П’ять ключових міркувань щодо Закону про цифрову операційну стійкість (DORA) (Омкар Нісал)

24 вересня 2020 року Європейська комісія опублікувала першу пропозицію щодо Закону про цифрову операційну стійкість (DORA) як частину цифрового фінансового пакету (DFP). Мета полягає в тому, щоб допомогти фінансовим установам розібратися зі складнощами криптовалюти
активів, технології блокчейн і цифрової операційної стійкості, а також консультування щодо оновленої стратегії роздрібних платежів. Незважаючи на переваги, які принесе DORA, для багатьох компаній буде складно орієнтуватися в необхідних змінах.
Нижче наведено п’ять ключових моментів, які слід враховувати під час забезпечення дотримання закону.

 1.       Що таке DORA і чому це важливо?

 Новий закон надасть великим європейським фінансовим гравцям необхідні гарантії для пом’якшення кібератак та інших ризиків, пов’язаних з ІКТ або ІТ.

 Незабаром DORA стане обов’язковим законом для кожної з держав-членів ЄС та установ фінансових послуг, які діють у них. Чому це має значення для Великобританії?

 Хоча Великобританія більше не є членом ЄС, вона залишається одним із основних європейських фінансових центрів. Організації фінансових послуг Великобританії, які працюють на європейському ринку – приватні чи державні – діючи в ЄС, незабаром повинні будуть дотримуватися цих
правил, що робить DORA важливим елементом будь-якої ділової практики Великобританії.

 2.       Законодавча вага ДОРА

 Серйозна законодавча вага, яку несе цей новий європейський акт, є ще однією важливою причиною, чому фінансові організації Великобританії повинні почати думати про відповідність. Управління фінансових послуг кожної європейської країни візьме на себе роль контролю за відповідністю
здійснювати нагляд і забезпечувати дотримання регулювання, якщо це необхідно. На ті установи, які не дотримуються нових правил, будуть накладені значні штрафи, що призведе до падіння прибутку та потенційної шкоди репутації.

 Це означає, що провідний контролер може накласти значні штрафи за невиконання. Ці значні штрафні санкції матимуть форму періодичної штрафної виплати в розмірі 1% від середньодобового глобального обороту організації в попередньому бізнесі
рік. Це застосовуватиметься провідним контролером щодня до досягнення відповідності протягом не більше шести місяців.

 3.       Зрозумійте свій стан уразливості

 Коли йдеться про кіберризики та стійкість, одного лише «кіберстрахування» просто недостатньо – постійна інформація про стан ризику також є життєво важливою. Повсюдне поширення технологій у діяльності сучасного бізнесу та їх підключення поширюється на стандарт
фізичні технологічні ресурси, які використовуються в повсякденних операціях: від ІКТ, банкоматів, ноутбуків, камер конференц-залів до всіх віртуальних доменів хмари, на місці, ШІ та квантових інновацій.

 Закон допомагає зацікавленим сторонам і особам, які приймають рішення, глибше зрозуміти внутрішній стан ризиків і вразливості їхніх компаній. У своєму останньому

звіт про стійкість бізнесу, Уряд Великобританії підтвердив, що розрив у страховому захисті залишається високим, що стосується кібернетичної інформації – «90% усіх кіберзбитків залишаються незастрахованими».

 DORA допоможе фінансовим установам Сполученого Королівства подолати ширшу проблему надання зацікавленим сторонам і відповідальним особам, які приймають рішення, правильної видимості критичних активів і стану активів, які визначають надійність і ефективність
їхні послуги.

 4.       Що підпадає під дію Закону?

 Після завершення Закон буде застосовуватися до широкого кола фінансових установ, включаючи кредитні установи, установи електронних грошей, інвестиційні фірми, страхові компанії та компанії з перестрахування. Але це не лише фінансові установи
які зазнають впливу. Відповідно до DORA «критичні сторонні постачальники ІКТ» (CTPP), включаючи постачальників хмарних послуг (CSP), підпадають під нормативний периметр загальноєвропейських стандартів для тестування цифрової операційної стійкості.

 Іншим елементом новизни є стандартизація керівних принципів управління ризиками ІКТ, класифікації інцидентів і звітності в секторах фінансових послуг. Узгодження цих найважливіших активів відкриває двері фінансовим установам для утвердження
в безпечних кордонах єдиного центру ЄС проти кіберзагроз.

 Будь-які суб’єкти Великобританії, які працюють на європейському фінансовому ринку, повинні будуть дотримуватися Закону як фундаментальної прерогативи для відстоювання видимості на ринку та як засобу легітимності для початку партнерства на ньому.

 5.       Спеціальні інструменти, які допоможуть вам створити план DORA

 Деякі організації все ще використовують ручні процеси та електронні таблиці для фіксації, керування та звітування про корпоративну відповідність, управління ризиками та нормативні зміни в бізнесі. Ці статичні електронні таблиці швидко розпадаються, коли справа доходить до керування та відстеження
всі комплексні заходи з управління, ризиків і відповідності в організації.

 Установи повинні забезпечити сувору відповідність вимогам DORA, і, отже, може знадобитися адекватна допомога спеціалізованих ІТ-інструментів, здатних допомогти в пошуку, документуванні, управлінні та класифікації активів, одночасно оцінюючи рівні ризику активів, що підпадають під
сфера застосування.

 Спеціалізовані платформи безпеки можуть бути найбільш економічно ефективним рішенням для вирішення цих проблем, дотримуючись при цьому фінансового ландшафту, що розвивається. Ці спеціалізовані платформи допомагають ідентифікувати нові типи кінцевих точок (наприклад, камери конференц-залу)
і може взаємодіяти з існуючими інструментами, якщо вони є, щоб забезпечити точний реєстр активів. Основна мета цих платформ — плавно зменшити будь-які сліпі зони операційної стійкості та захистити робочу силу перед обличчям несприятливих операційних подій
шляхом передбачення, запобігання та адаптації до таких подій.

 На закінчення

 Отже, підводячи підсумок, фінансові установи повинні переконатися, що вони будуть відповідати вимогам DORA, інакше вони ризикують отримати незначні періодичні штрафні виплати. Щоб відповідати вимогам, організаціям необхідно ідентифікувати всі наявні активи
ризик для ключових процесів. Тоді організації повинні розуміти рівень ризику, який представляє кожен актив, щоб забезпечити врахування заходів пом’якшення. На ринку є спеціальні інструменти, які можуть допомогти організаціям знаходити, документувати, керувати та класифікувати
їхні активи. Зверніться до ІТ-фахівця, щоб дізнатися, як вони можуть допомогти вашій організації з усім цим.