icon

Правила ЄС Закону про цифрову операційну стійкість (DORA)

contents

Understanding the Digital Operational Resilience Act

ICT Risk Management Framework Under DORA

Incident Reporting and Management Requirements

Digital Operational Resilience Testing

Third-Party Risk Management and Oversight

Implementation Timeline and Compliance Considerations

Impact of DORA on the EU Financial Sector

How Hideez Can Help with DORA Compliance

Акт про цифрову операційну стійкість: Що таке DORA?

 

Акт про цифрову операційну стійкість (Digital Operations Resilience Act, DORA) є знаковим регламентом ЄС, створеним для зміцнення ІТ-безпеки та операційної стійкості фінансових установ по всій Європі. Він набрав чинності 16 січня 2023 року, а дотримання вимог стане обов’язковим з 17 січня 2025 року. DORA визнається ефективним інструментом для управління цифровими ризиками у фінансовому секторі.

Регламент є реакцією Європейського Союзу на зростаючу залежність від інформаційних та комунікаційних технологій (ІКТ) у фінансових послугах та зростання кіберзагроз. Тому DORA спрямована на вирішення ключових проблем, таких як фрагментовані національні регламенти, недостатні практики управління ризиками ІКТ та недостатній нагляд за сторонніми постачальниками технологій. 

У Hideez ми прагнемо підтримувати фінансові установи у виконанні вимог безпеки та підвищенні продуктивності співробітників за допомогою наших рішень для автентифікації безпарольної автентифікації. Тож давайте розглянемо основні аспекти, які допоможуть вам досягти відповідності DORA!

Що таке Акт про цифрову операційну стійкість

DORA є ініціативою ЄС, спрямованою на стимулювання інновацій, забезпечення фінансової стабільності та захист споживачів у різних фінансових системах, таких як банки, страхові компанії, інвестиційні фірми, тощо. 

Акт визначає єдині вимоги до безпеки мереж і інформаційних систем, підтримуючи бізнес-процеси фінансових установ. Відмінною рисою DORA є її здатність забезпечувати, щоб фінансові установи могли швидко реагувати на загрози, пов’язані з ІКТ, і відновлюватися після них. Крім того, цей акт спрямований на зміцнення стабільності європейської фінансової системи шляхом уніфікації правил цифрової стійкості в усьому ЄС, зменшуючи регуляторні невідповідності.

Кого стосується акт DORA?

DORA поширюється на понад 22 000 фінансових установ та постачальників послуг ІКТ, які працюють у межах ЄС, а також на ІКТ-інфраструктуру, яка їх підтримує за межами ЄС. Вона впливає на різні фінансові системи, включаючи:

  • Банки
  • Страхові компанії
  • Інвестиційні компанії
  • Обробників платежів
  • Біржі
  • Суб’єкти ринкової інфраструктури
  • Кредитні агентства
  • Постачальників послуг стосовно криптоактивів

Крім того, DORA поширюється на критичних постачальників ІКТ, які обслуговують ці фінансові установи. У результаті організації повинні ідентифікувати наявність критичних залежностей від сторонніх постачальників ІКТ та диверсифікувати їх, щоб уникнути надмірної залежності від однієї чи обмеженої групи постачальників. 

Основні цілі та сфера застосування DORA

Закон має дві основні цілі. Перша полягає в тому, щоб комплексно вирішити управління ризиками ІКТ у фінансовому секторі. Це включає встановлення стандартів для оцінки ризиків, звітності про інциденти та тестування стійкості. Друга мета — збалансувати регулювання управління ризиками ІКТ серед країн-членів ЄС, щоб створити рівні умови та зменшити труднощі з дотриманням для фінансових систем, які працюють у кількох країнах ЄС.

