Понимание Закона о цифровой операционной устойчивости (DORA)

Закон о цифровой операционной устойчивости — это нормативный акт Европейского союза (ЕС), в котором основное внимание уделяется тому, как финансовые учреждения и их партнеры по информационно-коммуникационным технологиям (ИКТ) управляют киберрисками. Он создает обязательную систему надзора и устанавливает технические стандарты, которые финансовые организации ЕС и их поставщики услуг должны внедрять в свои системы ИКТ.

История DORA

Европейская комиссия первоначально предложила Закон DORA в сентябре 2020 года, а Европейский парламент принял его два года спустя. Наконец, 17 января 2024 года Европейская служба банковского надзора (EBA), Управление по ценным бумагам и рынкам (ESMA) и Управление по страхованию и трудовым пенсиям (EIOPA) опубликовали окончательные технические стандарты. Закон DORA официально вступил в силу в тот же день.

Теперь финансовые учреждения ЕС и поставщики услуг ИКТ должны до 17 января 2025 года выполнить распространяющиеся на них требования Закона DORA. К этому времени каждое государство — член ЕС начнет обеспечивать соблюдение нормативно-правовых требований. Назначенные регулирующие органы, так называемые «компетентные органы», могут требовать от организаций принимать конкретные меры безопасности и устранять известные уязвимости.

Кроме того, за несоблюдение нормативно-правовых требований предусмотрены серьезные штрафы. Например, поставщики услуг ИКТ, которых Европейская комиссия считает «критически важными», находятся под надзором «главных наблюдателей». Эти организации могут наказывать поставщиков, не соблюдающих нормативно-правовые требования, штрафами в размере до 1 % от их среднего ежедневного мирового оборота за предыдущий финансовый год.

Что такое киберустойчивость?

Закон DORA предназначен для укрепления «киберустойчивости» регулируемых финансовых организаций. Этот термин охватывает способность организации поддерживать операционную целостность и непрерывность бизнеса в условиях нарушений в работе, таких как утечки данных и кибератаки.

Непрерывность особенно важна в финансовом секторе, где системы ИКТ играют ключевую роль в доступе потребителей к денежным средствам и управлении ими. По данным ESMA, поставщики финансовых услуг стали в значительной степени полагаться на цифровые технологии для осуществления повседневных операций. Такая зависимость, в свою очередь, существенно увеличила киберриски.

Действительно, даже один инцидент в сфере ИКТ может иметь серьезные последствия для критической инфраструктуры. Если не управлять рисками надлежащим образом, они могут нарушить предоставление финансовых услуг, что может повлиять на другие организации, сектора и даже на европейскую экономику в целом.

Представьте себе сценарий, в котором торговая платформа инвестиционного банка, принадлежащая сторонней организации, отключается от интернета во время атаки типа «отказ в обслуживании». Это не только нарушит работу конечных пользователей, но и может стоить клиентам больших денег на рынке.

Усложняют ситуацию геополитические события, которые привели к тому, что спонсируемые государством злоумышленники и хактивисты-злоумышленники нацелились на поставщиков финансовых услуг. Например, война России в Украине вдохновила пророссийских киберпреступников совершить в 2023 году атаку на сетевую инфраструктуру Европейского инвестиционного банка. К счастью, в результате инцидента его веб-сайт был недоступен лишь в течение короткого времени.

Почему Закон DORA важен?

Поставщики финансовых услуг подвержены рискам. Цель DORA — повысить киберустойчивость двумя способами:

1. Обеспечить финансовым учреждениям масштабное решение проблемы управления рисками в области ИКТ.
2. Согласовать нормативные акты в отношении управления рисками в единую целостную систему.

Ранее нормативные акты ЕС в первую очередь были направлены на обеспечение финансовых фирм достаточным капиталом для покрытия операционных рисков и нарушений в работе. Некоторые регулирующие органы издали руководящие принципы управления рисками в области ИКТ, но они не применялись одинаково ко всем организациям. Кроме того, они были основаны на общих передовых методах, а не на технических стандартах.

