Закон про цифрову операційну стійкість (Digital Operational Resilience Act, DORA, Регламент ЄС 2022/2554) — це ключовий регуляторний акт Європейського Союзу, спрямований на підвищення кіберстійкості та операційної надійності фінансового сектору. Ухвалений 14 грудня 2022 року, а його вимоги стали обов’язковими для виконання з 17 січня 2025 року. Цей регламент створений для гармонізації підходів до управління інформаційно-комунікаційними технологіями (ІКТ) у фінансових установах ЄС, щоб забезпечити їхню стійкість до кіберзагроз, збоїв і операційних ризиків.
DORA охоплює широкий спектр фінансових організацій, включаючи банки, страхові компанії, інвестиційні фірми, платіжні установи, постачальників криптоактивів, краудфандингові платформи, а також критично важливих сторонніх постачальників ІКТ-послуг, таких як хмарні сервіси, центри обробки даних чи постачальники програмного забезпечення. Основна мета DORA — створити єдиний стандарт управління ІКТ-ризиками, зменшити фрагментацію регуляторних вимог у країнах ЄС і захистити фінансову систему від системних ризиків, спричинених кібератаками чи технологічними збоями.
Основні вимоги DORA для фінансових установ ЄС
DORA встановлює комплексний підхід до управління ІКТ-ризиками через п’ять основних напрямів:
Управління ризиками
- Фінансові установи зобов’язані розробити та впровадити комплексну стратегію управління ІКТ-ризиками. Це включає створення чіткої структури управління, визначення ролей і обов’язків, а також оцінку критичних активів і залежностей.
- Необхідно проводити регулярний аналіз ризиків і створювати плани реагування на збої, щоб забезпечити безперервність бізнес-процесів.
- Керівництво установи несе пряму відповідальність за впровадження та контроль ІКТ-стратегії.
Управління та звітування про ІКТ-інциденти
- Установи повинні мати процеси для швидкого виявлення, класифікації та реагування на ІКТ-інциденти.
- Серйозні інциденти необхідно повідомляти компетентним органам (EBA, EIOPA, ESMA) за стандартизованими шаблонами протягом встановлених строків.
- Добровільне повідомлення про значні кіберзагрози заохочується для попередження потенційних інцидентів.
Тестування цифрової операційної стійкості
- Установи зобов’язані регулярно тестувати свої ІКТ-системи, включаючи оцінку вразливостей, пенетраційне тестування та сценарне моделювання кібератак.
- Великі установи повинні проводити просунуте тестування, таке як Threat-Led Penetration Testing (TLPT), для симуляції реальних загроз.
- Результати тестів необхідно документувати та використовувати для усунення виявлених вразливостей.
Управління ризиками сторонніх ІКТ-постачальників
- Фінансові установи повинні оцінювати та мапувати залежності від сторонніх постачальників ІКТ-послуг.
- Контракти з постачальниками мають включати чіткі положення щодо безпеки, доступності, аудиту, права на перевірку та стратегій виходу.
- Уникнення надмірної концентрації критичних функцій у одного постачальника є ключовим аспектом.
Обмін інформацією
- Установи заохочуються до співпраці з іншими фінансовими організаціями та органами для обміну даними про кіберзагрози, вразливості та кращі практики.
- Це сприяє підвищенню загальної стійкості фінансового сектору.
Принцип пропорційності дозволяє застосовувати вимоги DORA залежно від розміру, складності та профілю ризиків установи. Наприклад, мікропідприємства можуть підпадати під спрощений режим. Недотримання вимог може призвести до штрафів до 2% річного обороту для організацій або до 1 млн євро для фізичних осіб.
Вплив DORA на українських підрядників, які працюють із фінансовими установами в ЄС
Українські ІКТ-компанії, які надають послуги фінансовим установам у ЄС, підпадають під дію DORA, якщо їхні послуги є частиною критичних або важливих функцій цих установ. Оскільки Україна є значним постачальником ІТ-послуг для європейського ринку, DORA матиме суттєвий вплив на українських підрядників. Ключові аспекти цього впливу:
1. Необхідність відповідності вимогам DORA
- Оновлення контрактів: Українські компанії, які надають хмарні сервіси, розробку програмного забезпечення, ІТ-аутсорсинг або інші ІКТ-послуги, повинні переглянути контракти з клієнтами з ЄС. Ці контракти мають відповідати вимогам DORA щодо безпеки, доступності, права на аудит і стратегій виходу.
