11 мая 2022 года Европейский союз (ЕС) достиг предварительного соглашения по новому Закону о цифровой операционной устойчивости (DORA). Несмотря на формулировку, в DORA нет ничего «временного». На самом деле, одно из самых далеко идущих правил кибербезопасности в мире для финансовых услуг и их цепочек поставок в основном является делом решенным.
Все, что осталось до официального принятия, которое ожидается где-то в октябре этого года, в первую очередь включает в себя несколько технических изменений и перевод на 24 официальных языка стран-членов ЕС.
DORA представляет собой ответ ЕС на постоянно растущее число кибератак на финансовые учреждения. Он предназначен для укрепления безопасности финансовых фирм ЕС, таких как банки, страховые компании, инвестиционные фирмы и т. д., путем введения требований устойчивости и регулирования цепочки поставок. Но, как я заметил в ранней почте, принципы DORA выходят далеко за пределы ЕС и его финансового сектора.
Единые требования DORA к безопасности сетей и информационных систем распространяются не только на предприятия финансового сектора, но и на важных сторонних поставщиков, предоставляющих финансовые услуги, связанные с информационными и коммуникационными технологиями, такие как облачные платформы и аналитика данных.
Действительно, охват DORA распространяется практически на любое предприятие, предлагающее услуги в области информационных и коммуникационных технологий (ИКТ), которые считаются критически важными для цепочки поставок, поддерживающей европейский финансовый сектор, независимо от того, находится ли это предприятие или услуга в ЕС. Фактически, согласно DORA, сложность цепочки поставок или отсутствие присутствия ЕС считаются факторами риска.
Обязательные новые нормативные перспективы
DORA уникальна тем, что обеспечивает новый и иной уровень нормативного контроля для широкого круга глобальных предприятий. Требования ДОРА Мандат — не просто предлагать — соблюдение его положений. Не менее важно и то, что влияние этого нового уровня регулирующего контроля различается в зависимости от точки зрения предприятия.
Финансовые учреждения, привыкшие к нормативно-правовой среде, в первую очередь предназначенной для оценки финансовых рисков и стабильности, теперь должны будут так же серьезно относиться к потенциальному риску, связанному с их операциями в области ИКТ. Финансовые учреждения привыкли реагировать на риск в форме требований к капиталу. DORA использует другой подход, предписывая конкретное поведение и требования к производительности. С точки зрения финансовых учреждений, такое повышение риска имеет последствия для многих аспектов их бизнеса, таких как то, как они используют технологии и как они трансформируют свой бизнес, переходя на новые технологии, такие как облачные вычисления. Это включает в себя общие стратегии и возможности управления рисками, безопасность цепочки поставок, а также организационное кадровое обеспечение и политики для обеспечения надлежащей оценки рисков в области ИКТ и соответствия требованиям.
DORA также меняет регулятивную перспективу организаций ИКТ. До сих пор они регулировались в основном вопросами, связанными с данными, такими как конфиденциальность данных и уведомление об утечке данных, исходя из опасений по поводу личных данных и политических целей, таких как цифровой суверенитет. На ум приходят новаторские правила, такие как Общий регламент по защите данных (GDPR) в Европе и более поздний Калифорнийский закон о конфиденциальности потребителей (CCPA) в США.
У организаций ИКТ также могут быть другие нормативные обязательства по безопасности или они могут быть классифицированы как критическая инфраструктура, в зависимости от того, где они расположены, например, в Директива по сетевой и информационной безопасности (NIS) в Европе Закон о кибербезопасности 2018 г. в Сингапуре или отраслевое законодательство для специализированных отраслей, таких как телекоммуникации в США.
Теперь, если ИКТ-компании обслуживают финансовые учреждения в ЕС, они, скорее всего, также будут подпадать под действие DORA. Таким образом, в дополнение к их прежней нормативно-правовой базе, те провайдеры ИКТ, которые были определены как предлагающие критически важные услуги, внезапно будут регулироваться в соответствии с DORA таким образом, что очень похоже на то, что они становятся расширения финансовых учреждений ЕС, которые они обслуживают. Независимо от того, как на это смотреть, это кардинальное изменение — как для финансовых учреждений, так и для поставщиков ИКТ.
Но это не все. DORA меняет представление о регулирующем органе ЕС. Регуляторные органы, являющиеся экспертами в области соблюдения требований финансовыми учреждениями, теперь должны расширить сферу своей деятельности, включив в нее поставщиков ИКТ, предлагающих критически важные услуги, таких как поставщики облачных услуг, услуги по анализу данных и другие нефинансовые предприятия. В странах со сложной структурой регулирования также будет необходимо сотрудничать с другими органами, которым поручено регулирование этих дополнительных видов нефинансовых отраслей.
Отвечая на вызовы
DORA требует, чтобы финансовые учреждения ЕС оценивали свою собственную зрелость в области кибербезопасности и управления рисками. Понимание и управление рисками их цепочки поставок будет иметь центральное значение для этих усилий.
В целом, финансовые учреждения хорошо разбираются в стресс-тестах для определения безопасности и финансовой стабильности. Другое дело — распространить такие тесты на другие организации. Таким образом, для финансового сектора ЕС самая большая проблема заключается в том, как управлять поставщиками, управлением рисками и операционными возможностями во все более сложной и расширенной цепочке поставок.
Например, штаб-квартира финансового учреждения может находиться в Европе, но вся его вспомогательная деятельность может быть передана на аутсорсинг предприятиям, базирующимся в Индии. Эти службы поддержки технически могут не быть финансовыми учреждениями. Но DORA потребует от финансового учреждения оценить, является ли поставщик критически важным для его операций, и применить соответствующие требования DORA к этим отношениям.
Для предприятий, не зарегистрированных в ЕС, ключевым вопросом является юрисдикция и доступ к рынку. Финансовые учреждения или поставщики ИКТ, работающие за пределами ЕС, не затронуты. Но если предприятие является финансовым учреждением или поставщиком ИКТ-услуг, каким-либо образом обслуживающим финансовый сектор ЕС, оно, скорее всего, будет подпадать под действие DORA — прямо или косвенно.
Обратный отсчет до 2024
Если что-то не изменится в окончательном тексте, DORA вступает в силу через 24 месяца после его официального принятия. В реальности это, вероятно, произойдет где-то ближе к концу 2024 года. Хорошая новость заключается в том, что это дает организациям достаточно времени для подготовки к соблюдению требований. Самое главное, это не слишком долго для включения в стандартный бюджетный цикл предприятия.
Но прежде чем этот срок подкрадется к вам, начните готовиться сейчас. Вот пять ключевых шагов:
- Используйте время до 2024 года с умом.
- Поймите, где вы находитесь. Ищите, находите и определяйте пробелы в соблюдении требований.
- Определите, что вам нужно, чтобы исправить ваши пробелы.
- Обучайте и получайте одобрение от высшего руководства.
- Бюджет на 24 месяца.
Часы тикают.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