Поскольку единой системы надзора не было, каждое государство — член ЕС выпускало собственные требования. В результате образовался лабиринт разрозненных нормативных актов, в котором трансграничным предприятиям сложно ориентироваться.

Закон DORA решает эту проблему, устанавливая единый набор правил для всех соответствующих организаций, независимо от их места работы в ЕС. Согласовывая управление рисками в финансовом секторе, Закон DORA сводит к минимуму путаницу и повышает планку безопасности в области ИКТ и непрерывности бизнеса.

Какие организации должны соответствовать требованиям Закона DORA?

Закон DORA оказывает самое непосредственное влияние на организации, которые предоставляют финансовые услуги в Европейском союзе. К ним относятся банки, кредитные союзы, инвестиционные фирмы, страховые компании и другие типы финансовых учреждений. Однако это не вся область его действия.

Поставщики услуг в области ИКТ также должны соблюдать нормативно-правовые требования Закона DORA. Другими словами, любая технологическая компания, которая поставляет системы ИКТ для финансового сектора ЕС, должна придерживаться его нормативных актов. Согласно Закону DORA, под такой компанией подразумевается любой поставщик ИКТ, который находится за пределами ЕС, но при этом работает в его юрисдикции. 

Допустим, ваша организация находится в США и предоставляет облачные услуги и аналитику данных австрийским клиентам. В этом случае ваша компания должна создать дочернее предприятие в ЕС, чтобы содействовать эффективному управлению.

В целом, согласно данным корпорации PricewaterhouseCoopers (PwC), Закон DORA применяется к более чем 22 000 финансовых фирм и операторов услуг ИКТ.

Комплексная система Закона DORA построена на пяти основных принципах. Каждый из них затрагивает различные аспекты киберустойчивости и управления рисками, но в сочетании они формируют основу для сильного и безопасного финансового сектора.

1. Управление рисками в области ИКТ и их контроль

Согласно статье 5, органы управления несут ответственность за внедрение «надежной, всеобъемлющей и хорошо документированной» системы управления рисками в области ИКТ, которая позволяет им уменьшать киберриски и обеспечивать операционную устойчивость на уровне, соответствующем потребностям, размеру и сложности их бизнеса. Руководители, которые этого не делают, могут нести персональную ответственность за несоблюдение нормативно-правовых требований.

В целом организации должны иметь системы для поддержания непрерывности бизнеса в случае инцидентов в сфере ИКТ. Системы управления рисками должны включать стратегии, политики, процедуры и инструменты для защиты физических компонентов и цифровой инфраструктуры от несанкционированного доступа или повреждения.

Кроме того, компании обязаны:

• составлять схему своих систем ИКТ для определения критически важных активов, функций и зависимостей между поставщиками услуг;
• проводить регулярные оценки рисков для своих систем ИКТ в целях документирования, классификации киберугроз и составления планов на случай их возникновения;
• проводить анализ воздействия на бизнес, чтобы понять, как серьезные нарушения могут повлиять на деятельность;
• внедрять соответствующие меры кибербезопасности, такие как инструменты для управления доступом и идентификационными данными (IAM), автоматизированные системы обнаружения угроз и т. п.

Разработайте планы обеспечения непрерывности бизнеса и аварийного восстановления на случай кибератак, сбоев при обслуживании и стихийных бедствий. Проведите обзоры последствий инцидентов, чтобы извлекать уроки из произошедших событий и способствовать постоянному совершенствованию.

2. Информирование об инцидентах

Статья 15 требует от финансовых организаций разрабатывать и внедрять процесс управления инцидентами, связанными с ИКТ. В частности, организации должны внедрять системы раннего предупреждения, чтобы как можно быстрее обнаруживать инциденты, информировать о них и уменьшать их последствия. Они также обязаны создавать процессы для мониторинга инцидентов во время и после их разрешения, которые позволяют командам выявлять и устранять первопричины инцидентов.

