В ЕС начинает действовать Регламент о цифровой операционной устойчивости

С 17 января 2025 года в Евросоюзе начинает действовать Регламент о цифровой операционной устойчивости, призванный унифицировать требования к кибербезопасности и устойчивому управлению цифровыми рисками для всех финансовых организаций, включая их ключевых подрядчиков.

На территории Европейского союза начал действовать Digital Operational Resilience Act (DORA), в соответствии с которым финансовые учреждения обязаны внедрить комплексные меры по управлению цифровыми рисками и обеспечению непрерывности работы даже в условиях серьезных сбоев в информационной инфраструктуре. 

DORA не ограничивается кибербезопасностью в узком понимании. Это полноценная нормативная база, требующая от финансовых институтов продемонстрировать готовность к любым операционным сбоям, связанным с информационно-коммуникационными технологиями (ИКТ). Регуляторы акцентируют внимание на следующих ключевых моментах:

1. Управление ИКТ-рисками. Банки, страховые компании, инвестиционные фонды и прочие организации должны иметь четко структурированные политики и процессы управления ИКТ-рисками, включая оценку, предотвращение и непрерывный мониторинг инцидентов. 
2. Контроль третьих сторон. DORA распространяется на ключевых поставщиков услуг в сфере ИКТ: облачные сервисы, разработчиков программного обеспечения и аутсорсинговые компании. С 2025 года финансовые организации могут взаимодействовать только с провайдерами, соответствующими стандартам информационной безопасности, включая ISO 27001 и SOC 2. 
3. Единый подход к цифровой устойчивости. DORA задает планку для управления ИКТ-рисками по аналогии с тем, как General Data Protection Regulation (GDPR) установил глобальный стандарт в сфере защиты данных. 
4. Документирование и демонстрация соответствия. Вместо жестких инструкций DORA требует постоянного контроля и доказательств цифровой устойчивости. Организации должны быть готовы в любой момент представить документы, подтверждающие выполнение требований, от качественных метрик по времени восстановления после инцидента до аудиторских отчетов о работе подрядчиков. 

DORA призвана упорядочить цифровую среду в финансовом секторе, минимизируя риски и формируя единое конкурентное поле. Для организаций, которые вовремя начнут подготовку, новый регламент должен стать не обременением, а дополнительным стимулом укрепить собственную операционную устойчивость и репутацию. По данным PwC, под действие DORA попадают более чем 22 тыс. финансовых компаний и операторов ИКТ-услуг.  

Напомним, 9 января 2025 года в ЕС вступил в силу новый Регламент мгновенных платежей (IPR), в соответствии с которым все платежные провайдеры обязаны обеспечить в пределах Евросоюза возможность обработки входящих кредитовых платежей в течение десяти секунд.