Соответствие DORA: Руководство для финтех-компаний по управлению ИКТ-рисками (RU)

Что такое DORA? Закон о цифровой операционной устойчивости (DORA) — это законодательный акт ЕС, направленный на повышение устойчивости финансовых организаций к сбоям, связанным с ИКТ.

Кто должен соблюдать? Все финансовые организации ЕС, включая банки, инвестиционные компании, страховые компании и финтех-компании, а также их критически важные сторонние ИКТ-поставщики.

Ключевые области внимания: DORA требует надежного управления ИКТ-рисками, отчетности об инцидентах, тестирования устойчивости, управления рисками третьих сторон и обмена информацией.

Что нового для поставщиков идентификационных данных? Поставщики идентификационных данных подвергаются все более пристальному вниманию в рамках DORA, особенно в отношении их роли в обеспечении безопасного доступа и предотвращении несанкционированного доступа.

Понимание DORA: Повышение цифровой операционной устойчивости

DORA, или Закон о цифровой операционной устойчивости, представляет собой значительное обновление подхода финансовых организаций в Европейском Союзе к своим цифровым операциям и кибербезопасности. Это не просто еще одна галочка для соответствия нормативным требованиям; это комплексная структура, направленная на обеспечение способности финансового сектора ЕС противостоять серьезным операционным сбоям, вызванным инцидентами в области информационно-коммуникационных технологий (ИКТ), реагировать на них и восстанавливаться после них. Для финтех-компаний понимание и внедрение DORA имеет решающее значение для продолжения деятельности и роста на рынке ЕС. По своей сути DORA объединяет и гармонизирует существующие нормативные требования, связанные с ИКТ, создавая единый набор правил. Это означает, что вместо того, чтобы ориентироваться в лабиринтах национальных норм, финансовые организации будут придерживаться единого общеевропейского стандарта. Регламент уделяет особое внимание цифровой операционной устойчивости — способности организации поддерживать критически важные бизнес-функции во время сбоев ИКТ. Это включает в себя все: от предотвращения кибератак до восстановления после стихийных бедствий, влияющих на ИТ-инфраструктуру. Сфера применения DORA широка и охватывает банки, страховые компании, инвестиционные фирмы, платежные учреждения и, что крайне важно, финтех-компании, предлагающие финансовые услуги. Он также распространяется на критически важных сторонних поставщиков ИКТ-услуг, включая тех, кто предлагает облачные услуги, программное обеспечение и решения для проверки идентификационных данных. Это включение означает, что если ваша финтех-компания полагается на внешних поставщиков для выполнения основных функций, вы должны убедиться, что эти поставщики также соответствуют строгим требованиям DORA. Это распространяется и на вашу роль, если вы выступаете в качестве критически важного стороннего поставщика для других финансовых организаций. Ключевые столпы DORA: * Управление ИКТ-рисками: Требует комплексной структуры, включая политики, процедуры и средства контроля, для эффективного управления ИКТ-рисками. * Отчетность об ИКТ-инцидентах: Требует классификации и отчетности о значительных инцидентах, связанных с ИКТ, компетентным органам в установленные сроки. * Тестирование цифровой операционной устойчивости: Требует регулярного тестирования ИКТ-систем и функций, включая оценку уязвимостей, тестирование на проникновение и упражнения на основе сценариев. * Управление рисками третьих сторон: Создает детальную структуру надзора для управления рисками, возникающими от сторонних поставщиков ИКТ-услуг. * Обмен информацией: Поощряет добровольный обмен информацией об угрозах кибербезопасности между финансовыми организациями. Для финтех-компаний последствия очевидны: проактивный и надежный подход к управлению ИКТ-рисками больше не является опцией, а стал нормативным требованием.

Управление ИКТ-рисками финтех-компаний в соответствии с DORA

Финтех-компании по своей природе работают в высокоцифровой среде. Их бизнес-модели построены на технологиях, что делает их особенно восприимчивыми к ИКТ-рискам. DORA привносит повышенный уровень контроля над этими рисками, требуя более зрелого и комплексного подхода, чем когда-либо прежде. Это включает в себя понимание всей экосистемы ИКТ, от внутренних систем до сложной сети сторонних зависимостей. Проблема для финтех-компаний заключается в динамичности их операций и быстром развитии технологий. Они часто быстро внедряют новые инструменты и услуги, чтобы оставаться конкурентоспособными, что может создавать новые уязвимости. DORA требует систематического подхода к выявлению, оценке и снижению этих рисков. Это включает не только защиту от внешних угроз, таких как вредоносное ПО и фишинг, но и обеспечение целостности и доступности критически важных услуг, таких как обработка платежей, управление счетами и, что важно, проверка идентификационных данных. Рассмотрим роль поставщиков идентификационных данных в экосистеме финтех-компаний. Эти услуги являются основополагающими для процессов «знай своего клиента» (KYC), безопасного входа в систему и предотвращения мошенничества. В соответствии с DORA устойчивость и безопасность этих решений для идентификации имеют первостепенное значение. Компрометация системы поставщика идентификационных данных может привести к массовому несанкционированному доступу, утечкам данных и полному нарушению операционной непрерывности финтех-компании. Поэтому финтех-компании должны тщательно оценивать ИКТ-риски, связанные с выбранными ими поставщиками идентификационных данных, гарантируя, что они соответствуют стандартам устойчивости и имеют надежные протоколы безопасности. Кроме того, DORA подчеркивает подход к управлению ИКТ-рисками от «начала до конца». Это означает, что оценка рисков должна быть интегрирована во весь жизненный цикл любой ИКТ-системы или услуги, от закупки и разработки до развертывания и вывода из эксплуатации. Для финтех-компаний это означает встраивание соображений риска в дорожные карты разработки продуктов, процессы выбора поставщиков и даже в дизайн пользовательских интерфейсов. Цель состоит в том, чтобы встроить устойчивость в саму ткань организации, а не добавлять ее как запоздалую мысль.

Управление рисками третьих сторон: критически важный компонент

Одним из наиболее значительных аспектов DORA для финтех-компаний является строгая структура управления рисками третьих сторон. Учитывая, что многие финтех-компании в значительной степени полагаются на внешних поставщиков услуг для различных функций — облачный хостинг, разработка программного обеспечения, анализ данных и, конечно же, проверка идентификационных данных — эффективное управление этими отношениями имеет решающее значение для соблюдения нормативных требований. DORA требует не только должной осмотрительности, но и проактивного и постоянного надзора. Финансовые организации должны вести учет всех соглашений с третьими сторонами в области ИКТ. Для каждого критически важного поставщика должна проводиться всесторонняя оценка. Это включает оценку мер безопасности поставщика, возможностей операционной устойчивости, планов обеспечения непрерывности бизнеса и их собственного управления субподрядчиками. Регламент также вводит понятие «критически важных» сторонних поставщиков ИКТ-услуг, которые могут подлежать прямому надзору со стороны европейских надзорных органов. Для поставщиков идентификационных данных это означает демонстрацию соответствия требованиям DORA. Это может включать предоставление подробной документации об их сертификатах безопасности (например, ISO 27001), процедурах реагирования на инциденты, мерах защиты данных и результатах их собственных тестов на устойчивость. Финтех-компаниям необходимо убедиться, что контракты с этими поставщиками включают конкретные положения, касающиеся операционной устойчивости, прав на аудит и стратегий выхода. Помимо поставщиков идентификационных данных, это применимо ко всем критически важным поставщикам. Если финтех-компания использует облачного провайдера для своей основной инфраструктуры, устойчивость этого провайдера напрямую связана с собственной операционной устойчивостью финтех-компании. DORA способствует более глубокому пониманию и управлению этими взаимозависимостями. Это также включает понимание риска, связанного с агрегацией рисков третьих сторон — совокупного риска, создаваемого множеством взаимосвязанных поставщиков. Регламент также предусматривает возможность прямого надзора за некоторыми критически важными сторонними поставщиками ИКТ. Это означает, что крупные облачные провайдеры или другие поставщики основных услуг могут столкнуться с прямым контролем со стороны регулирующих органов ЕС, что может косвенно принести пользу финансовым организациям, полагающимся на них, путем обеспечения более высокого базового уровня устойчивости по всей цепочке поставок.

Поставщики идентификационных данных и соответствие DORA

Поставщики идентификационных данных играют ключевую роль в экосистеме цифровых финансов, и DORA ставит их в центр внимания. Обеспечение безопасности, целостности и доступности услуг по проверке идентификационных данных является обязательным для финтех-компаний, стремящихся к соответствию DORA. Это включает многогранный подход: 1. Надежные процессы проверки идентификационных данных: Поставщики идентификационных данных должны использовать безопасные и устойчивые методы для проверки идентификационных данных пользователей. Это включает надежные механизмы аутентификации, защиту от кражи личных данных и соблюдение правил защиты данных, таких как GDPR. Для DORA это означает обеспечение того, чтобы эти процессы были не только безопасными, но и высокодоступными и устойчивыми к сбоям. 2. Безопасная обработка данных: Идентификационные данные являются высокочувствительными. Поставщики должны внедрять передовые меры безопасности для защиты этих данных от утечек, включая шифрование, контроль доступа и регулярные аудиты безопасности. DORA требует, чтобы все ИКТ-системы, поддерживающие критически важные функции, были защищены от несанкционированного доступа и потери данных. 3. Устойчивость и доступность: Идентификационные услуги должны быть доступны при необходимости. Это требует избыточной инфраструктуры, надежных планов аварийного восстановления и эффективного управления непрерывностью бизнеса. Финтех-компании должны оценивать гарантии безотказной работы и тестирование устойчивости, проводимое их поставщиками идентификационных данных. 4. Реагирование на инциденты: В случае инцидента поставщики идентификационных данных должны иметь четкие, быстрые и эффективные планы реагирования на инциденты. Это включает своевременное уведомление их финтех-клиентов, чтобы они могли выполнить свои собственные обязательства по отчетности в соответствии с DORA. 5. Управление субподрядчиками: Если поставщик идентификационных данных использует другие третьи стороны (например, для обработки данных или инфраструктуры), он должен убедиться, что эти субподрядчики также соответствуют стандартам DORA по управлению ИКТ-рисками и операционной устойчивости. Финтех-компании должны активно взаимодействовать со своими поставщиками идентификационных данных, запрашивая доказательства их готовности к DORA или соответствия ей. Это может включать рассмотрение их политик безопасности, аудиторских отчетов и планов реагирования на инциденты. Выбор поставщика идентификационных данных, который понимает и решает эти требования DORA, имеет решающее значение для снижения риска и обеспечения соответствия.