Кроме того, согласно статьям 16–20, организации должны:

• классифицировать инциденты, связанные с ИКТ, в соответствии с критериями, применимыми к различным уровням воздействия;
• создавать общий шаблон или процедуру для информирования надзорного органа об инцидентах;
• незамедлительно информировать конечных пользователей и клиентов о серьезных инцидентах, а также обо всех мерах, принимаемых для уменьшения их последствий;
• информировать о событиях до конца рабочего дня или в течение четырех часов после начала следующего рабочего дня (если инцидент произошел в течение двух часов после окончания предыдущего).

Примечательно, что Закон DORA требует, чтобы организации подавали три разных отчета:

1. Первоначальный отчет для уведомления органов.
2. Промежуточный отчет для информирования о ходе работ по устранению инцидента.
3. Окончательный отчет, в котором анализируются первопричины инцидента и способы их устранения.

3. Тестирование цифровой операционной устойчивости

Закон DORA устанавливает несколько базовых требований, связанных с тестированием устойчивости. Проведение тестов позволяет организациям оценивать готовность к инцидентам, связанным с ИКТ, выявлять уязвимости и реализовывать корректирующие меры.

В соответствии со статьей 21 организации должны:

• создавать программу тестирования, соответствующую их размеру, бизнесу и профилю риска;
• внедрять ряд оценок, тестов, методологий и инструментов;
• придерживаться подхода, основанного на оценке рисков с учетом меняющегося ландшафта рисков в области ИКТ;
• обеспечивать проведение тестов независимыми сторонами;
• расставлять приоритеты в отношении всех обнаруженных проблем и уязвимостей, классифицировать их и полностью устранять;
• тестировать все критически важные системы и приложения ИКТ не реже одного раза в год.

Кроме того, статья 23 гласит, что финансовые организации также должны проводить тестирование на проникновение с учетом угроз не реже одного раза в три года. Оно направлено на устранение более высоких уровней подверженности рискам, например, в области основных процессов ИКТ, которые поддерживают критически важные функции и услуги (в том числе переданные на аутсорсинг поставщику услуг).

4. Управление рисками, связанными с третьими сторонами

Закон DORA требует, чтобы финансовые фирмы активно управляли ландшафтом рисков, связанных с третьими сторонами, и учитывали операционную устойчивость этих сторон во время переговоров по заключению договорных соглашений. В частности, Закон DORA устанавливает следующие правила в отношении управления рисками, связанными с третьими сторонами:

• финансовые организации должны вести реестр информации, относящейся к договорным соглашениям со сторонними поставщиками услуг ИКТ;
• фирмы должны не реже одного раза в год отчитываться перед компетентными органами о том, сколько новых договоров они подписали с поставщиками услуг ИКТ;
• организации должны проявлять должную осмотрительность при оценке договоров, выявляя все соответствующие риски и потенциальные конфликты интересов; они также должны согласовывать условия, связанные со стратегиями выхода, аудитами и целевыми показателями доступности и безопасности;
• права и обязанности финансовой организации и стороннего поставщика услуг ИКТ должны быть распределены и изложены в письменной форме, доступной для обеих сторон; 
• поставщики критически важных услуг ИКТ подлежат прямому надзору со стороны соответствующего надзорного органа.

Согласно нормативному акту, организациям запрещается заключать договоры с компаниями, работающими в сфере ИКТ, которые не отвечают соответствующим техническим стандартам. Компетентные органы могут даже приостанавливать или прекращать действие соглашений, которые не соответствуют нормативно-правовым требованиям.

5. Обмен информацией

Закон DORA также содержит положение о поощрении сотрудничества между доверенными финансовыми организациями, хоть и не требует его строгого соблюдения. Это положение направлено на то, чтобы:

• повышать осведомленность о рисках, связанных с ИКТ;
• минимизировать распространение векторов угроз в области ИКТ;
• обмениваться защитными методами, стратегиями уменьшения последствий и информацией об угрозах.

