стратегія повинна включати виявлення, оцінку, моніторинг та контроль ІКТ-ризиків для забезпечення безпеки та цілісності ІТ-систем.
- Управління інцидентами в сфері ІКТ 🛡️🚨Класифікація та звітування про інциденти в сфері ІКТ є ключовими для ефективного управління безпекою, згідно з DORA. Фінансові установи будуть зобов’язані дотримуватися чітких рекомендацій щодо класифікації інцидентів, що, як очікується, призведе до належного відстеження, аналізу та реагування.Обов’язки в цій сфері включатимуть, але не обмежуються:Створення та впровадження єдиних керівних принципів класифікації інцидентів для класифікації інцидентів за рівнем серйозності та типом загрози.Регулярне звітування про інциденти відповідним органам влади та зацікавленим сторонам відповідно до застосовних стандартів та нормативних актів.Проведення аналізу першопричин інцидентів з метою виявлення вразливостей та впровадження коригувальних дій.
- Управління ризиками від зовнішніх постачальників послуг ІКТ 🤝🔍Фінансові установи повинні визначити політику управління співпрацею із зовнішніми постачальниками послуг ІКТ. Обов’язки в цій сфері включатимуть, серед іншого, розробку критеріїв оцінки та відбору постачальників послуг ІКТ для забезпечення їх відповідності вимогам безпеки та комплаєнсу, забезпечення відповідності контрактів, укладених з постачальниками послуг ІКТ, вимогам, встановленим DORA, а також регулярний моніторинг та оцінку ефективності роботи постачальників.
- Оперативне тестування цифрової стійкості 🔄🛠️Obowiązki у цій сфері включатиме, серед іншого, створення комплексної програми оперативного тестування цифрової стійкості. Фінансові установи, крім мікропідприємств, будуть зобов’язані тестувати всі ІКТ-системи та додатки щонайменше раз на рік. Для деяких зобов’язаних суб’єктів DORA також передбачає додаткове зобов’язання проводити розширене тестування на проникнення (TLPT) для пошуку загроз щонайменше кожні 3 роки.
Де є зобов’язання, там є і санкції ⚖️💰.
Розуміння та адаптація до вимог DORA є важливими з точки зору фінансових суб’єктів не тільки для забезпечення належного рівня операційної цифрової стійкості, але й для уникнення серйозних юридичних та фінансових наслідків.
DORA передбачає, що компетентні органи (у Польщі це, насамперед, FSA) отримають широкі повноваження для нагляду та забезпечення виконання DORA. Вони матимуть право вимагати доступ до будь-яких документів і даних, які вони вважатимуть важливими в контексті своїх розслідувань. Фінансові установи повинні бути готові до можливих аудитів та перевірок. Відмова від співпраці або ненадання запитуваної інформації може призвести до додаткових санкцій. 🔍📋
У разі виявлення порушень DORA наглядові органи можуть застосовувати різні адміністративні санкції. До них відносяться, зокрема, приписи про припинення діяльності, що не відповідає вимогам, вимога припинити практику, що суперечить нормативним актам, а також застосування фінансових санкцій, спрямованих на забезпечення дотримання вимог. 💼💸
Підсумок 📊✍️
Звичайно, повна оцінка впливу нових правил буде можлива лише через деякий час, але ми вже зараз наважуємося припустити, що DORA є важливою віхою на шляху до забезпечення цифрової операційної стійкості у фінансовому секторі ЄС. Із запровадженням нових стандартів управління ІКТ-ризиками та вимогою проактивного підходу до цифрової безпеки, DORA має не лише допомогти захистити фінансові установи, а й підвищити довіру клієнтів до фінансових послуг. Хід зараз на боці фінансового сектору – досягнення мети DORA та пов’язаних з нею переваг стане можливим лише за умови серйозного ставлення до імплементації нових нормативних актів. 🔜🔧