Подготовка к DORA: практические шаги для финтех-компаний

Соблюдение требований DORA — это непрерывный процесс, а не разовое событие. Финтех-компании должны предпринять следующие практические шаги: * Проведите анализ пробелов: Оцените вашу текущую систему управления ИКТ-рисками в соответствии с требованиями DORA. Определите области, в которых ваши политики, процедуры и средства контроля не соответствуют требованиям. * Обновите политики управления ИКТ-рисками: Убедитесь, что ваши политики являются всеобъемлющими и охватывают все аспекты: от обнаружения угроз до реагирования на инциденты и обеспечения непрерывности бизнеса. * Инвентаризация сторонних поставщиков: Ведите подробный и актуальный список всех сторонних поставщиков ИКТ-услуг, классифицируя их по степени критичности. * Усильте должную осмотрительность поставщиков: Усовершенствуйте процесс должной осмотрительности при выборе и мониторинге сторонних поставщиков, уделяя особое внимание их операционной устойчивости и безопасности. * Внедрите надежную отчетность об инцидентах: Установите четкие процедуры для классификации и сообщения об ИКТ-инцидентах соответствующим органам в установленные сроки. * Разработайте программу тестирования устойчивости: Внедрите регулярное расписание тестирования ваших ИКТ-систем и функций, включая тестирование на проникновение и упражнения на основе сценариев. * Обучите ваш персонал: Убедитесь, что ваши сотрудники понимают свои роли и обязанности в соответствии с DORA, особенно те, кто участвует в управлении ИКТ-рисками, соблюдении нормативных требований и операциях. * Взаимодействуйте с вашими поставщиками идентификационных данных: Проактивно обсуждайте DORA с вашими поставщиками идентификационных данных и другими критически важными поставщиками. Запрашивайте документацию и заверения об их усилиях по соблюдению нормативных требований. Предприняв эти шаги, финтех-компании смогут не только достичь соответствия DORA, но и значительно повысить свою цифровую операционную устойчивость, завоевав большее доверие со стороны клиентов и регулирующих органов.

Часто задаваемые вопросы о DORA

Каков крайний срок соблюдения DORA?

Регламент DORA официально вступил в силу 17 января 2024 года. Все подпадающие под действие финансовые организации и их критически важные сторонние ИКТ-поставщики должны соответствовать этому сроку.

Как DORA влияет на неевропейские финтех-компании, работающие в ЕС?

Если финтех-компания, независимо от места ее базирования, предоставляет услуги финансовым организациям ЕС или непосредственно потребителям в ЕС, она может подпадать под действие DORA, особенно если ее услуги считаются критически важными. Это включает требования для ее сторонних ИКТ-поставщиков.

Каковы штрафы за несоблюдение DORA?

Компетентные органы могут наложить значительные штрафы за несоблюдение, которые могут быть существенными, потенциально достигая 1% от среднесуточного мирового оборота финансовых организаций и до 1 миллиона евро для сторонних ИКТ-поставщиков.

Готовы начать?

Навигация по сложностям соблюдения требований DORA требует стратегического подхода к управлению ИКТ-рисками и надзору за третьими сторонами. Didit предоставляет надежную платформу для проверки идентификационных данных, разработанную с упором на устойчивость и безопасность, помогая финтех-компаниям соответствовать строгим нормативным требованиям.

Узнайте больше о функциях соответствия Didit: Соответствие Didit

Изучите возможности платформы Didit: Платформа Didit

Свяжитесь с нами для персонализированной демонстрации: Свяжитесь с Didit

Как Didit поддерживает вашу позицию DORA

Didit — это сторонний поставщик ИКТ-услуг, который может подтвердить: сертификацию ISO/IEC 27001:2022 (Bureau Veritas, сертификат ES144068, действителен до 03.06.2027), аттестацию SOC 2 Type 1 (ATOM) и предоставляет веб-хуки и журналы аудита, необходимые для вашей отчетности DORA.

Ознакомьтесь с безопасностью и соответствием Didit, изучите продукты, проверьте цены и начните бесплатно — 500 бесплатных проверок KYC каждый месяц.