Основні компоненти DORA включають:

  • Управління ризиками ІКТ
  • Звітність про інциденти
  • Тестування цифрової операційної стійкості
  • Управління ризиками третіх сторін
  • Кадровий нагляд за критичними постачальниками послуг ІКТ

Управління ризиками ІКТ згідно з DORA

DORA зобов’язує фінансові установи створити надійну, всеосяжну та добре задокументовану систему управління ризиками ІКТ. Це має бути важливим елементом загальної системи управління ризиками установи та забезпечувати швидке, ефективне та належне реагування на можливі ризики. Основні компоненти цієї системи включають:

  1. Ідентифікацію та оцінку ризиків: установи повинні регулярно оцінювати та документувати ризики ІКТ, включаючи ті, що виникають через залежність від сторонніх постачальників.
  2. Заходи захисту та профілактики: впровадження стратегій, політик і інструментів безпеки для захисту систем і даних, наприклад, використання безпарольних рішень доступу для зменшення ризиків фішингу та інцидентів, пов'язаних із паролями.
  3. Механізми виявлення: використання процесів і технологій для швидкого виявлення аномалій і потенційних інцидентів безпеки.
  4. Планування реагування та відновлення: розробка та підтримка планів безперервності бізнесу та процедур відновлення після катастроф.
  5. Навчання та вдосконалення: постійне вдосконалення системи на основі результатів, отриманих із минулих інцидентів та тестувань.

Також важливо зазначити, що DORA вимагає призначення відповідального за управління та нагляд за ризиками ІКТ до контрольної функції з відповідним рівнем незалежності. Це підкреслює необхідність чіткої відповідальності та ефективного управління цифровими ризиками.

Вимоги DORA

Вимоги до звітності та управління інцидентами

Ключовою особливістю DORA є акцент на звітності та управлінні інцидентами. Установи зобов’язані впровадити процес управління для моніторингу та класифікації будь-яких інцидентів, пов’язаних з ІКТ. Регламент передбачає три вимоги до звітності про важливі інциденти:

По-перше, початкове повідомлення. Воно має бути подано протягом визначеного часу після класифікації інциденту як важливого. По-друге, проміжний звіт, який потрібно подати, якщо статус початкового інциденту суттєво змінюється. По-третє, підсумковий звіт, який подається після завершення аналізу причин інциденту та наявності точних даних про вплив.

Крім того, закон вимагає, щоб фінансові установи без зайвих затримок інформували своїх клієнтів про великі інциденти, пов’язані з ІКТ,особливо якщо вони впливають на їхні фінансові інтереси. Такий підхід сприяє підвищенню довіри та дозволяє клієнтам швидко вжити необхідних заходів захисту. 

Крім цього, DORA заохочує добровільну звітність про значні кіберзагрози, що сприяє співпраці в галузі кібербезпеки у фінансовому секторі.

Тестування цифрової операційної стійкості

Щоб забезпечити ефективність систем управління ризиками ІКТ, DORA вимагає від фінансових установ регулярного тестування їхньої цифрової операційної стійкості. Основні етапи включають:

  1. Оцінка та сканування вразливостей: регулярні оцінки для виявлення потенційних слабких місць у системах та додатках.
  2. Оцінка безпеки мереж і інфраструктури: тести для перевірки міцності мережевих захистів.
  3. Тестування безпеки додатків: оцінка програмного забезпечення, яке використовується для критичних бізнес-функцій.
  4. Тестування на основі сценаріїв: симуляція різних сценаріїв кіберзагроз для оцінки здатності реагування.
  5. Пенетраційне тестування, кероване загрозами: передові тести для установ, які вважаються критичними для фінансової системи, що проводяться щонайменше раз на три роки.

Результати мають бути задокументовані та представлені керівництву організації. На основі отриманих даних потрібно розробити стратегію для усунення виявлених слабких місць. Цей підхід спрямований на постійне підвищення стійкості фінансових установ до еволюції кіберзагроз. 

