SMM

Регламент Дора. Що це таке та які вимоги воно висуває до ЄС?

0
Please log in or register to do it.


Європейський Союз у відповідь на цифровизацію та пов'язані з нею виклики вводить різні види законодавчих інструментів. Одним з них є регламент DORA (Закон про операційну стійкість цифрових технологій), який є важливим для фінансових установ, що працюють у ЄС. У статті ми розглянемо докладніше регламент DORA, пояснимо, що саме це таке, на які фінансові суб'єкти він поширюється і які зобов'язання накладає.

Диспозиція Дора – що це таке?

Закон про цифрову операційну стійкість коротше DORA – це правовий акт ЄС, який посилює вимоги цифрової безпеки фінансового сектора.провайдери фінансових технологій та ІКТ, які працюють у ЄС.

Його основна мета – посилити стійкість цих установ до загроз, пов'язаних з кібербезпекою та збоями в роботі, такими як хакерські атаки, ІТ-збої чи людські помилки.

Що таке “оперативна цифрова стійкість”?

Операційна цифрова стійкість, як зазначено в Регламенті DORA, – це здатність фінансової установи підтримувати безперервність, надійність та якість послуг на основі ІКТ як усередині компанії, так і у співпраці із зовнішніми постачальниками. Це означає що фінансові установи повинні бути готові до різних криз та потрясіньце може вплинути на роботу їхніх ІТ-систем та мереж.

Закон ЄС DORA – контекст його створення

Постанова DORA є частиною законодавчого пакету ЄС у галузі цифрових фінансів.метою якого є адаптація нормативної бази до розвитку фінансових технологій та уніфікація стандартів цифрової безпеки у фінансовому секторі.

Цей документ ґрунтується на роботі та рекомендаціях різних європейських інститутів, таких як Європейський центральний банк, і є загальним правовим актом для всіх фінансових організацій.

Коли настане час застосування правил DORA?

Крайній термін реалізації ухвали DORA – 17 січня 2025 р.Це означає, що фінансові установи мають розпочати виконувати вимоги цих правил уже зараз.

Читайте також: Як забезпечити кібербезпеку у компанії, коли на ринку не вистачає фахівців?

Які установи повинні дотримуватись правил DORA?

DORA охоплює широке коло організацій фінансового сектора, включаючи традиційні фінансові установи, фінтех-компанії, постачальників послуг ІКТ та багато інших. Загалом правила поширюватимуться на більш ніж 22 000 фінансових установ по всьому Європейському Союзу.

Повний список організацій, на які поширюються правила DORA:

      • суб'єкти, що видають кредити,
      • суб'єкти, що надають платіжні послуги,
      • суб'єкти, що надають послуги електронних грошей,
      • суб'єкти, які здійснюють інвестиційну діяльність,
      • організації, що пропонують послуги, пов'язані з криптоактивами,
      • емітенти криптоактивів,
      • емітенти токенів, пов'язаних з активами, та емітенти значних токенів, пов'язаних з активами,
      • центральні депозитарії цінних паперів,
      • центральні контрагенти,
      • торгові системи,
      • торгові репозиторії,
      • менеджери альтернативних інвестиційних фондів,
      • керуючі компанії,
      • постачальники послуг обміну інформацією,
      • страхові та перестрахувальні компанії,
      • страхові посередники,
      • перестрахувальні посередники та посередники, що пропонують додаткове страхування,
      • установи пенсійних програм для працівників,
      • кредитно-рейтингові агенції,
      • зовнішні аудитори та аудиторські компанії,
      • адміністратори ключових тестів,
      • організації, що надають краудфандингові послуги,
      • сек'юритизаційні репозиторії,
      • зовнішні постачальники послуг ІКТ.

Вебінар DORA та NIS2

ЗАРЕЄСТРУВАТИСЯ!

Зміст ухвали DORA

Регламент DORA фокусується на п'яти ключових сферах: управління ризиками у сфері ІКТ, управління інцидентами у сфері ІКТ, тестування стійкості цифрових операцій, управління ризиками співпраці із зовнішніми постачальниками та обмін інформацією про кіберзагрози. Нижче наводиться їх короткий опис.

1. Управління ризиками у сфері ІКТ

Правила DORA вимагають від фінансових установ створення комплексної та добре документованої системи управління ризиками, пов'язаними з інформаційними та комунікаційними технологіями. Ця структура включає стратегії, політики, протоколи та інструменти, необхідні для ефективного захисту цифрової інфраструктури. Відповідно до правил, установи також мають ідентифікувати, класифікувати та вести документацію щодо бізнес-функцій, пов'язаних з ІКТ.

DORA накладає на себе зобов'язання розробити, серед іншого: політику інформаційної безпеки, механізми виявлення порушень, плани забезпечення безперервності бізнесу в галузі ІКТ, стратегії резервного копіювання та плани зв'язку для розкриття кіберінцидентів. Крім того, підприємства мають забезпечити обов'язкове навчання персоналу.

