Понимание Закона о цифровой операционной устойчивости (DORA)
Закон о цифровой операционной устойчивости (DORA) уже вступил в силу, а это значит, что организациям пора быть на шаг впереди в соблюдении нормативно-правовых требований. В этом руководстве мы расскажем об основах Закона DORA, в том числе о том, что он собой представляет, почему он важен и как выполнить его требования.
Что такое DORA?
Закон о цифровой операционной устойчивости — это нормативный акт Европейского союза (ЕС), в котором основное внимание уделяется тому, как финансовые учреждения и их партнеры по информационно-коммуникационным технологиям (ИКТ) управляют киберрисками. Он создает обязательную систему надзора и устанавливает технические стандарты, которые финансовые организации ЕС и их поставщики услуг должны внедрять в свои системы ИКТ.
Европейская комиссия предложила Закон DORA в сентябре 2020 года, а Европейский парламент принял его два года спустя. Наконец, 17 января 2024 года Европейская служба банковского надзора (EBA), Управление по ценным бумагам и рынкам (ESMA) и Управление по страхованию и трудовым пенсиям (EIOPA) опубликовали окончательные технические стандарты. Закон DORA официально вступил в силу в тот же день.
Таким образом, финансовые учреждения ЕС и поставщики услуг ИКТ должны до 17 января 2025 года выполнить распространяющиеся на них требования Закона DORA. Каждое государство — член ЕС несет ответственность за обеспечение соблюдения нормативно-правовых требований. Назначенный регулирующий орган, или «компетентный орган», может требовать от организаций принимать конкретные меры безопасности и устранять известные уязвимости.
За несоблюдение нормативно-правовых требований предусмотрены серьезные штрафы. Поставщики ИКТ, которых Европейская комиссия считает «критически важными», находятся под надзором «главных наблюдателей». Эти организации могут наказывать поставщиков, не соблюдающих нормативно-правовые требования, штрафами в размере до 1 % от их среднего ежедневного мирового оборота за предыдущий финансовый год.
Как требования Закона DORA влияют на вашу организацию?
Действие Закона DORA напрямую распространяется на организации, которые предоставляют финансовые услуги в Европейском союзе. К ним относятся банки, кредитные союзы, инвестиционные фирмы, страховые компании и другие типы финансовых учреждений. Однако это не вся область его действия.
Поставщики услуг в области ИКТ также должны соблюдать нормативно-правовые требования Закона DORA. Другими словами, любая технологическая компания, которая поставляет системы ИКТ для финансового сектора ЕС, должна придерживаться его нормативных актов. Согласно Закону DORA, под такой компанией подразумевается любой поставщик ИКТ, который находится за пределами ЕС, но при этом работает в его юрисдикции.
Допустим, ваша организация находится в США и предоставляет облачные услуги и аналитику данных австрийским клиентам. В этом случае ваша компания должна создать дочернее предприятие в ЕС, чтобы содействовать эффективному управлению.
В целом, согласно данным корпорации PricewaterhouseCoopers (PwC), Закон DORA применяется к более чем 22 000 финансовых фирм и операторов услуг ИКТ. Как нормативно-технический стандарт, Закон DORA устанавливает множество эксплуатационных требований. Мы рассмотрим их более подробно позже, но в общих чертах они представлены ниже.
- Организации, подпадающие под действие закона, должны разработать комплексную стратегию цифровой операционной устойчивости, включающую в себя оценки рисков кибербезопасности, планы обеспечения непрерывности бизнеса и протоколы реагирования на инциденты.
- Организации обязаны незамедлительно сообщать национальным органам власти о значительных инцидентах, влияющих на их цифровые операции, чтобы обеспечить скоординированное реагирование во всем ЕС.
- Финансовые учреждения должны управлять рисками, связанными с их сторонними поставщиками ИКТ, и контролировать эти риски. Это включает в себя проведение комплексной проверки и обеспечение соблюдения поставщиками договорных требований.
- Организации должны регулярно тестировать систему операционной устойчивости, чтобы выявлять и устранять недостатки.
- Организации должны иметь структуры управления, в которых высшее руководство и советы директоров отвечают за надзор за устойчивостью и соблюдением нормативно-правовых требований.
- Закон DORA рекомендует организациям обмениваться разведданными об угрозах и передовыми методами, коллективно повышая эффективность управления операционными рисками.
Зачем необходим закон DORA?
Поставщики финансовых услуг подвержены рискам. Цель DORA — повысить киберустойчивость двумя способами:
- Обеспечить финансовым учреждениям масштабное решение проблемы управления рисками в области ИКТ.
