Закон про цифрову операційну стійкість (DORA) був прийнятий на початку минулого року, а 17 січня 2025-го завершилось його впровадження. Це означає, що фінансові установи ЄС зобов’язані виконувати нові вимоги, в іншому випадку передбачені великі штрафи. Це стосується і фінансових компаній з-за меж ЄС, які надають свої послуги на території об’єднання. Крім того, в контексті євроінтеграції нові стандарти операційної стійкості треба враховувати й українським постачальникам фінансових послуг. Тож в статті ми зібрали ключове про те, що змінилося з впровадженням DORA.
Що таке DORA та навіщо прийняли цей закон?
Закон DORA призначений для зміцнення кіберстійкості регульованих фінансових організацій. Цей термін охоплює здатність організації підтримувати операційну цілісність та безперервність бізнесу в умовах порушень у роботі, таких як витік даних або кібератаки. Безперервність особливо важлива у фінансовому секторі, адже йдеться про доступ споживачів до своїх коштів та управління ними.
Відповідно до Звіту про глобальну фінансову стабільність станом на 2024 рік, підготовленого Міжнародним валютним фондом (МВФ), за останні два десятиліття фінансовий сектор зазнав понад 20 000 кібератак, що призвело до збитків у розмірі $12 млрд.
Згідно зі звітом IBM Cost of a Data Breach Report, лише у 2024 році середня вартість витоку даних зросла до $4,45 млн. Такі втрати потенційно можуть спричинити проблеми з фінансуванням компаній і навіть поставити під загрозу їх платоспроможність.
DORA має на меті забезпечити фінансовий сектор більш уніфікованою системою правил, яка гарантує, що всі установи зможуть протистояти різноманітним цифровим загрозам і збоям, реагувати на них і відновлюватися після них.
Основні положення DORA
Положення DORA стосуються безпосередньо широкого кола фінансових установ, включаючи кредитні установи, платіжні установи, інвестиційні компанії, постачальників послуг з обслуговування криптоактивів, страхові та перестрахувальні компанії тощо.
Основні аспекти регламенту включають:
- Вимоги щодо управління ризиками, пов’язаними із застосуванням телекомунікаційних технологій. Фінансові установи, що підпадають під дію DORA, зобов’язані розробляти, задокументувати та підтримувати надійну систему управління ризиками у повному обсязі (це включає захист, виявлення, реагування та відновлення).
- Звітність про інциденти порушення кібербезпеки. Фінансові установи повинні запроваджувати порядок реагування на порушення кібербезпеки, включаючи негайне інформування компетентних органів про серйозні інциденти, щоб підтримувати обізнаність та стійкість сектору в цілому.
- Тестування на стійкість. DORA вимагає регулярного тестування цифрової операційної стійкості (зокрема, тестування різних сценаріїв порушення кібербезпеки).
- Управління ризиками третіх сторін. Враховуючи залежність фінансових установ від сторонніх постачальників послуг, DORA зобов’язує фінансові установи забезпечувати перевірки провайдерів та проводити аудит.
Виклики, що виникають із впровадженням DORA
Відповідність DORA або подібним нормам вимагає від фінансових установ значних інвестицій. За підрахунками Forbes, витрати на комплаєнс у перерахунку на одного працівника сягають $10 000. З додатковими вимогами DORA ця цифра, ймовірно, зросте.
Ще одним викликом є адаптація застарілих систем. Якщо фінансова установа досі покладається на застарілі системи, то їх буде важко інтегрувати з сучасними автоматизованими інструментами. Ці застарілі системи потребуватимуть модернізації або заміни для відповідності стандартам DORA, що є технічно складним та дорогим завданням.
DORA приділяє значну увагу ризикам, пов’язаним із третіми сторонами. Згідно з даними IBM, 95% усіх порушень кібербезпеки пов’язані з людською помилкою. Тож фінансові установи повинні забезпечити не тільки свою стійкість, але й постійний моніторинг зовнішніх постачальників послуг.
Недотримання DORA тягне за собою штрафи в розмірі до 2% від загального річного обороту компанії в усьому світі, а критично важливі сторонні постачальники послуг можуть отримати штрафи до 5 мільйонів євро. Ці штрафи можна порівняти зі штрафами Загального регламенту захисту даних (GDPR), які можуть сягати 20 мільйонів євро за серйозні порушення. Також варто пам’ятати, що порушення вимог DORA, окрім фінансової, може нанести й репутаційну шкоду фінустанові.
Як боротьба з кіберризиками регулюється в Україні, враховуючи наближення вступу до ЄС?
Фінансові послуги – важливий переговорний розділ для вступу України до ЄС. Процес наближення законодавства України до європейського вимагатиме не тільки змін у регуляторному оточенні, але й запровадження принципово нових підходів до регулювання.
В аналітичній записці, підготовленій Центром економічної стратегії, було визначено ключові розбіжності європейського та українського законодавства у сфері фінансових послуг, зокрема й у контексті DORA.
Як зазначають аналітики, закон “Про основні засади забезпечення кібербезпеки України” встановлює рамки боротьби з кіберризиками, зокрема, в області фінансових послуг. А положення НБУ “Про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру”, встановлює деякі правила співпраці між фінансовими установами та провайдерами ICT-послуг. Додаткові правила безпеки прописані у положеннях “Про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг” та “Про автентифікацію та застосування посиленої автентифікації на платіжному ринку”.
Загалом, як зазначається у документі, українське законодавство в сфері фінансової кібербезпеки в банківському секторі більш фрагментоване і менш деталізоване від європейського, але, за великим рахунком, еквівалентне до нього. Проте в тому, що стосується ринків цінних паперів та фінансових інструментів, регуляторна рамка у розрізі кібербезпеки розвинена слабко.
Висновок
2025-й є роком регуляторної трансформації, зокрема в ЄС. Відповідність DORA та іншим нормам є важливою для всіх фінансових установ. Цей новий нормативний ландшафт створює як виклики, так і можливості. Адже трансформуючи зусилля з комплаєнсу на стратегічні ініціативи, фінансовий сектор може не лише відповідати нормативним вимогам, але й посилити свою операційну стійкість і зміцнити довіру клієнтів та інвесторів.
