17 січня 2025 року завершився процес впровадження Закону про цифрову операційну стійкість (DORA), що зобов'язує фінансові установи в Європейському Союзі дотримуватися нових стандартів кібербезпеки. Ці вимоги стосуються не лише компаній, що базуються в ЄС, але й іноземних організацій, які надають свої послуги в межах Союзу. Водночас у контексті євроінтеграції українські постачальники фінансових послуг також мають адаптуватися до цих стандартів. У цій статті ми розглянемо, що змінилося з набуттям чинності DORA.
Що таке DORA і навіщо він потрібен?
Закон DORA був створений, щоб посилити стійкість фінансових установ до цифрових загроз. Його головна мета — забезпечити здатність організацій функціонувати без збоїв навіть за умов кіберінцидентів, таких як атаки чи витоки даних. Це особливо актуально у фінансовій сфері, адже мова йде про безпеку коштів клієнтів і стабільність бізнес-процесів.
За даними Міжнародного валютного фонду, за останні 20 років фінансовий сектор зазнав понад 20 тисяч кібератак, які призвели до збитків у $12 млрд. Лише у 2024 році середня вартість витоку даних досягла $4,45 млн, згідно зі звітом IBM. Подібні інциденти можуть створити загрозу платоспроможності компаній.
DORA має забезпечити єдиний підхід до управління цифровими ризиками в ЄС, аби всі фінансові установи мали однаковий рівень захисту, змогли оперативно реагувати на інциденти та відновлювати свою діяльність після них.
Основні вимоги DORA
Закон стосується різноманітних фінансових установ: банків, платіжних та інвестиційних компаній, страхових фірм, провайдерів криптоактивів тощо. Основні положення включають:
Управління ризиками цифрових технологій. Фінансові компанії повинні розробити, документувати та впроваджувати систему управління ризиками, яка включає профілактику, виявлення, реагування та відновлення.
Звітність про інциденти. У разі серйозних кіберінцидентів організації зобов’язані оперативно інформувати регуляторів, що сприятиме підвищенню обізнаності та захисту всього сектору.
Тестування стійкості. DORA вимагає регулярних тестів операційної стійкості, включаючи перевірки сценаріїв кіберзагроз.
Контроль ризиків від сторонніх постачальників. У зв’язку із залежністю від зовнішніх провайдерів, компанії повинні здійснювати аудит їх діяльності та забезпечувати постійний моніторинг.
Виклики для впровадження DORA
Запровадження вимог DORA потребує значних інвестицій. За даними Forbes, витрати на дотримання нових правил можуть сягати $10 000 на одного працівника, а для деяких компаній ця сума буде навіть більшою.
Ще однією складністю є модернізація застарілих систем. Багато фінансових установ все ще використовують технології, які складно інтегрувати з сучасними інструментами. Їх оновлення потребуватиме значних фінансових і технічних зусиль.
Окрему увагу слід приділити людському фактору. Згідно зі статистикою IBM, до 95% кіберінцидентів спричинені помилками персоналу, тому навчання та підвищення обізнаності працівників є ключовим завданням.
Порушення вимог DORA тягне за собою серйозні санкції. Штрафи для фінансових установ можуть досягати 2% від глобального річного обороту, а для критично важливих постачальників послуг — до 5 мільйонів євро.
Ситуація в Україні
Для України, яка прагне стати членом ЄС, відповідність стандартам DORA є важливим етапом євроінтеграції. Законодавство у сфері кібербезпеки в Україні вже містить певні норми, наприклад, закон “Про основні засади забезпечення кібербезпеки України” або положення НБУ щодо інформаційної безпеки. Однак регуляторна база є менш деталізованою та вимагає доопрацювання, особливо у сфері ринків капіталу та фінансових інструментів.
Висновок
Впровадження DORA є важливим кроком до посилення кіберстійкості фінансового сектора. Для компаній це водночас виклик і можливість: адаптуючись до нових правил, вони зможуть не лише виконувати регуляторні вимоги, але й підвищити довіру клієнтів, зміцнити бізнес-процеси та збільшити конкурентоспроможність.