- Согласовать нормативные акты в отношении управления рисками в единую целостную систему.
Ранее нормативные акты ЕС в первую очередь были направлены на обеспечение финансовых фирм достаточным капиталом для покрытия операционных рисков и нарушений в работе. Некоторые регулирующие органы издали руководящие принципы управления рисками в области ИКТ, но они не применялись равноценно ко всем организациям. Кроме того, они были основаны на общих передовых методах, а не на технических стандартах.
Поскольку единой системы надзора не было, каждое государство — член ЕС выпускало собственные требования. В результате образовался лабиринт разрозненных нормативных актов, в котором трансграничным предприятиям сложно ориентироваться.
Закон DORA решает эту проблему, устанавливая единый нормативно-технический стандарт для всех соответствующих организаций, независимо от их места работы в ЕС. Согласовывая управление рисками в финансовом секторе, Закон DORA сводит к минимуму путаницу и повышает планку безопасности в области ИКТ, управления операционными рисками и непрерывности бизнеса.
Что такое киберустойчивость?
Закон DORA предназначен для укрепления «киберустойчивости» регулируемых финансовых организаций. Этот термин охватывает способность организации поддерживать операционную целостность и непрерывность бизнеса в условиях нарушений в работе, таких как утечки данных и кибератаки.
Непрерывность особенно важна в финансовом секторе, где системы ИКТ играют ключевую роль в доступе потребителей к денежным средствам и управлении ими. По данным ESMA, поставщики финансовых услуг стали в значительной степени полагаться на цифровые технологии для осуществления повседневных операций. Такая зависимость, в свою очередь, существенно увеличила киберриски.
Действительно, даже один инцидент в сфере ИКТ может иметь серьезные последствия для критической инфраструктуры. Если не управлять рисками надлежащим образом, они могут нарушить предоставление финансовых услуг, что может повлиять на другие организации, сектора и даже на европейскую экономику в целом.
Представьте себе сценарий, в котором торговая платформа инвестиционного банка, принадлежащая сторонней организации, отключается от интернета во время атаки типа «отказ в обслуживании». Это не только нарушит работу конечных пользователей, но и может стоить клиентам больших денег на рынке.
Усложняют ситуацию геополитические события, которые привели к тому, что спонсируемые государством злоумышленники и хактивисты-злоумышленники нацелились на поставщиков финансовых услуг. Например, война России в Украине вдохновила пророссийских киберпреступников совершить в 2023 году атаку на сетевую инфраструктуру Европейского инвестиционного банка. К счастью, в результате инцидента веб-сайт банка был недоступен лишь в течение короткого времени.
Решения для соблюдения нормативно-правовых требований DORA — Закона ЕС о цифровой операционной устойчивости
Узнайте о нормативных актах ЕС в отношении киберрисков, которые распространяются на финансовые учреждения и их партнеров по информационно-коммуникационным технологиям (ИКТ), а также о том, как компания Entrust может помочь.
Пять основных принципов соблюдения нормативно-правовых требований Закона DORA
Комплексная система Закона DORA построена на пяти основных принципах. Каждый из них затрагивает различные аспекты киберустойчивости и управления рисками, но в сочетании они формируют основу для сильного и безопасного финансового сектора.
1. Управление рисками в области ИКТ и их контроль
Согласно статье 5, органы управления несут ответственность за внедрение «надежной, всеобъемлющей и хорошо документированной» системы управления рисками в области ИКТ, которая позволяет им уменьшать киберриски и обеспечивать операционную устойчивость на уровне, соответствующем потребностям, размеру и сложности их бизнеса. Руководители, которые этого не делают, могут нести персональную ответственность за несоблюдение нормативно-правовых требований.
В целом организации должны иметь системы для поддержания непрерывности бизнеса в случае инцидентов в сфере ИКТ. Системы управления рисками должны включать стратегии, политики, процедуры и инструменты для защиты физических компонентов и цифровой инфраструктуры от несанкционированного доступа или повреждения.
Кроме того, компании обязаны:
- составлять схему своих систем ИКТ для определения критически важных активов, функций и зависимостей между поставщиками услуг;
- проводить регулярные оценки рисков для своих систем ИКТ в целях документирования, классификации киберугроз и составления планов на случай их возникновения;
- проводить анализ воздействия на бизнес, чтобы понять, как серьезные нарушения могут повлиять на деятельность;
- внедрять соответствующие меры кибербезопасности, такие как инструменты для управления доступом и идентификационными данными (IAM), автоматизированные системы обнаружения угроз и т. п.;
- разрабатывать планы обеспечения непрерывности бизнеса и аварийного восстановления на случай кибератак, сбоев при обслуживании и стихийных бедствий;
- проводить обзоры последствий инцидентов, чтобы извлекать уроки из произошедших событий и способствовать постоянному совершенствованию.
