Як ви знаєте, Європейський Парламент ухвалив Директиву 2022/2554 від 14 грудня 2022 року про цифрову операційну стійкість для фінансового сектора та внесення змін до низки Директив Парламенту ЄС. Ця директива набирає чинності 17 січня 2025 (DORA). Це означає, що у компаній залишається небагато часу для адаптації до нових вимог.
Однак вимоги DORA не обмежуються лише цією директивою. Європейське управління цінними паперами та ринками (ESMA) розробляє додаткові вимоги в рамках застосування DORA.
Кому застосовується DORA?
Список суб’єктів, які підпадають під дію DORA, є широким і включає компанії, які, можливо, вже реалізували низку заходів з інформаційної безпеки. Загалом важливо звернути увагу на вимоги DORA наступним компаніям:
Вимоги до криптокомпаній
Криптокомпаніям варто враховувати, що термін імплементації законодавства про криптоактиви та криптодіяльність (MICA) становить 6-18 місяців (залежно від юрисдикції), починаючи з 1 січня 2025 року. Проте DORA застосовується до криптокомпанії вже з 17 січня 2025 року. Тому криптокомпанії не мають додаткового часу на впровадження DORA.
Політики, Процедури, Процеси
Компанії повинні розробити більше 20 політик та процедур з інформаційної безпеки, включаючи політики з контролю доступу, управління інцидентами, пов’язаними з ІКТ, безперервної діяльності ІКТ, управління активами ІКТ, управління вразливістю та патчами, безпеки даних та систем тощо. DORA вимагає наявності комплексної системи управління ризиками у сфері ІКТ, яка дозволяє швидко, ефективно та всебічно усувати ризики ІКТ.
Регулярна Перевірка Операційної Стійкості
Тестування має проводитися з урахуванням ризиків, а чи не стандартизованим чином. Компанії тестуватимуть ризики, найбільш актуальні для їх послуг та напрямків діяльності. Це допоможе адаптувати засоби контролю кіберрисків під індивідуальні особливості бізнесу. У разі кібератаки компанії мають зафіксувати інцидент і повідомити про нього відповідного регулятора.
Вимоги до постачальників ІКТ
Система також вимагатиме від компаній оцінки ризиків, пов’язаних із послугами третіх осіб. Час обмежений, і процеси необхідно ретельно опрацювати. Бізнес-партнери, з якими реалізована API інтеграція чи інше партнерство, швидше за все вимагатимуть відповідних політик та доказів, що процеси з інформаційної безпеки впроваджені на належному рівні.
Деякі сторонні постачальники ІКТ будуть вважатися “критичними” та підлягають прямому регулятивному нагляду з боку провідного наглядового органу. Постачальникам ІКТ необхідно оцінити вплив DORA та визначити, чи можуть вони бути визнані “критичними”.
Якщо постачальник ІКТ не визнаний критично важливим, йому все одно доведеться переглянути свої контракти на відповідність обов’язковим вимогам DORA та внести необхідні оновлення. Компанії, які підпадають під дію DORA, вимагатимуть від своїх ІКТ провайдерів виконання низки вимог.
Безперервний Моніторинг
Після впровадження DORA необхідно продовжувати моніторинг та оцінку системи управління ризиками. Регулярні перевірки та оновлення допоможуть підтримувати високий рівень інформаційної безпеки та оперативної стійкості.
З чого почати?
Якщо ви підпадаєте під вимоги DORA та потребуєте допомоги для адаптації до нових законодавчих вимог до закінчення терміну впровадження, наші фахівці готові допомогти вам. Ми вже розробляємо політики та процедури по DORA для клієнтів. Якщо ви постачальник ІКТ і хочете зрозуміти, як DORA буде впливати на вас, ми можемо допомогти вам провести оцінку впливу DORA.
Компанії мають бути готові до впровадження DORA, щоб уникнути штрафів та санкцій, уникнути втрат бізнес-партнерів. Необхідно провести внутрішні аудити, щоб визначити, які процеси та системи вже відповідають новим вимогам, а які потребують доопрацювання. Переконайтеся, що у вас є всі необхідні політики та процедури, а співробітники навчені їм слідувати.