Думки експертів

Що таке DORA? Або чому не варто панікувати

Іванна Прєснякова
Оновлено:

Зміст

DORA (Digital Operational Resilience Act, Регламент ЄС 2022/2554) — це частина законодавства Європейського Союзу, який регулює цифрову операційну стійкість фінансових установ. Він визначає стандарти для управління ризиками ІКТ (інформаційно-комунікаційних технологій), моніторингу та реагування на інциденти в сфері кібербезпеки, а також забезпечення безперервності бізнесу при використанні технологій. Норми DORA набули чинності в усіх країнах-членах Європейського Союзу, включаючи Польщу, з 17 січня 2025 року .

З цієї дати всі охоплені фінансові установи, як-от платіжні установи, банки, інвестиційні компанії, постачальники послуг віртуальних активів та інші, повинні відповідати вимогам DORA щодо цифрового управління ризиками, звітування про інциденти ІКТ, тестування цифрової стійкості та моніторингу постачальників ІКТ.

Кому потрібно дотримуватися DORA?

Регламент DORA застосовується до широкого кола фінансових установ:

  • Кредитних установ;
  • Платіжних установ;
  • Інвестиційних фірм;
  • Постачальників послуг надання інформації про обліковий запис;
  • Установ електронних грошей та криптовалютних постачальників.
  • Також регламент поширюється на інші підприємства, що обробляють фінансові послуги, і на критичних постачальників послуг ІКТ.

Основні вимоги DORA

Управління ризиками ІКТ

Керівний персонал повинен забезпечити наявність правильної стратегії управління ризиками ІКТ, що включає створення та підтримку стратегій, політик і процедур для захисту ІТ-активів. 

Зокрема, суб’єкти повинні мати обґрунтовану, комплексну та добре задокументовану (переглядається принаймні раз на рік або періодично у випадку мікропідприємств) структуру управління ризиками інформаційно-комунікаційних систем як частину їхньої загальної системи управління ризиками, яка дозволяє їм швидко, ефективно та всебічно вирішувати ризики ІКТ та забезпечити високий рівень цифрової операційної стійкості.

Структура управління ризиками ІКТ повинна включати принаймні стратегії, політику, процедури, протоколи та інструменти ІКТ, необхідні для надійного та належного захисту всіх інформаційних активів ІКТ, включаючи комп’ютерне програмне забезпечення, апаратне забезпечення, сервери, а також для захисту всіх відповідних фізичних компонентів та інфраструктури.

Фінансові суб’єкти, крім мікропідприємств («мікропідприємство» означає фінансову установу, яка налічує менше ніж 10 осіб і має річний оборот та/або річний підсумковий баланс, що не перевищує 2 мільйони євро (в еквіваленті)), повинні покласти відповідальність за управління та нагляд за ризиком ІКТ на внутрішню функцію контролю та забезпечити відповідний рівень незалежності такої функції контролю з метою уникнення конфлікту інтересів. Фінансові установи також повинні забезпечити належне відокремлення та незалежність функцій управління ризиками ІКТ, функцій контролю та функцій внутрішнього аудиту відповідно до моделі трьох ліній захисту або внутрішньої моделі управління ризиками та контролю (стаття 6) (На думку автора, в даному випадку є певна схожість (трирівнева система захисту) із українською Постановою НБУ №199 від 23.12.2024). 

Система управління ризиками ІКТ фінансових установ, крім мікропідприємств, підлягає внутрішньому аудиту аудиторами на регулярній основі відповідно до плану аудиту фінансових установ. 

Структура управління ризиками ІКТ повинна включати стратегію цифрової операційної стійкості, яка визначає, як ця структура буде реалізована.

Фінансові установи можуть, відповідно до законодавства Союзу та національного галузевого законодавства, передавати завдання перевірки дотримання вимог щодо управління ризиками ІКТ внутрішньогруповим або зовнішнім підприємствам. Але варто пам’ятати, що у разі такого аутсорсингу фінансова установа все одно залишається повністю відповідальною за перевірку дотримання вимог щодо управління ризиками.

Основні процеси:

  • Затвердження органом управління необхідної документації;
  • Виділення органом управління відповідного бюджету на впровадження і навчання персоналу;
  • Запровадження окремих каналів звітності.