2. Информирование об инцидентах
Статья 15 требует от финансовых организаций разрабатывать и внедрять процесс управления инцидентами, связанными с ИКТ. В частности, организации должны внедрять системы раннего предупреждения, чтобы как можно быстрее обнаруживать инциденты, информировать о них и уменьшать их последствия. Они также обязаны создавать процессы для мониторинга инцидентов во время и после их разрешения, которые позволяют командам выявлять и устранять первопричины инцидентов.
Кроме того, согласно статьям 16–20, организации должны:
- классифицировать инциденты, связанные с ИКТ, в соответствии с критериями, применимыми к различным уровням воздействия;
- создавать общий шаблон или процедуру для информирования надзорного органа об инцидентах;
- незамедлительно информировать конечных пользователей и клиентов о серьезных инцидентах, а также обо всех мерах, принимаемых для уменьшения их последствий;
- информировать о событиях до конца рабочего дня или в течение четырех часов после начала следующего рабочего дня (если инцидент произошел в течение двух часов после окончания предыдущего).
Примечательно, что Закон DORA требует, чтобы организации подавали три разных отчета:
- Первоначальный отчет для уведомления органов.
- Промежуточный отчет для информирования о ходе работ по устранению инцидента.
- Окончательный отчет, в котором анализируются первопричины инцидента и способы их устранения.
3. Тестирование цифровой операционной устойчивости
Закон DORA устанавливает несколько базовых требований, связанных с тестированием устойчивости. Проведение тестов позволяет организациям оценивать готовность к инцидентам, связанным с ИКТ, выявлять уязвимости и реализовывать корректирующие меры.
В соответствии со статьей 21 организации должны:
- создавать программу тестирования, соответствующую их размеру, бизнесу и профилю риска;
- внедрять ряд оценок, тестов, методологий и инструментов;
- придерживаться подхода, основанного на оценке рисков с учетом меняющегося ландшафта рисков в области ИКТ;
- обеспечивать проведение тестов независимыми сторонами;
- расставлять приоритеты в отношении всех обнаруженных проблем и уязвимостей, классифицировать их и полностью устранять;
- тестировать все критически важные системы и приложения ИКТ не реже одного раза в год.
Кроме того, статья 23 гласит, что финансовые организации также должны проводить тестирование на проникновение с учетом угроз не реже одного раза в три года. Оно направлено на устранение более высоких уровней подверженности рискам, например, в области основных процессов ИКТ, которые поддерживают критически важные функции и услуги (в том числе переданные на аутсорсинг поставщику услуг).
4. Управление рисками, связанными с третьими сторонами
Закон DORA требует, чтобы финансовые фирмы активно управляли ландшафтом рисков, связанных с третьими сторонами, и учитывали операционную устойчивость этих сторон во время переговоров по заключению договорных соглашений. В частности, Закон DORA устанавливает следующие правила в отношении управления рисками, связанными с третьими сторонами:
- финансовые организации должны вести реестр информации, относящейся к договорным соглашениям со сторонними поставщиками услуг ИКТ;
- фирмы должны не реже одного раза в год отчитываться перед компетентными органами о том, сколько новых договоров они подписали с поставщиками услуг ИКТ;
- организации должны проявлять должную осмотрительность при оценке договоров, выявляя все соответствующие риски и потенциальные конфликты интересов; они также должны согласовывать условия, связанные со стратегиями выхода, аудитами и целевыми показателями доступности и безопасности;
- права и обязанности финансовой организации и стороннего поставщика услуг ИКТ должны быть распределены и изложены в письменной форме, доступной для обеих сторон;
- поставщики критически важных услуг ИКТ подлежат прямому надзору со стороны соответствующего надзорного органа.
Согласно нормативному акту, организациям запрещается заключать договоры с компаниями, работающими в сфере ИКТ, которые не отвечают соответствующим техническим стандартам. Компетентные органы могут даже приостанавливать или прекращать действие соглашений, которые не соответствуют нормативно-правовым требованиям.