2. Інциденти, пов'язані з ІКТ

DORA регулює процес управління інцидентами у сфері ІКТ, включаючи класифікацію подій та визначення їхнього впливу на основі конкретних критеріїв. Положення нової ухвали також вимагають, щоб про серйозні інциденти повідомлялося у відповідні органи.

3. Тестування цифрової операційної стійкості

Постанова накладає зобов'язання тестувати – не рідше одного разу на рік – ключові системи та додатки ІКТ. Програма тестування повинна охоплювати різні аспекти, такі як аналіз відкритого вихідного коду, оцінки мережевої безпеки, тестування сценаріїв та тестування на проникнення.

4. Управління ризиками третіх сторін у сфері ІКТ

DORA регулює всі процеси, пов'язані зі співпрацею із зовнішніми постачальниками послуг ІКТ. Це вимагає, серед іншого, оцінки постачальників, розробки та реалізації стратегії виходу, плану переходу та визначення ключових зовнішніх постачальників послуг ІКТ.

5. Механізми обміну інформацією

Регламент DORA вимагає, щоб фінансові установи обмінювалися інформацією про кіберзагрози та результатами аналізу цих загроз. Сюди входять ознаки порушення цілісності системи, тактики, методи та процедури, попередження кібербезпеки та інструменти налаштування.

Читайте також: Рекомендації ЄС щодо цифрової безпеки. Що потрібно знати про директиву NIS2?

Штрафи за недотримання DORA

У разі порушення DORA регулюючі органи матимуть право накладати фінансові штрафи на установи, які підпадають під це регулювання. Ці штрафи будуть адаптовані до типу порушення та його впливу на установу та фінансовий сектор. За серйозні порушення правил організації можуть розраховувати на штраф до 10% від річного обороту.

Орган нагляду також може накладати фінансові санкції щодо ключових зовнішніх постачальників послуг ІКТ Ці санкції можуть становити до 1% середньодобового світового обороту таких постачальників за кожен день.у яких вони не відповідають певним вимогам.

Переваги впровадження правил DORA

Впровадження правил DORA приносить фінансовим організаціям безліч переваг, основними з яких є:

    • підвищення кібербезпеки – DORA допомагає компаніям протистояти кібератакам, що призводить до підвищення операційної стійкості,
    • зниження ризику – завдяки регламенту організації зможуть більш ефективно виявляти та мінімізувати ризики, пов'язані зі збоями ІТ-систем,
    • забезпечення дотримання законодавства – реалізація регламенту забезпечує дотримання застосовних правил ЄС,
    • уникнути фінансових санкцій – виконання вимог DORA захищає компанії від санкцій, що виникають внаслідок недотримання правил ЄС,
    • побудова репутації – Дотримання правил DORA може підвищити авторитет компанії в очах клієнтів та ділових партнерів.

Європейський Союз на варті кібербезпеки

Керівні принципи DORA, поряд із директивою NIS2 та постановою Закону про кіберстійкість, є ще одним кроком Європейського Союзу на шляху до зміцнення цифрової безпеки організацій, що працюють у ньому. Дотримання нормативних вимог, реалізація відповідних заходів безпеки та ефективне управління ІКТ-ризиками важливі не тільки для компаній, але й для клієнтів, які можуть розраховувати на більшу надійність та безпеку послуг.

Ось чому важливо, щоб організації, на які поширюється дія DORA, вже зараз підготувалися до нових вимог та адаптували свої процеси та системи до застосовних стандартів, які незабаром набудуть чинності.. Таким чином вони зможуть не лише уникнути санкцій, а й підвищити свою конкурентоспроможність та довіру на ринку цифрових послуг.

Чи застосовується DORA до вашої організації? Скористайтеся допомогою наших спеціалістів!

        • Ми допоможемо вам домогтися відповідності вимогам DORA, виявивши прогалини та впровадивши рішення, адаптовані до потреб вашої організації.
        • Ми перевіримо, чи ваші документи та процедури відповідають вимогам DORA.
        • Ми допоможемо вам керувати ризиками ІКТ – вашими та третіх осіб.
        • Ми запровадимо процес управління інцидентами безпеки.
        • Ми проведемо тести на стійкість, такі як тести на проникнення та автоматичне сканування вразливостей.
        • Ми підвищимо обізнаність про кібербезпеку у вашій організації та проведемо навчання для співробітників.

Напишіть нам за адресою (електронна пошта захищена) або через форму у нижньому колонтитулі сторінки.

Кібербезпека в компанії





Як повідомляє: Resilia (Блог)

92 0 9 Квітня, 2024
Як збільшити кількість передплатників у Facebook?
NIS2 та DORA • Безкоштовний вебінар • Як виконати вимоги ЄС?
papa-root

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *