В цьому блозі ми розкажемо, що таке євродиректива DORA, в чому її мета та принципи, а також як впровадження DORA вплине на роботу страхових компаній в Україні.
Що таке DORA?
DORA (Digital Operational Resilience Act або ж Акт Цифрової Операційної Стійкості) – це законодавчий акт, розроблений Європейським Союзом з метою посилення цифрової операційної стійкості фінансових установ.
Він охоплює як банки, так і страхові компанії, інвестиційні фірми та інших учасників ринку, які активно використовують інформаційно-комунікаційні технології (ІКТ) для надання своїх послуг.
Основна ідея DORA полягає в тому, щоб гарантувати захист від кіберзагроз та організувати ефективне управління ризиками, пов’язаними з експлуатацією ІКТ.
У цьому контексті концепція «цифрової операційної стійкості» означає здатність установ не лише протистояти кібератакам або системним збоям, але й оперативно відновлювати свою роботу після інцидентів.
Історія виникнення DORA
Розвиток цифровізації привів до того, що фінансові установи все більше покладаються на інформаційно-комунікаційні технології, що, у свою чергу, збільшило їх вразливість до кіберзагроз та технічних збоїв.
Відповідно до Звіту про глобальну фінансову стабільність станом на 2024 рік, за останні два десятиліття фінансовий сектор зазнав понад 20 000 кібератак, що призвело до збитків у розмірі 12 мільярдів доларів.
Враховуючи це, європейські законодавці почали працювати над створенням єдиного регуляторного підходу до забезпечення цифрової стійкості. Розробка DORA була відповіддю на потребу гармонізації правил управління ІКТ-ризиками у фінансовому секторі Європейського Союзу. Законодавчий процес включав тісні консультації з провідними інституціями, такими як Європейський центральний банк та Європейський економічний і соціальний комітет, а також обговорення з представниками галузі.
Остаточний текст було прийнято у грудні 2022 року, а застосування положень розпочалось 17 січня 2025 року. Наразі DORA поширюється на понад 22 000 фінансових установ та постачальників послуг ІКТ, які працюють у межах ЄС, а також на ІКТ-інфраструктуру, яка їх підтримує за межами ЄС.
Мета та принципи дії DORA
Основна мета DORA – це забезпечення безперебійної роботи фінансових установ в умовах інтенсивної цифровізації та зростаючих кіберризиків. Досягнення цієї мети базується на таких ключових принципах:
- Управління ІКТ-ризиками. Встановлюються обов’язкові вимоги до організації систем управління ризиками, що допомагають виявляти, оцінювати, контролювати та знижувати загрози, пов’язані з ІКТ.
- Тестування стійкості. Регламентуються процедури регулярного тестування цифрової стійкості, зокрема через проведення симуляцій та пен-тестів, що дозволяє виявляти слабкі місця системи до виникнення реальних загроз.
- Моніторинг та звітність. Встановлюється набір вимог щодо оперативного звітування про інциденти з ІКТ, що дає змогу своєчасно інформувати компетентні органи про загрози та вживати заходів з ліквідації наслідків.
- Управління ризиками, пов’язаними з третіми сторонами. Особлива увага приділяється управлінню ризиками, що виникають під час співпраці з ІКТ-постачальниками, які можуть мати критичний вплив на роботу установ.
Застосування DORA за межами ЄС та в Україні
Попри те, що директива обов’язкова до виконання лише для країн ЄС, багато неєвропейських держав та фінансові установи, що працюють на міжнародному рівні, звертають увагу на вимоги DORA.
Наприклад, після Брекситу деякі британські фінансові установи вирішили добровільно впроваджувати подібні стандарти для забезпечення конкурентоспроможності на європейському ринку.
Крім того, країни, що прагнуть гармонізувати свої регуляторні вимоги з міжнародною практикою, можуть використовувати досвід DORA як орієнтир для модернізації власних систем кібербезпеки.
Цей підхід, зокрема, стосується і України, оскільки фінансові послуги – важливий переговорний розділ для вступу України до ЄС. А процес наближення законодавства України до європейського вимагатиме не тільки змін у регуляторному оточенні, але й запровадження принципово нових підходів до регулювання.
Таким чином впровадження DORA дозволить українським страховикам:
- Підвищити захищеність даних.
Забезпечення високих стандартів кібербезпеки допомагає уникнути витоків конфіденційної інформації та захистити клієнтські дані від несанкціонованого доступу. - Сприяти оперативному реагуванню на інциденти.
Наявність чітко структурованих процесів звітності та реагування на цифрові інциденти дозволяє зменшувати фінансові та операційні втрати в разі непередбачуваних аварійних ситуацій. - Сприяти інтеграції з міжнародними ринками.
Дотримання високих стандартів цифрової стійкості сприяє підвищенню довіри з боку партнерів і інвесторів, що є особливо важливим для українських компаній, які прагнуть в майбутньому розширити свою діяльність на міжнародному рівні. - Покращити операційну ефективність.
Організована система управління ризиками та тестування стійкості сприяє оптимізації внутрішніх процесів, що позитивно впливає на якість послуг, які надають страхові компанії. - Відповідати міжнародним стандартам.
Навіть якщо Україна не є членом ЄС, впровадження елементів DORA може стати важливим кроком у напрямку гармонізації національного законодавства з міжнародними вимогами, що підвищує конкурентоспроможність на глобальному ринку.
Алгоритми та рекомендації, закладені у DORA, не лише створюють надійну основу для діджиталізації фінансових установ у Європі, а й можуть бути адаптовані до місцевих умов в Україні, сприяючи підвищенню загальної стійкості та розвитку ринку страхування життя.