5. Обмен информацией
Закон DORA также содержит положение о поощрении сотрудничества между доверенными финансовыми организациями, хоть и не требует его строгого соблюдения. Это положение направлено на то, чтобы:
- повышать осведомленность о рисках, связанных с ИКТ;
- минимизировать распространение векторов угроз в области ИКТ;
- обмениваться защитными методами, стратегиями уменьшения последствий и информацией об угрозах.
Сравнение Закона DORA с Директивой NIS 2
Закон DORA — это одна из нескольких директив ЕС, связанных с киберустойчивостью и цифровой безопасностью. Пересмотренный нормативный акт о безопасности сетевых и информационных систем (NIS 2) в значительной степени совпадает с нормативно-правовыми положениями Закона DORA, ввиду чего некоторые лица могут задаваться вопросом, каким руководящим принципам они должны следовать.
В сентябре 2023 года Европейская комиссия разъяснила взаимосвязь между этими двумя законодательными актами. Важно отметить, что Закон DORA является отраслевым и распространяется в основном на организации, предоставляющие финансовые услуги. Директива NIS 2, напротив, представляет собой более широкую нормативно-правовую базу, охватывающую критическую инфраструктуру, такую как энергетика и транспорт.
В соответствии с пунктами 1 и 2 статьи 4 Директивы NIS положения Закона DORA применяются вместо положений, изложенных в NIS 2. Это означает, что Закон DORA имеет приоритет для финансовых организаций, по крайней мере, в таких сферах, как управление рисками в области ИКТ, информирование об инцидентах и тестирование устойчивости.
Подготовка к соблюдению нормативно-правовых требований Закона DORA
Закон DORA устанавливает высокую планку для управления рисками, а значит, выполнять его требования нелегко. К счастью, есть четкий путь, с которого можно начать:
- Проведите анализ недочетов. Первоначальный анализ недочетов включает в себя основательную оценку всего профиля компании, определение уровня зрелости ее кибербезопасности и изучение существующей системы управления рисками. Этот анализ поможет вам определить, насколько ваши текущие процессы и процедуры нуждаются в обновлении.
- Сделайте обучение по вопросам ИКТ обязательным. Лучше всего создать программу непрерывного обучения для всех сотрудников, включая руководителей. Руководители несут ответственность за несоблюдение нормативно-правовых требований Закона DORA, поэтому вы должны следить за тем, чтобы все были в курсе последних угроз безопасности в области ИКТ.
- Аудит договоров с третьими сторонами. Тщательный анализ ваших договорных отношений может помочь вам понять зависимость от поставщиков услуг ИКТ. В свою очередь, вы сможете определить меры безопасности для защиты этих отношений и расставить приоритеты в отношении таких мер. Составьте список всех договоров, в том числе с поставщиками облачных услуг, поставщиками программного обеспечения и других систем ИКТ. Затем проверьте, что эти договоры содержат положения, которые соответствуют нормативно-правовым требованиям Закона DORA.
Повысьте киберустойчивость, используя решения Entrust
Не оставляйте соблюдение нормативно-правовых требований Закона DORA на волю случая. В портфолио Entrust есть все необходимое для укрепления мер безопасности и защиты критической инфраструктуры как для финансовых организаций, так и для поставщиков услуг ИКТ.
Некоторые наши решения приведены ниже.
- Аппаратные модули безопасности (HSM). Модули HSM nShield помогают обеспечить безопасную среду для создания криптографических ключей, их защиты и управления ими. Криптографические ключи крайне необходимы для шифрования данных и защищенного обмена данными.
- Управление состоянием безопасности в облаке. Платформа безопасности Entrust CloudControl помогает защитить ваши гибридные облачные среды, упрощая идентификацию, устранение недостатков и составление отчетов о конфигурациях и соблюдении нормативно-правовых требований благодаря использованию одной информационной панели.
- Управление ключами. Управление ключами крайне необходимо для обеспечения конфиденциальности и целостности данных и финансовых транзакций. Решение Entrust KeyControl помогает управлять криптографическими активами на протяжении всего их жизненного цикла, предотвращая несанкционированный доступ к системам ИКТ.
- Управление доступом и идентификационными данными. Entrust Identity as a Service — это интеллектуальная платформа, которая упрощает аутентификацию, авторизацию и контроль доступа пользователей. Общайтесь с потребителями, используя безопасные порталы, проверку идентификационных данных и многое другое.
- Инфраструктура открытых ключей (PKI). Entrust PKI помогает создать систему для защищенного обмена данными и аутентификации, используя цифровые сертификаты для проверки объектов и шифрования данных.