Закон DORA — это одна из нескольких директив ЕС, связанных с киберустойчивостью и цифровой безопасностью. Пересмотренный нормативный акт о безопасности сетевых и информационных систем (NIS 2) в значительной степени совпадает с нормативно-правовыми положениями Закона DORA, ввиду чего некоторые лица могут задаваться вопросом, каким руководящим принципам они должны следовать.

В сентябре 2023 года Европейская комиссия разъяснила взаимосвязь между этими двумя законодательными актами. Важно отметить, что Закон DORA является отраслевым и распространяется в основном на организации, предоставляющие финансовые услуги. Директива NIS 2, напротив, представляет собой более широкую нормативно-правовую базу, охватывающую критическую инфраструктуру, такую как энергетика и транспорт.

В соответствии с пунктами 1 и 2 статьи 4 Директивы NIS положения Закона DORA применяются вместо положений, изложенных в NIS 2. Это означает, что Закон DORA имеет приоритет для финансовых организаций, по крайней мере, в таких сферах, как управление рисками в области ИКТ, информирование об инцидентах и тестирование устойчивости.

Закон DORA устанавливает высокую планку для управления рисками, а значит, выполнять его требования нелегко. К счастью, есть четкий путь, с которого можно начать:

1. Проведите анализ недочетов. Первоначальный анализ недочетов включает в себя основательную оценку всего профиля компании, определение уровня зрелости ее кибербезопасности и изучение существующей системы управления рисками. Этот анализ поможет вам определить, насколько ваши текущие процессы и процедуры нуждаются в обновлении.
2. Сделайте обучение по вопросам ИКТ обязательным. Лучше всего создать программу непрерывного обучения для всех сотрудников, включая руководителей. Руководители несут ответственность за несоблюдение нормативно-правовых требований Закона DORA, поэтому вы должны следить за тем, чтобы все были в курсе последних угроз безопасности в области ИКТ.
3. Аудит договоров с третьими сторонами. Тщательный анализ ваших договорных отношений может помочь вам понять зависимость от поставщиков услуг ИКТ. В свою очередь, вы сможете определить меры безопасности для защиты этих отношений и расставить приоритеты в отношении таких мер. Составьте список всех договоров, в том числе с поставщиками облачных услуг, поставщиками программного обеспечения и других систем ИКТ. Затем проверьте, что эти договоры содержат положения, которые соответствуют нормативно-правовым требованиям Закона DORA.

Повысьте киберустойчивость, используя решения Entrust

Не оставляйте соблюдение нормативно-правовых требований Закона DORA на волю случая. В портфолио Entrust есть все необходимое для укрепления мер безопасности и защиты критической инфраструктуры как для финансовых организаций, так и для поставщиков услуг ИКТ.

Некоторые наши решения приведены ниже.

• Аппаратные модули безопасности (HSM). Модули HSM nShield помогают обеспечить безопасную среду для создания криптографических ключей, их защиты и управления ими. Криптографические ключи крайне необходимы для шифрования данных и защищенного обмена данными.
• Управление состоянием безопасности в облаке. Платформа безопасности Entrust CloudControl помогает защитить ваши гибридные облачные среды, упрощая идентификацию, устранение недостатков и составление отчетов о конфигурациях и соблюдении нормативно-правовых требований благодаря использованию одной информационной панели.
• Управление ключами. Управление ключами крайне необходимо для обеспечения конфиденциальности и целостности данных и финансовых транзакций. Решение Entrust KeyControl помогает управлять криптографическими активами на протяжении всего их жизненного цикла, предотвращая несанкционированный доступ к системам ИКТ.
• Управление доступом и идентификационными данными. Entrust Identity as a Service — это интеллектуальная платформа, которая упрощает аутентификацию, авторизацию и контроль доступа пользователей. Общайтесь с потребителями, используя безопасные порталы, проверку идентификационных данных и многое другое.
• Инфраструктура открытых ключей (PKI). Entrust PKI помогает создать систему для защищенного обмена данными и аутентификации, используя цифровые сертификаты для проверки объектов и шифрования данных.