Управління ризиками третіх сторін і нагляд

Визнаючи критичну роль постачальників послуг ІКТ у фінансовій галузі, DORA вводить суворі вимоги до управління ризиками третіх сторін. Основні аспекти включають:

  1. Детальну перевірка при виборі: фінансові установи повинні ретельно оцінювати потенційних постачальників послуг ІКТ до укладення контрактів.
  2. Контрактні гарантії: договори з постачальниками ІКТ мають містити спеціальні положення щодо безпеки, звітності про інциденти та права на аудит.
  3. Постійний моніторинг: регулярна оцінка продуктивності та заходів безпеки третіх сторін.
  4. Стратегії виходу: розробка комплексних планів для переходу від одних сторонніх постачальників до інших у разі необхідності. 

Крім того, DORA встановлює рамки нагляду за критичними сторонніми постачальниками послуг ІКТ. Це дозволяє Європейським наглядовим органам безпосередньо контролювати критичних постачальників і гарантувати, що вони відповідають необхідним стандартам для обслуговування фінансового сектора.

Графік впровадження відповідності

Графік впровадження Акту про цифрову операційну стійкість виглядає наступним чином: 

  • 16 січня 2023 року: Акт DORA набув чинності.
  • 17 січня 2025 року: Крайній термін для фінансових установ і постачальників ІКТ для досягнення відповідності.

Графік DORA

Вплив DORA на фінансовий сектор ЄС

Успішне впровадження рамок відповідності DORA має значний вплив на фінансовий сектор Європейського Союзу. Ось основні результати:

  1. Покращена кібербезпека: Завдяки впровадженню різних практик управління ризиками ІКТ, DORA повинна значно покращити загальний рівень кібербезпеки фінансових установ.
  2. Гармонізоване регулювання: Інтегрований підхід між різними країнами-членами спростить дотримання нормативних вимог для транскордонних фінансових операцій і забезпечить чесну конкуренцію. 
  3. Покращене управління ризиками третіх сторін: Рамки нагляду за критичними постачальниками ІКТ допоможуть зменшити ризики, пов’язані з аутсорсингом і хмарними сервісами.
  4. Стимулювання інновацій: Чіткий план із регуляторними вказівками сприяє впровадженню нових технологій у фінансовому секторі, забезпечуючи дотримання надійних практик управління ризиками.
  5. Зміцнення довіри споживачів: Краща стійкість і прозорість у звітності про інциденти можуть сприяти зростанню довіри споживачів до цифрових фінансових послуг.

Як Hideez може допомогти у відповідності до DORA

Для фінансових установ, які орієнтуються на вимоги Акту про цифрову операційну стійкість, безпека починається з надійної автентифікації. Стаття 9 законодавства DORA ясно вказує: захист доступу до чутливих систем є обов’язковим. Це перша лінія оборони від фішингу, несанкціонованого доступу та інцидентів, які можуть порушити бізнес-операції.

Хоча впровадження багатофакторної автентифікації (MFA) є критично важливим, не всі методи забезпечують однаковий рівень захисту. Як ми пояснили у нашій детальній статті “Як вибрати найбезпечніший метод MFA?,” традиційні підходи, такі як push-сповіщення або одноразові паролі через SMS, вразливі до фішингу та атак із заміною SIM-картки.

Для ефективного виконання вимог DORA фінансові установи повинні впроваджувати рішення, засновані на безпарольній автентифікації. Цей сучасний підхід повністю усуває паролі, замінюючи їх безпечними варіантами, такими як біометрія або фізичні ключі безпеки. Він також спрощує роботу користувачів, усуваючи труднощі з керуванням паролями на робочому місці.

Готові спробувати універсальну безпарольну автентифікацію? Замовте демонстрацію рішення Hideez Workforce Identity або створіть обліковий запис у нашому хмарному порталі, щоб налаштувати безпарольний єдиний вхід (SSO) для ваших веб-сервісів безкоштовно. Незалежно від того, чи є ви малою компанією чи великою організацією, наші інструменти допоможуть вам впровадити надійні практики автентифікації та відповідати стандартам операційної стійкості DORA.

Popular Pages

<b>Що таке FIDO2 і як воно працює? Переваги та недоліки безпарольної автентифікації</b> Що таке FIDO2 і як воно працює? Переваги та недоліки безпарольної автентифікації

Повернутися до Блог і новини Hideez