DORA: ваш вичерпний посібник із нового кіберрегламенту ЄС

Згідно з нещодавнім звітом McAfee, кіберзлочинність щороку коштує світовій економіці понад $1 трлн. Звучить лячно, чи не так? Що ж, ця цифра підкреслює життєву потребу в надійних заходах кібербезпеки.
Але є хороша новина: знайомтеся з Digital Operational Resilience Act, також відомим як DORA, що захищає фінансову кібербезпеку.
Отже, що таке DORA? Простими словами, DORA — це новаторський регламент Європейського Союзу (ЄС), головна мета якого — підвищити стійкість кібербезпеки у секторі фінансових послуг. Він передусім зосереджений на фінансовому секторі ЄС і має на меті посилити стійкість до кібератак та здатність відновлюватися після них.
Bruce Schneier — відомий технолог у сфері безпеки, який якось сказав: «Безпека — це процес, а не продукт». Регламент DORA чудово відповідає цій філософії, адже наголошує на безперервній стійкості та проактивному управлінні ризиками в кібербезпеці.
У цьому блозі ми розглянемо важливість DORA та чому вона має значення. Залишайтеся з нами — ми обіцяємо надати вичерпне розуміння цього ключового регламенту, не оминувши жодної деталі.
Мета DORA
DORA має на меті гарантувати, що всі фінансові установи в ЄС здатні ефективно протистояти цифровим загрозам, установлюючи єдину нормативну базу.
Він має дві основні цілі:
- Комплексно врегулювати управління ІКТ-ризиками у секторі фінансових послуг.
- Гармонізувати правила управління ІКТ-ризиками, що вже існують в окремих державах-членах ЄС.
Відповідність DORA зосереджена на комплексному управлінні ІКТ-ризиками через встановлення суворих вимог до фінансових установ. Тож це включає гарантування безпечних ІКТ-систем і засобів контролю для запобігання загрозам, їх виявлення та управління ними.
Крім того, DORA гармонізує загальноєвропейські правила управління ІКТ-ризиками, щоб установити єдину нормативну базу. Він посилює стійкість фінансової системи ЄС, створюючи однакові рівні захисту. Це, своєю чергою, замінює неузгоджені правила між державами-членами спільними стандартами, тим самим полегшуючи дотримання вимог для транснаціональних корпорацій.
Згідно зі звітом Європейського центрального банку, «Гармонізовані та суворі фреймворки управління ІКТ-ризиками мають вирішальне значення для підтримання стабільності та цілісності фінансової системи ЄС перед лицем зростання кіберзагроз». Отже, це підкреслює значущість регламенту DORA у формуванні надійного захисту від ІКТ-ризиків.
Хронологія DORA
Ось короткий огляд ключових віх на шляху DORA:
- 24 вересня 2020 року: Європейська Комісія робить проактивний крок, оприлюднюючи проєкт регламенту DORA.
- 3 січня 2024 року: Європейський центральний банк (ЄЦБ) впровадить стрес-тести кіберстійкості. Їх проведуть на 109 банках, що перебувають під прямим наглядом, щоб оцінити їхню здатність протистояти кібератакам і відновлюватися після них.
- 16 січня 2023 року: DORA набув чинності, започаткувавши 24-місячний перехідний період для виконання.
- 17 січня 2024 року: Європейська Рада оприлюднила остаточний проєкт Регуляторних технічних стандартів (RTS) відповідно до DORA. Це встановлює початкові правила щодо ІКТ та управління ризиками третіх сторін.
- 17 січня 2025 року: Це вирішальна цільова дата, до якої компанії, яких це стосується, мають виконати вимоги DORA.
Чому законодавство DORA важливе для кібербезпеки?
Законодавство DORA має вирішальне значення для кібербезпеки, адже підвищує стійкість цифрових операцій і можливості реагування на інциденти у фінансових установах. Крім того, воно допомагає захистити фінансову систему від кіберзагроз, встановлюючи чіткі стандарти.
Ось у чому полягає важливість законодавства DORA для кібербезпеки:
- Підвищує стандарти безпеки: Відповідність DORA встановлює високі орієнтири безпеки для фінансових компаній.
- Посилює реагування на інциденти: вона покращує швидкість і ефективність реагування компаній на кібератаки.
- Знижує системний ризик: вона зменшує ризик масштабних фінансових збоїв, роблячи компанії стійкішими.
- Забезпечує узгодженість: усі фінансові установи дотримуються однакових правил кібербезпеки, що створює однаковий рівень захисту.
