DORA

Преглед

Законът за цифровата оперативна устойчивост (DORA) установява унифицирани изисквания за сигурността и устойчивостта на мрежовите и информационни системи, които подпомагат бизнес процесите на финансовите субекти. Той също така създава рамка за надзор на критичните доставчици на ИКТ услуги от трети страни.^[1]

DORA е регламент, което означава, че се прилага директно във всички държави членки на ЕС без необходимост от транспониране.

Субекти в обхвата

Финансови субекти^[2]

• Кредитни институции (банки)
• Платежни институции
• Институции за електронни пари
• Инвестиционни фирми
• Застрахователни и презастрахователни предприятия
• Централни депозитари на ценни книжа
• Търговски регистри
• Агенции за кредитен рейтинг
• Доставчици на услуги с криптоактиви
• Доставчици на услуги за краудфъндинг
• Доставчици на услуги за докладване на данни

Критични доставчици на ИКТ услуги от трети страни

Европейските надзорни органи определят критични доставчици на ИКТ услуги въз основа на:

• Системно въздействие при неизпълнение от страна на доставчика
• Степен на заменимост
• Брой финансови субекти, които разчитат на доставчика

Определените доставчици подлежат на рамка за надзор от ЕС.

Пет стълба на DORA

1. Управление на ИКТ рискове (Глава II)

Финансовите субекти трябва да установят и поддържат:

• Управление: Отговорност на управителния съвет за стратегията по ИКТ рискове
• Рамка за рискове: Идентификация, защита, откриване, реакция, възстановяване
• Документация: Политики, процедури и протоколи за ИКТ сигурност
• Тестване: Редовна оценка на ИКТ системите и инструментите

2. Докладване на ИКТ инциденти (Глава III)^[3]

Сериозните ИКТ свързани инциденти трябва да се докладват с използване на стандартизирани шаблони.

3. Тестване на цифровата оперативна устойчивост (Глава IV)

Тестването трябва да обхваща: оценки на уязвимости, оценки на мрежовата сигурност, прегледи на софтуерната сигурност, прегледи на изходния код (където е възможно), тестване на базата на сценарии и тестване на съвместимост.

4. Управление на риска от трети страни (Глава V)^[4]

Финансовите субекти трябва:

• Да поддържат регистър на всички ИКТ договорености с трети страни
• Да провеждат дю дилиджънс преди сключване на договор
• Да оценяват рисковете от концентрация
• Да включват задължителни договорни клаузи
• Да дефинират стратегии за излизане
• Да докладват договореностите на компетентните органи

Задължителните договорни условия включват описания на нивата на услуги, задължения за защита на данните, права за достъп и одит, изисквания за докладване на инциденти и права за прекратяване с подкрепа при преход.

5. Споделяне на информация (Глава VI)

Финансовите субекти могат да обменят информация за киберзаплахи в рамките на доверени общности, при спазване на правила за поверителност, за да подобрят колективната защита.

Пропорционалност

DORA прилага пропорционалност въз основа на размера и рисковия профил на субекта, естеството, мащаба и сложността на услугите и системната важност.

Оптимизирани изисквания се прилагат за малки и неинтерконектирани инвестиционни фирми, платежни и институции за електронни пари под определени прагове, както и за определени застрахователни посредници.

Наказания

Компетентните органи могат да налагат:^[5]

• Административни глоби
• Периодични санкции
• Публични изявления
• Отнемане на разрешение
• Временни забрани за изпълнителни функции

Конкретните суми се определят от законодателството на държавата членка.

Последствия за разработчици и доставчици на ИКТ услуги

Ако предоставяте ИКТ услуги на финансовия сектор:

1. Преглед на договори: Уверете се, че договорите отговарят на изискванията на DORA
2. Докладване на инциденти: Създайте канали за докладване към клиентите
3. Подкрепа при тестване: Улеснете тестването с проникване от страна на клиентите
4. Планиране на излизане: Осигурете подреден преход при прекратяване на договори
5. Осъзнаване на концентрацията: Следете зависимостите от вашите услуги
6. Критичен статут: Подгответе се за потенциален надзор от ЕС