Новата регулация DORA ще повиши стандартите за дигитална устойчивост на финансовия сектор

Кристиан Викторов, старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria

Кристиан Викторов, старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria
Кристиан Викторов, старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria
Кристиан Викторов, старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria
Кристиан Викторов, старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria
Бюлетин: Моят Капитал Моят Капитал

Най-важното от света на личните финанси, пазарите и управлението на спестяванията.

В световен мащаб през последните години наблюдаваме значително повишаване на турбуленцията в пространството на регулационните изисквания, както и при стандартите за най-добри практики в сферата на киберсигурността. Съществени промени през последната година претърпяха стандарти и рамки за най-добри практики като ISO27001, PCI-DSS и NIST CSF, които включват значителни нови изисквания. Също така директивата NIS премина през основни промени, които бяха публикувани в новата итерация на регулацията, а именно NIS 2, която влезе в сила през януари 2023 г. В този контекст Европейският съюз представи също и новото си предложение за регулаторен акт за финансовата индустрия на ЕС - Европейският регламент за дигитална оперативна устойчивост - DORA.

Какво е DORA

Вероятно двата най-големи нефинансови риска, пред които са изправени организациите за финансови услуги днес, са оперативната устойчивост и киберсигурността. Когато разглеждаме застрахователните искове в сектора, основната причина за загуба на стойност са кибератаките. Как стигнахме дотук е заплетен урок от близката история, макар че, най-общо казано, ключовите фактори включват пандемията, продължаващия марш към дигитализация и глобалното нарастване на дистанционната работа, всички, които помогнаха да се постави началото на вълна от оперативни провали и киберпрестъпления.

В резултат на това финансовите институции са изправени пред множество заплахи за тяхната оперативна стабилност, включително кибератаки, системен срив, кражба на данни, ransomware и загуба на репутация, всяка от които би довела до немислими последици в случай на реализация.

Тук влиза новата регулация DORA, чийто регламент възнамерява да повиши стандартите на рамките за дигитална устойчивост. Регламентът е уникален с въвеждането на рамка за надзор в целия Европейски съюз, с която се цели да се повиши стандартът за контрол в целия финансов сектор относно управлението на:

  • Критични доставчици на информационни и комуникационни технологии (ИКТ)
  • Управление на риска, свързан с киберсигурност и дигитална оперативна устойчивост
  • Управление на инциденти
  • Тестване на механизми, изградени за дигитална оперативна устойчивост
  • Споразумения за споделяне на информация с партньори, свързана с разузнаване относно заплахи за сигурността.

Обхват и ключови срокове на DORA

DORA ще се прилага за повече от 22 хил. финансови институции и доставчици на ИКТ услуги, работещи в рамките на ЕС. Регламентът ще въведе специфични и предписващи изисквания за всички участници на финансовите пазари, например банки, инвестиционни посредници, застрахователни предприятия и посредници, доставчици на криптоактиви, доставчици на отчитане на данни и доставчици на облачни услуги.

Последната актуализация на регламента е на 27.12.2022 г. - DORA е публикувана в Официалния вестник на ЕС, като ключовите за въвеждане в експлоатация дати са следните:

  • 16.01.2023 - DORA влиза в сила.
  • Q2 - Q4 2023 - Подготовка на допълнителни технически подробности от страна на европейските надзорни органи. В този период ЕНО ще направят изискванията по-конкретни, докато организациите ще могат да обновят контролната си среда, за да се съобразят с DORA.
  • Q2 2024 - Срок за подготовка на конкретни задължения на DORA за организациите, попадащи в обсега на регулацията, както и очаквана публикация на делегиран акт от Комисията на ЕС относно класификацията на критични трети страни, който ще даде изисквания за изпълнение на идентифицираните критични доставчици.
  • 01.2025 - Принудително изпълнение на DORA. Националните компетентни органи започват да наблюдават за спазването на DORA. Като част от това се очаква европейските надзорни органи да делегират изпълнението на регионални проверки на различни регулаторни институции в държави - членки на ЕС.

Кои са ключовите изисквания на DORA

DORA гарантира последователно предоставяне на услуги по цялата верига на стойността чрез въвеждане на цялостна рамка за ефективно управление на риска, оперативни възможности за ИКТ и киберсигурност и управление от трети страни. Тази рамка включва пет ключови стълба за изграждане на ефективна оперативна устойчивост.

  • Управление на риска в ИКТ

DORA изисква компаниите да прилагат систематичен и структуриран подход за управление на риска в ИКТ. Това включва оценка на риска, планиране и изпълнение на мерки за управление на риска и постоянно наблюдение на ефективността на тези мерки. На първо място, управлението на риска в ИКТ трябва да бъде подробно и да съответства цялостно на целите и стратегията на компанията. Също така нужно е да бъде определена стратегия за дигитална гъвкавост, която да определя действия спрямо нивото на риск, което се очаква. Необходимо е да се подобри минималното ниво на защита на база на идентифицираните рискове, като се даде приоритет на най-високо категоризираните такива.

