Регламент DORA: Финансовые учреждения ужесточают требования к кибербезопасности
«Геополитическая ситуация значительно усилила риски киберугроз, а финансовый сектор становится мишенью кибератак в три раза чаще, чем любой другой сектор. Технологии играют ключевую роль в функционировании финансовых услуг, и поэтому профилактика возможных атак становится еще более необходимой», - пояснил министр финансов Март Вырклев. Он добавил, что в случае возникновения атак и сбоев у компании должен быть план действий, гарантирующий быстрое возобновление предоставления услуг, а данные клиентов защищены.
В конце 2022 года в Европейском Союзе было решено, что требования к цифровой устойчивости финансового сектора необходимо унифицировать и ужесточить. Для этого был принят Регламент DORA [Digital Operational Resilience Act] вместе с директивой, вносящей изменения в несколько законодательных актов ЕС в финансовом секторе.
В соответствии с Регламентом финансовые учреждения должны внедрить систему управления рисками, связанными с информационно-коммуникационными технологиями. В рамках этого необходимо, например, разработать политику информационной безопасности, чтобы определить правила защиты данных, программного обеспечения и информационно-сетевых систем.
Помимо этого, у компаний должны быть механизмы для мгновенного обнаружения как кибератак, так и проблем и сбоев, связанных с технологиями, которые могут привести к перебоям. Если компания все же выявила инцидент, необходимо немедленно отреагировать на него, как можно быстрее определить уязвимые места и принять меры, чтобы не увеличивать ущерб. Частью системы управления также является непрерывное обучение, начиная от кибергигиены всего персонала и заканчивая способностью компании учиться на произошедших инцидентах.
Финансовые учреждения должны уведомлять Финансовую инспекцию и Государственную информационную систему о серьезных инцидентах, связанных с информационно-коммуникационными технологиями. Также необходимо уведомлять клиентов, если инцидент влияет на их финансовые интересы.
Кроме того, компании должны постоянно тестировать свою цифровую устойчивость, чтобы оценить готовность к обработке инцидентов, выявить слабые места и недостатки и устранить их. Более крупные и системно важные финансовые учреждения также должны проводить тестирование на основе угроз безопасности каждые три года.
При обеспечении цифровой устойчивости также важны партнеры финансовых учреждений, предоставляющие им услуги, связанные с информационно-коммуникационными технологиями, поэтому предусмотрены также правила передачи таких услуг.
Проект закона затрагивает весь финансовый сектор с некоторыми исключениями: банки, страховые компании, платежные учреждения, инвестиционные компании и т. д. В то же время учитываются принципы пропорциональности, и для части компаний применяется так называемая более мягкая регуляция. Кроме того, в Регламенте предусмотрены постоянные исключения для микропредприятий, в которых работает менее 10 человек, а годовой оборот и/или общий объем годового баланса не превышает 2 миллионов евро.
Регламент DORA и директива должны быть имплементированы в национальное законодательство к 17 января 2025 года.