Основні вимоги до документації:

  • Має бути затверджений стратегічний документ, що міститиме інформацію про те, як буде здійснюватися нагляд та управління системою управління ризиками ІКТ;
  • Потрібно встановити чіткі ролі і обов’язки для всіх функцій, пов’язаних з ІКТ для забезпечення ефективної та своєчасної комунікації, співпраці та координації під час виконання цих функцій (зазвичай карти процесів, опис функціоналу та ролі вже є в наявності в установі);
  • Потрібно визначити та затвердити операційну стратегію цифрової стійкості, включаючи визначення відповідного рівня толерантності до ризику ІКТ;
  • Потрібно затвердити та здійснювати періодичний контроль за реалізацією стратегії безперервності бізнесу ІКТ та планів реагування та відновлення ІКТ, а також здійснювати їх періодичний перегляд в залежності від зовнішніх ризиків;
  • Потрібно затвердити план внутрішніх аудитів ІКТ (їх істотних змін, за потреби), а також їх періодичний перегляд, необхідно розподілити ролі та відповідальність у разі різних типів інцидентів ІКТ та їх сценаріїв. Це може бути негайне звітування органу управління про серйозні інциденти ІКТ з критичним впливом на фінансову установу та її участь у рішеннях, прийнятих у рамках процесу обробки інцидентів.
  • Важливо, щоб орган управління визначав, затверджував та контролював впровадження всіх заходів щодо системи управління ризиками ІКТ (стаття 6) та відповідав за їх виконання (стаття 5). В свою чергу, керівництво ІКТ (стаття 13) звітує та дає рекомендації керівному органу принаймні раз на рік. Звіт має містити висновки випробувань експлуатаційної цифрової стійкості, проведених відповідно до Розділу IV та від реальних інцидентів, пов’язаних з ІКТ. До них належать, зокрема, кібератаки та плани реагування (за необхідності, відновлення) ІКТ.
  • Потрібно затвердити політику щодо контрактів на використання послуг ІКТ, що надаються зовнішніми постачальниками (аутсорс), та її періодичний перегляд (за необхідності);
  • Загалом положення Регламенту DORA встановлюють, структуру управління ризиками ІКТ, згідно з якою фінансові установи, окрім мікропідприємств, зобов’язані створити, підтримувати та переглядати відповідну та комплексну програму тестування цифрової операційної стійкості.

Тестування стійкості

У рамках комплексного управління ризиками ІКТ фінансові установи повинні: 

  1. тестувати плани безперервності бізнесу ІКТ і плани реагування та відновлення ІКТ стосовно систем ІКТ, що підтримують усі функції, щонайменше раз на рік, а також у разі будь-яких суттєвих змін у системах ІКТ, що підтримують критичні або важливі функції (стаття 11) (як визначено в пункті (35) частини 1 статті 2 Директиви 2014/59/ЄС Європейського Парламенту та Ради: «критичні функції» означає діяльність, послуги чи операції, припинення яких, ймовірно, в одній або кількох державах-членах призведе до збою в роботі послуг, які є важливими для реальної економіки, або порушить фінансову стабільність через розмір, частку ринку, зовнішній і внутрішній взаємозв'язок, складність або транскордонну діяльність установи або групи, особливо враховуючи взаємозамінність цих видів діяльності, послуг або операцій.); 
  2. створити і перевірити плани комунікацій у кризових ситуаціях (стаття 14).

Для цілей пункту (1) фінансові установи, крім мікропідприємств, повинні включати в плани тестування сценарії кібератак і перемикань між основною інфраструктурою ІКТ та резервною потужністю, резервними копіями та резервними засобами.

Ризики, пов'язані зі сторонніми постачальниками ІКТ

Фінансові установи можуть залучати сторонніх постачальників послуг ІКТ лише за умови, що вони відповідають встановленим стандартам інформаційної безпеки. Якщо відповідні послуги сторонніх постачальників  стосуються критичних або важливих функцій, перед укладенням угод про надання таких послуг фінансові установи повинні належним чином розглянути використання сторонніми постачальниками послуг ІКТ найсучасніших і найякісніших стандартів інформаційної безпеки. 