- Сертифікація та аудит: DORA вимагає, щоб критичні постачальники (CTPPs) проходили перевірки з боку європейських наглядових органів. Якщо українська компанія буде визнана критично важливим постачальником, вона підлягатиме прямому нагляду, що може вимагати значних інвестицій у сертифікацію, аудит і вдосконалення процесів.
- Стандарти безпеки: Українські підрядники повинні впровадити високі стандарти кібербезпеки, включаючи регулярне тестування вразливостей, захист даних і плани реагування на інциденти, щоб відповідати очікуванням фінансових установ.
2. Фінансові та операційні виклики
- Зростання витрат: Впровадження вимог DORA, таких як регулярне тестування, сертифікація та вдосконалення інфраструктури, може суттєво збільшити операційні витрати для українських компаній. Малі та середні підприємства можуть зіткнутися з труднощами через обмежені ресурси.
- Конкуренція на ринку: Компанії, які швидко адаптуються до вимог DORA, отримають конкурентну перевагу, тоді як ті, хто не зможе відповідати стандартам, ризикують втратити контракти з європейськими клієнтами.
- Локальні виклики: В умовах війни в Україні компанії стикаються з додатковими труднощами, такими як нестабільність інфраструктури, відключення електроенергії чи проблеми з доступом до кваліфікованих кадрів, що може ускладнити виконання вимог DORA.
3. Можливості для українських підрядників
- Зміцнення репутації: Відповідність DORA може стати конкурентною перевагою для українських компаній, демонструючи їхню надійність і здатність працювати на висококонкурентному європейському ринку.
- Розширення співпраці: DORA заохочує обмін інформацією про кіберзагрози, що може відкрити нові можливості для співпраці з європейськими фінансовими установами та іншими ІТ-компаніями.
- Інновації: Вимоги DORA стимулюють розробку нових рішень у сфері кібербезпеки, що може сприяти розвитку інноваційних продуктів і послуг українськими компаніями.
4. Практичні кроки для українських підрядників
- Оцінка поточного стану: Провести аудит власних ІКТ-процесів і оцінити відповідність вимогам DORA.
- Інвестиції в кібербезпеку: Впровадити інструменти для моніторингу, тестування вразливостей і захисту даних.
- Юридична підтримка: Залучити консультантів для адаптації контрактів і забезпечення відповідності вимогам DORA.
- Навчання персоналу: Забезпечити підготовку співробітників щодо кібербезпеки та регуляторних вимог.
- Партнерство з європейськими аудиторами: Співпраця з сертифікованими аудиторами для підготовки до перевірок і сертифікацій.
5. Ризики для українських компаній
- Втрата контрактів: Якщо українська компанія не відповідатиме вимогам DORA, європейські клієнти можуть розірвати співпрацю або обрати інших постачальників.
- Штрафи та репутаційні втрати: У разі визнання компанії критично важливим постачальником (CTPP) і невідповідності стандартам, вона може зіткнутися зі штрафами або втратою довіри.
- Концентрація ризиків: DORA вимагає від фінансових установ уникати надмірної залежності від одного постачальника. Це може призвести до диверсифікації контрактів, що потенційно зменшить частку замовлень для українських компаній.
Отже, DORA є важливим кроком до підвищення кіберстійкості фінансового сектору ЄС, але він також створює нові виклики та можливості для українських ІКТ-підрядників. Для фінансових установ DORA встановлює чіткі стандарти управління ІКТ-ризиками, що вимагає значних зусиль для впровадження. Для українських компаній, які співпрацюють із цими установами, DORA означає необхідність адаптації до високих стандартів безпеки, що може бути фінансово та операційно затратним, але водночас відкриває перспективи для зміцнення позицій на європейському ринку.
Щоб успішно відповідати вимогам DORA, українським підрядникам необхідно інвестувати в кібербезпеку, переглянути контракти, налагодити співпрацю з європейськими аудиторами та активно працювати над підвищенням операційної стійкості. Успішна адаптація до DORA може не лише зберегти існуючі контракти, але й відкрити нові можливості для зростання в умовах висококонкурентного глобального ринку.