В этом блоге мы расскажем, что такое евродиректива DORA, в чем ее цель и принципы, а также внедрение DORA повлияет на работу страховых компаний в Украине.
Что такое DORA?
DORA (Digital Operational Resilience Act или Акт Цифровой Операционной Устойчивости) – это законодательный акт, разработанный Европейским Союзом для усиления цифровой операционной устойчивости финансовых учреждений.
Он охватывает как банки, так и страховые компании, инвестиционные фирмы и других участников рынка, активно использующих информационно-коммуникационные технологии (ИКТ) для предоставления своих услуг.
Основная идея DORA состоит в том, чтобы гарантировать защиту от киберугроз и организовать эффективное управление рисками, связанными с эксплуатацией ИКТ.
В этом контексте концепция цифровой операционной устойчивости означает способность учреждений не только противостоять кибератакам или системным сбоям, но и оперативно возобновлять свою работу после инцидентов.
История возникновения DORA
Развитие цифровизации привело к тому, что финансовые учреждения все больше полагаются на информационно-коммуникационные технологии, что, в свою очередь, увеличило их уязвимость к киберугрозам и техническим сбоям.
Согласно Отчету о глобальной финансовой стабильности по состоянию на 2024 год, за последние два десятилетия финансовый сектор понес более 20 000 кибератак, что привело к убыткам в размере 12 миллиардов долларов.
Учитывая это, европейские законодатели начали работу над созданием единого регуляторного подхода к обеспечению цифровой устойчивости. Разработка DORA была ответом на потребность в гармонизации правил управления ИКТ-рисками в финансовом секторе Европейского Союза. Законодательный процесс включал тесные консультации с ведущими институтами, такими как Европейский центральный банк и Европейский экономический и социальный комитет, а также обсуждение с представителями отрасли.
Окончательный текст был принят в декабре 2022, а применение положений началось 17 января 2025 года. В настоящее время DORA распространяется на более 22 000 финансовых учреждений и поставщиков услуг ИКТ, работающих в рамках ЕС, а также на ИКТ-инфраструктуру, поддерживающую их за пределами ЕС.
Цели и принципы действия DORA
Основна мета DORA – це забезпечення безперебійної роботи фінансових установ в умовах інтенсивної цифровізації та зростаючих кіберризиків. Досягнення цієї мети базується на таких ключових принципах:
- Управление ИКТ-рисками. Устанавливаются обязательные требования к организации систем управления рисками, которые помогают выявлять, оценивать, контролировать и снижать угрозы, связанные с ИКТ.
- Тестирование стойкости. Регламентируются процедуры регулярного тестирования цифровой устойчивости, в частности, через проведение симуляций и пен-тестов, что позволяет выявлять слабые места системы до возникновения реальных угроз.
- Мониторинг и отчетность. Устанавливается набор требований оперативной отчетности об инцидентах с ИКТ, что позволяет своевременно информировать компетентные органы об угрозах и принимать меры по ликвидации последствий.
- Управление рисками, связанными с третьими сторонами. Особое внимание уделяется управлению рисками, возникающими при сотрудничестве с ИКТ-поставщиками, которые могут оказать критическое влияние на работу учреждений.
Применение DORA вне ЕС и в Украине.
Несмотря на то, что директива обязательна для выполнения только для стран ЕС, многие неевропейские государства и финансовые учреждения, работающие на международном уровне, обращают внимание на требования DORA.
К примеру, после Брексита некоторые британские финансовые учреждения решили добровольно внедрять подобные стандарты для обеспечения конкурентоспособности на европейском рынке.
Кроме того, страны, стремящиеся к гармонизации своих регуляторных требований с международной практикой, могут использовать опыт DORA как ориентир для модернизации собственных систем кибербезопасности.
Этот подход, в частности, касается и Украины, поскольку финансовые услуги – важный переговорный раздел для вступления Украины в ЕС. А процесс приближения законодательства Украины к европейскому потребует не только изменений в регуляторном окружении, но и внедрения принципиально новых подходов к регулированию.
Таким образом, внедрение DORA позволит украинским страховщикам:
- Увеличить защищенность данных.
Обеспечение высоких стандартов кибербезопасности помогает избежать утечек конфиденциальной информации и защитить клиентские данные от несанкционированного доступа. - Способствовать оперативному реагированию на инциденты.
Наличие четко структурированных процессов отчетности и реагирования на цифровые инциденты позволяет снизить финансовые и операционные потери в случае непредвиденных аварийных ситуаций. - Содействовать интеграции с международными рынками.
Соблюдение высоких стандартов цифровой устойчивости способствует повышению доверия со стороны партнеров и инвесторов, что особенно важно для украинских компаний, стремящихся в будущем расширить свою деятельность на международном уровне. - Улучшить операционную эффективность.
Организованная система управления рисками и тестирование устойчивости способствует оптимизации внутренних процессов, что оказывает положительное влияние на качество услуг, оказываемых страховыми компаниями. - Соответствовать международным стандартам.
Даже если Украина не член ЕС, внедрение элементов DORA может стать важным шагом в направлении гармонизации национального законодательства с международными требованиями, что повышает конкурентоспособность на глобальном рынке.
Алгоритмы и рекомендации, заложенные в DORA, не только создают надежную основу для диджитализации финансовых учреждений в Европе, но и могут быть адаптированы к условиям в Украине, способствуя повышению общей устойчивости и развитию рынка страхования жизни.