  • Управление на инциденти, свързани с ИКТ

DORA изисква компаниите да имат системи за управление на инциденти, които включват процедури за докладване, класифициране, анализиране и отстраняване на инциденти, както и процедури за извършване на следствени действия и възстановяване след инциденти. Компаниите трябва да изготвят и поддържат планове за управление на инциденти, които да се актуализират редовно и да се провеждат учения на периодични интервали. В този контекст трябва да се подсигури, че докладването на инцидентите, свързани с ИКТ, се извършва не само към регулаторните звена, но също и към ключови трети страни и партньори. Важно е и да се класифицират значителните инциденти според критериите, посочени в регламента и допълнително разработени от европейски надзорни органи.

  • Тестване на дигитална оперативна устойчивост

DORA изисква компаниите да провеждат редовни тестове на дигиталната си оперативна устойчивост, за да се гарантира, че системите и инфраструктурата им са устойчиви, и да се идентифицират потенциални проблеми и уязвимости. Тестването на устойчивостта на ИКТ е жизненоважна част от цикъла за подсигуряване на невъзпрепятствана оперативност на организациите. За целта е нужно да бъде изградена процедура за ежегодно тестване на критичните ИКТ системи. Минимум веднъж на всеки три години ще е нужно да се прилагат по-задълбочени тестове за проникване в системата и симулация на инцидент, вдъхновени от реални заплахи, като тук трети организации също са задължени да помагат за пълното тестване на съответни ИКТ.

  • Управлениенариска на ИКТ от трети страни

Четвъртото изискване на DORA е свързано с управлението на риска на ИКТ от трети страни или доставчици. Финансовите организации трябва да гарантират, че третите страни или доставчиците на услуги също прилагат подходящи мерки за управление на риска в ИКТ. Те трябва да извършват оценка на риска и да изискват от третите страни да представят доказателства за съответствие с изискванията на DORA. Компаниите трябва също така да сключват писмени договори с доставчиците, в които да се уточняват изискванията за управление на риска в ИКТ.

  • Споделяне на информация, свързана с киберразузнаване

С това си изискване регламентът насърчава финансовите организации да създават споразумения помежду си за обмен на информация и разузнаване за киберзаплахи. Информацията, която се придобива от компаниите, свързана с киберзаплахите, трябва да се споделя както с партньорски организации във финансовия сектор, така и с регулаторните органи. За да може да се изгради по-безопасна дигитална среда, трябва да има подписано съгласие между споменатите организации за обмяната на информация. Също така компаниите трябва да въведат метод на преглед и действие с информацията, за да бъде документирано какво е било споделяно. Надзорният орган ще предоставя подходяща анонимна информация и разузнавателни данни за киберзаплахи за финансовите субекти. Следователно субектите трябва да прилагат механизми за преглед и предприемане на действия по информацията, споделена както от партньорски организации, така и от властите.

Ключови следващи стъпки за привеждане в съответствие с DORA на финансови организации

Сама по себе си DORA е комплексна регулация. Въпреки това има много възможности за ефикасно привеждане към съответствие с нея, тъй като е възможно да се установят редица синергии и сходни изисквания с вече имплементирани регулации и стандарти за най-добри практики като GDPR, ISO27001, PCI-DSS, NIS и NIST CSF. Затова е от ключова важност детайлно да бъдат разбрани съответните изисквания на DORA. За целта е нужно да се определи обхватът на организацията и до каква степен е засегнат от регулацията. След това е нужно да се извърши детайлен анализ на база на съответните изисквания, за да се установи тяхната приложимост в контекста на организацията. По този начин е възможно да се установи до каква степен организациите вече покриват дефинираните от DORA изисквания. Това ще им предостави възможността да фокусират ресурсите си основно в проекти и инициативи, свързани с изграждане на идентифицираните липсващи контроли и практики.

Заключение

През двегодишния период за "подготовка" има много неща, които трябва да бъдат обмислени и анализирани. Финансовите институции ще трябва да извършат цялостни оценки на пропуските, за да оценят съответствието им с правилата на DORA и своевременно да идентифицират всички области, които се нуждаят от развитие. Единните за целия ЕС изисквания на новата регулация означават, че финансовите субекти трябва да гарантират, че могат да управляват постоянно високо ниво на киберсигурност и оперативна устойчивост във всички свои операции в ЕС.

За повече детайли относно DORA и ключовите изисквания: [email protected]