Актът за оперативна устойчивост на цифровите технологии повишава изискванията за киберсигурност

Киберсигурността и оперативната устойчивост са предизвикателства, с които трябва да се справят организации от различни сектори. Когато става въпрос за финансовия сектор, последиците от несправяне с тях могат да имат отражение върху /негативни последици за всички граждани. Заплахите са много и различни – от кражба на данни, системни сривове, фишинг и рансъмуер, а след пандемията и с увеличения брой хора, които работят отдалечено, ръстът на кибератаките е значителен.

С приемането на акта за оперативната устойчивост на цифровите технологии, по-известен като DORA (Digital Operational Resilience Act), Европейският съюз цели да гарантира, че финансовият сектор в Европа може да запази устойчивостта си в случай на сериозни оперативни смущения. Регулацията вече е влязла в сила и ще стане задължителна за прилагане от 17 януари 2025 г.

В обхвата на DORA попадат всички компании, предоставящи финансови услуги – като банки, доставчици на плащания, доставчици на електронни пари, инвестиционни посредници, доставчици на услуги за криптоактиви, както и критични доставчици на ИКТ услуги, действащи като аутсорсинг дружества за регулираните участници на финансовите пазари.

Основните 5 области, в които DORA налага нови изисквания, включват:

  1. Управление на риска при ИКТ на финансови субекти;

Изискването включва оценка на риска, разработване на стратегия за непрекъснат мониторинг и подходящи политики за управление на риска.

  1. Задължения за докладване на ИКТ инциденти;

Компаниите трябва да следват стриктни процедури за докладване на инциденти пред регулатора, както и да събират и съхраняват информация за всички свързани с ИКТ инциденти и значителни киберзаплахи.

  1. Изпитване на цифровата експлоатационна стабилност;

Финансовите компании трябва да тестват своята оперативна безопасност и да провеждат регулярни тестове за проникване, извършени от външни независими доставчици на ИТ услуги.

  1. Европейска рамка за мониторинг на доставчици на услуги от трети страни в областта на ИКТ.

Отношенията с доставчици на ИТ услуги от трети страни трябва да бъдат мониторирани, за да се гарантира, че услугите, които предоставят, отговарят на изискванията на DORA.

  1. Споделяне на информация:

Насърчава се обменът на информация по отношение на киберзаплахите между финансовите организации.

С DORA се създава регулаторна рамка за оперативна устойчивост на цифровите технологии, където всички попадащи в регулацията дружества трябва да гарантират, че са в състояние да устоят, да реагират и да се възстановят от всякакви видове смущения и заплахи, свързани с ИКТ. Основната цел е предотвратяването и смекчаването на киберзаплахите.

Актът съдържа набор от изисквания относно 3 основни елемента на дейност:

  1. Рамката за управление на риска в ИКТ;
  2. Договорните споразумения, сключени между финансовите субекти и доставчици на ИКТ услуги;
  3. Рамката за управление на риска в ИКТ доставчици от трети страни.

Част от подходящите за предприемане мерки от дружествата включват създаване на стратегии за архивиране и възстановяване на данни, процедури за ранно предупреждение с цел откриване и управление на кибератаки, подходящи тестове и одити – оценки и проверки на уязвимостта, оценки на мрежовата сигурност, анализ на пропуските, анализ на физическата сигурност, въпросници и софтуерни решения за сканиране, тестове за съвместимост, тестове за ефективност или тестове за проникване. Мнемоника може да ви помогне с имплементация на подходящи решения за вашия бизнес.

От възловите доставчици на услуги в областта на ИКТ от трети държави за финансовите субекти в ЕС ще се изисква да създадат дъщерно дружество в ЕС, така че да може да се осъществява подходящ надзор.

Държавите членки оправомощават компетентните органи да налагат най-малко следните административни санкции или коригиращи мерки при нарушение на настоящия регламент. Държавите членки могат да решат да не въвеждат правила за административни санкции или коригиращи мерки за нарушенията, за които в националното им право са предвидени наказателноправни санкции.

На Ваше разположение сме да съдействаме по всички възникнали въпроси.