Фінансові установи мають встановлювати частоту та обсяг аудитів ІКТ-постачальників на основі оцінки ризиків. Згідно з вимогами регулювання (стаття 26), під час контролю та перевірки сторонніх постачальників ІКТ-послуг банки та інші фінансові організації повинні заздалегідь визначати, як часто проводитимуться аудити, які саме напрямки перевірятимуться, та яким стандартам відповідатиме аудит. Це має відбуватись відповідно до загальноприйнятих стандартів та з урахуванням настанов регуляторів. У випадках, коли ІКТ-рішення є технічно складними, компанії повинні переконатися, що як внутрішні, так і зовнішні аудитори мають належну кваліфікацію для проведення ефективного аналізу.

Договори з ІКТ-постачальниками мають чітко визначати послуги, місце їх надання та стандарти безпеки. Незалежно від критичності функцій, які підтримуються ІКТ-послугами, контракти повинні містити повний опис послуг, їхнє розташування, місця обробки даних та рівні обслуговування. Для ефективного управління ризиками фінансова установа має передбачити в угодах положення щодо забезпечення доступності, цілісності, конфіденційності та безпеки даних, а також гарантії доступу та повернення даних у разі банкрутства чи припинення діяльності постачальника. Важливо також, щоб постачальник був зобов’язаний реагувати на ІКТ-інциденти без додаткових витрат або за заздалегідь узгодженою ціною, співпрацювати з регуляторами та дотримуватись умов щодо розірвання контракту з визначеними строками попередження.

Навчання і розвиток керівництва та персоналу

Фінансові установи повинні розробити програми інформування про безпеку ІКТ та навчання цифровій операційній стійкості як обов’язкові модулі в програмах навчання персоналу. Ці програми та навчання мають застосовуватися до всіх працівників і вищого керівництва та мати рівень складності, який відповідає повноваженням відповідних працівників. В окремих випадках фінансові установи повинні також включати сторонніх постачальників послуг ІКТ до своїх програм навчання.

Виконання та перевірка

Фінансові установи зобов'язані проводити регулярні внутрішні перевірки на відповідність DORA. Перевірки повинні включати:

  • Оцінку виконання вимог щодо безпеки ІКТ;
  • Регулярні звіти для наглядових органів щодо рівня виконання вимог;
  • Дорожню карту для впровадження DORA.

З чого почати?

Оцінка поточного стану: Почніть з оцінки існуючих процесів управління ІКТ і ризиками в вашій установі, щоб визначити прогалини та сфери, які потребують вдосконалення для забезпечення відповідності вимогам DORA.

Створення плану впровадження: Розробіть план впровадження, який включатиме всі ключові аспекти DORA, як-от управління ризиками, забезпечення безперервності бізнесу, розподілення ролей, співпраця з постачальниками ІКТ та навчання персоналу.

Тестування та аудит: У контексті зростаючих кіберзагроз та нормативних вимог фінансовим установам слід забезпечити належну перевірку надійності власної ІКТ-інфраструктури, своєчасний аудит контрактів з технологічними партнерами, а також організувати ефективну внутрішню систему контролю для постійного моніторингу відповідності та ризиків.

Навчання та постійне вдосконалення: Запровадьте регулярне навчання для співробітників і підтримуйте систему безперервного вдосконалення. Проводьте регулярні оновлення щодо нових загроз і змін в законодавстві.

Моніторинг та звітність: Встановіть механізми моніторингу для постійного контролю за виконанням вимог DORA і для звітності до компетентних органів.

Висновок

DORA: основа цифрової стійкості фінансового сектору 

Дотримання вимог регламенту DORA є ключовим фактором забезпечення  операційної стійкості фінансових установ в умовах зростаючих кіберризиків. Побудова системи управління ІКТ-ризиками, регулярне тестування, аудит і підготовка персоналу формують надійний захист від цифрових інцидентів і підтримують безперервність бізнесу. DORA — це не лише регуляторна вимога, а стратегічна передумова стабільного функціонування фінансового сектора у цифрову епоху.

Оновлено:
Іванна Прєснякова

Думки експертів

Думки експертів

Як українцям повернути податки в Європі: частина 2

Олена Кузнечікова
Як створити свою франшизу з нуля і заробляти на ній
Думки експертів

Як створити свою франшизу з нуля і заробляти на ній

Ірина Цимбалюк
Думки експертів

В очікуванні на Реєстр кінцевих бенефіціарних власників трастів або інших подібних правових утворень

Євген Курілов
Як правильно масштабувати бізнес: шляхи та етапи
Думки експертів

Як правильно масштабувати бізнес: шляхи та етапи

Ірина Цимбалюк