- Підвищує прозорість: компанії зобов’язані повідомляти про кіберінциденти, що допомагає регуляторам краще розуміти загрози та керувати ними.
П’ять стовпів відповідності DORA
Digital Operational Resilience Act (DORA) визначає широкі вимоги до операційної стійкості фінансових установ у Європейському Союзі. Основа DORA побудована на п’яти основних стовпах:
- Управління ІКТ-ризиками
- Звітування про ІКТ-інциденти
- Тестування цифрової операційної стійкості
- Обмін інформацією та даними розвідки
- Управління ІКТ-ризиками третіх сторін.
Розгляньмо кожен стовп детально:
Стовп 1: Управління ІКТ-ризиками
Фінансові установи мають упровадити фреймворк управління ІКТ-ризиками, що підтримує стратегії безперервності бізнесу, політики відновлення та комунікаційні стратегії. У цьому процесі вирішальну роль відіграють зацікавлені сторони.
Вони відповідають за встановлення рівнів толерантності до ризику та впливу ІКТ-збоїв, затвердження стратегій безперервності бізнесу та планів аварійного відновлення, а також визначення засобів контролю безпеки для всіх критичних активів. Їхня участь забезпечує безперебійну роботу бізнесу завдяки створенню ІКТ-резервування та інвестуванню в системи резервного копіювання й відновлення.
Важливість:
- Забезпечує безперервність бізнес-операцій
- Залучає зацікавлені сторони до управління ризиками
- Встановлює надійні плани відновлення та комунікації
Стовп 2: Звітування про ІКТ-інциденти
Регламент DORA забезпечує ефективніший механізм звітування про значні ІКТ-події, зменшуючи потребу в численних звітах. Інциденти за участю фінансових компаній необхідно повідомляти до єдиного хабу ЄС, який оцінюватиме інформацію для виявлення спільних слабких місць.
Звіти слід подавати протягом одного місяця після значного інциденту, підкріплюючи їх надійними індикаторами раннього попередження. До значних інцидентів належать витоки даних, збої систем, кібератаки чи будь-яка інша подія, що порушує нормальну роботу фінансової установи. Ця стандартизована процедура звітування підвищує ІКТ-стійкість галузі загалом.
Важливість:
- Спрощує звітування про інциденти
- Централізує збір даних для аналізу вразливостей
- Покращує своєчасне реагування на ІКТ-збої
Стовп 3: Тестування цифрової операційної стійкості
Фінансові організації повинні регулярно перевіряти надійність своїх ІКТ-засобів захисту. Ці незалежні перевірки третіми сторонами мають бути складовою ретельної програми тестування, що охоплює інструменти, техніки та методології. Частота та пріоритезація цих тестів є критично важливими для забезпечення довгострокової надійності ІКТ.
Ця вимога розширює необхідне тестування в усій галузі, використовуючи вже наявні фреймворки, як-от TLPT (Threat-Led тестування на проникнення) та TIBER-EU (Threat Intelligence-Based Ethical Red Teaming for the European Union).
Важливість:
- Підтверджує ефективність ІКТ-засобів захисту
- Передбачає незалежну перевірку стійкості
- Мінімізує витрати на відповідність завдяки транскордонному визнанню
Стовп 4: Обмін інформацією та даними кіберрозвідки
DORA заохочує фінансові компанії обмінюватися інформацією про кіберзагрози в межах довірених спільнот. Цілі такого обміну — посилити операційну стійкість, захистити дані та поглибити знання про нові небезпеки.
Разом організації можуть забезпечити безпечніше фінансове середовище, ефективно передбачаючи нові кіберзагрози та реагуючи на них.
Важливість:
- Підвищує обізнаність про кіберзагрози
- Посилює спільні стратегії захисту
- Покращує загальну операційну стійкість
Стовп 5: Управління ІКТ-ризиками третіх сторін
Регламент DORA наголошує на важливості управління ризиками, пов’язаними зі сторонніми постачальниками ІКТ-послуг. Тож фінансові установи повинні укладати надійні договірні угоди з цими постачальниками, які регулюють захист даних, аудити та управління інцидентами.
Важливі сторонні постачальники, як-от провайдери хмарних послуг, також підпадають під регуляторний нагляд. Крім того, для уникнення операційних перерв необхідні також карти залежності установи від зовнішніх сторін.
