Фінансовий сектор Європи входить у нову еру регулювання

У рамках цифрового пакету, який дозволив європейському фінансовому сектору використовувати переваги технологій та інновацій, ЄС запровадив Закон про цифрову операційну стійкість (Digital Operational Resilience Act, DORA), нещодавно прийнятий Європейським парламентом.

DORA встановлює єдині вимоги до безпеки мережевих та інформаційних систем компаній і організацій, що працюють у фінансовому секторі, а також критично важливих третіх сторін, які надають їм послуги, пов'язані з ІКТ (інформаційно-комунікаційними технологіями), такі як хмарні платформи або служби аналізу даних. DORA створює нормативно-правову базу для цифрової операційної стійкості, згідно з якою всі фірми повинні переконатися, що вони можуть протистояти, реагувати та відновлюватися після всіх типів збоїв і загроз, пов'язаних з ІКТ. Ці вимоги є однорідними для всіх країн-членів ЄС. Основною метою є запобігання та пом'якшення кіберзагроз.

Закон є відповіддю на згубний вплив основних інцидентів з інформаційно-комунікаційними технологіями (ІКТ) та має на меті укріпити цифрову операційну стійкість фінансового сектору, включаючи страхові компанії. Насправді його впровадження в страховій галузі може революціонізувати те, як страховики керують та пом'якшують кібер-ризики.

Як працює DORA?

Є п'ять основних "стовпів" фрейму

• Управління ризиками.
• Звіт про інциденти.
• Цифрове тестування на стійкість.
• Технологічний та комунікаційний ризик-менеджмент для третіх сторін.
• Обмін інформацією та даними.

По суті, DORA робить керованою фінансових груп за безпеку тих технічних вендорів, які вони використовують. І вона застосовується до третіх сторін, які надають критичні послуги технологічні та інформаційні послуги для страхової галузі, такі як послуги хмарних обчислень, програмне забезпечення (наприклад, платформи для андеррайтингу для бізнесу або для електронної торгівлі), послуги з аналітики даних.

Це регуляторна реакція на зростаючу залежність сектору від сторонніх постачальників технологій, втрата одного вузла в яких вражає всю систему. Міжнародний валютний фонд зазначив, що залежність від послуг сторонніх постачальників означає, що кібератаки мають більш високу ймовірність та матимуть системні наслідки і можуть зробити цілі сектори вразливими, наслідок чого втрати можуть бути високими та стати критичними на макрорівні.

Тепер, коли DORA офіційно прийнята, аспекти, які вимагають національного транспонування, будуть передані в законодавство кожною держави-члена ЄС у 2023-2024 роках. Водночас відповідні європейські наглядові органи (ESA), такі як Європейський банківський орган (EBA), Європейський орган з цінних паперів і ринків (ESMA) і EIOPA, розроблятимуть технічні стандарти для усі фінансових установ, яких необхідно дотримуватися, від банківської сфери до страхування та управління активами. Відповідні національні компетентні органи візьмуть на себе роль нагляду за відповідністю та забезпечуватимуть дотримання нормативних актів у разі необхідності.