Важливість:
- Забезпечує відповідність щодо критичних сторонніх постачальників
- Посилює договірні гарантії
- Знижує ризики від атак на ланцюг постачання
Дотримання настанов DORA може підвищити ІКТ-стійкість фінансових установ. Це гарантує, що вони зможуть ефективно протистояти операційним збоям і відновлюватися після них.
Санкції за недотримання DORA
Digital Operational Resilience Act (DORA) гарантує, що всі фінансові установи в ЄС підтримують високий рівень цифрової операційної стійкості. Це означає наявність потужних систем і процесів для запобігання кіберзагрозам і реагування на них, а також здатність продовжувати ефективно працювати в разі збою.
Недотримання DORA може призвести до того, що авторизовані організації в кожній державі-члені ЄС нестимуть відповідальність за завдані збитки. Тепер розгляньмо санкції за недотримання:
- Адміністративні штрафи
- Заходи з усунення порушень
- Публічні догани
- Відкликання дозволу
- Компенсація завданих збитків
- Штрафні платежі в розмірі до одного відсотка від середньоденного світового обороту за попередній фінансовий рік
ResilientX: ваш партнер для відповідності DORA
ResilientX — ваш надійний партнер у досягненні відповідності DORA. Ми володіємо уніфікованою платформою управління кіберекспозицією, що об’єднує поверхню атаки, вебзастосунки, тестування мережевої безпеки, автоматизацію хмарної безпеки та управління ризиками третіх сторін.
Завдяки цьому ми є експертами з надання комплексних рішень кібербезпеки, які гарантують, що ваша компанія відповідає вимогливим стандартам Defense Operational Readiness Assessment (DORA).
ResilientX прагне гарантувати відповідність DORA завдяки своїй проактивній тактиці кібербезпеки з таких причин:
- Уніфіковане управління кіберекспозицією (UEM) для моніторингу поверхні атаки в реальному часі.
- Управління ризиками третіх сторін (TPRM) для мінімізації вразливостей вендорів.
- Автоматизоване тестування безпеки веб-застосунків (DAST) для проактивного управління вразливостями.
- Оцінювання відповідності та ризиків — модуль для дотримання нормативних вимог.
- Сканер мережевої безпеки для комплексного виявлення загроз.
- Управління станом безпеки хмари для забезпечення відповідності хмарної інфраструктури.
Станьте партнером ResilientX уже сьогодні, щоб захистити свою організацію від кіберзагроз і ефективно досягти відповідності DORA.
Коротко кажучи
Регламент DORA — це значний крок уперед у зміцненні кібербезпеки в секторі фінансових послуг ЄС. Окрім підвищення загальної стійкості галузі, цей регламент заохочує однаковість і відкритість у процедурах кібербезпеки. Оскільки організації узгоджують свою діяльність із вимогами DORA, які застосовуються з 17 січня 2025 року, партнерство з ResilientX — найкраще рішення для ефективного управління відповідністю. Разом ми можемо підвищити цифрову операційну стійкість і захистити цілісність фінансових систем.
Випробуйте рішення ResilientX на власному досвіді. Заплануйте демо вже сьогодні і впевнено забезпечте відповідність DORA.
Поширені запитання
1. Що таке новий кіберрегламент ЄС (DORA)?
DORA розшифровується як Digital Operational Resilience Act. Це новий закон ЄС, покликаний забезпечити високі стандарти кібербезпеки для цифрових послуг і продуктів у всій Європі.
2. На кого поширюється DORA?
DORA поширюється на фінансові установи, що працюють у ЄС, — зокрема банки, страховиків, інвестиційні компанії, платіжні установи та установи електронних грошей, а також постачальників послуг щодо криптоактивів, — а також на критичних сторонніх постачальників ІКТ, як-от хмарні сервіси, що їх підтримують.
3. Які основні вимоги DORA?
DORA вимагає від постачальників цифрових послуг підтримувати безпечні та стійкі системи, оперативно повідомляти про серйозні інциденти й дотримуватися стандартів управління ризиками кібербезпеки.
4. Як DORA впливає на компанії за межами ЄС?
Навіть перебуваючи за межами ЄС, компанії, що пропонують цифрові послуги клієнтам у ЄС, повинні дотримуватися стандартів кібербезпеки DORA та вимог щодо звітування про інциденти.
5. Коли DORA набуває чинності?
ЄС ухвалив Digital Operational Resilience Act (DORA) 16 січня 2023 року, і він набуває чинності 17 січня 2025 року.




