11 травня 2022 року Європейський Союз (ЄС) досяг попередньої згоди щодо нового Закону про цифрову операційну стійкість (DORA). Незважаючи на формулювання, у DORA немає нічого "проміжного". Насправді одне з наймасштабніших у світі правил кібербезпеки для фінансових послуг і їх ланцюгів поставок майже завершено.
Все, що залишилося до офіційного прийняття, яке очікується десь у жовтні цього року, включає в себе кілька технічних змін і переклад на 24 офіційні мови держав-членів ЄС.
DORA представляє відповідь ЄС на кількість кібератак на фінансові установи, що постійно зростає. Його розроблено для посилення безпеки фінансових компаній ЄС, таких як банки, страхові компанії, інвестиційні компанії тощо, шляхом встановлення вимог щодо стійкості та регулювання ланцюжка поставок. Але, як я зазначив в ан попередній пост, принципи DORA виходять далеко за межі ЄС та його фінансового сектора.
Уніфіковані вимоги DORA щодо безпеки мережевих та інформаційних систем охоплюють не лише підприємства у фінансовому секторі, але й критично важливих сторонніх постачальників, які надають фінансовому сектору послуги, пов’язані з інформаційними та комунікаційними технологіями, наприклад хмарні платформи та аналіз даних.
Дійсно, охоплення DORA поширюється практично на будь-яке підприємство, що пропонує послуги інформаційно-комунікаційних технологій (ІКТ), які вважаються критично важливими для ланцюжка постачання, що підтримує європейський фінансовий сектор, незалежно від того, чи розташоване це підприємство чи послуга в ЄС. Насправді, відповідно до DORA, складність ланцюжка постачання або відсутність присутності в ЄС вважаються факторами ризику.
Обов'язковість нових перспектив регулювання
DORA унікальна тим, що пропонує новий і інший рівень регулятивного контролю для широкого кола глобальних підприємств. Вимоги DORA Мандат — не просто запропонувати — дотримання його положень. Не менш важливо, що вплив цього нового рівня регулятивного контролю залежить від точки зору підприємства.
Фінансові установи, які звикли до регуляторного середовища, призначеного в першу чергу для оцінки фінансового ризику та стабільності, тепер повинні будуть так само серйозно ставитися до потенційного ризику, пов’язаного з їх операціями з ІКТ. Фінансові установи звикли розглядати ризик у формі вимог до капіталу. DORA використовує інший підхід, встановлюючи конкретну поведінку та вимоги, засновані на продуктивності. З точки зору фінансових установ, таке підвищення ризику має наслідки для багатьох аспектів їхнього бізнесу, наприклад, як вони споживають технології та як вони трансформують свій бізнес шляхом переходу на нові технології, такі як хмарні обчислення. Це включає в себе загальні стратегії та можливості управління ризиками, безпеку ланцюга постачання, організаційний персонал і політику для забезпечення належної оцінки ризиків ІКТ та відповідності.
DORA також змінює нормативну точку зору організацій ІКТ. Дотепер вони регулювалися в основному щодо питань, пов’язаних з даними, таких як конфіденційність даних і сповіщення про порушення даних, на основі занепокоєння щодо особистих даних і політичних цілей, таких як цифровий суверенітет. Спадають на думку новаторські правила, такі як Загальний регламент захисту даних (GDPR) у Європі та нещодавній Каліфорнійський закон про конфіденційність споживачів (CCPA) у Сполучених Штатах.
ІКТ-організації також можуть мати інші нормативні зобов’язання щодо безпеки або класифікуватися як критична інфраструктура залежно від того, де вони розташовані, наприклад, відповідно до Директива про мережеву та інформаційну безпеку (NIS) в Європі, Закон про кібербезпеку 2018 року в Сінгапурі, або галузеве законодавство для спеціалізованих галузей, таких як телекомунікації в Сполучених Штатах.
Тепер, якщо ІКТ-компанії обслуговують фінансові установи в ЄС, вони, швидше за все, також підпадають під DORA. Таким чином, на додаток до їхніх попередніх регуляторних рамок, ті постачальники ІКТ, визначені як пропонуючі критично важливі послуги, раптово будуть регулюватися DORA таким чином, що створюється враження, ніби вони стають Розширення фінансових установ ЄС, які вони обслуговують. Незалежно від того, як хтось на це дивиться, це кардинальна зміна — як для фінансових установ, так і для постачальників ІКТ.
Але це ще не все. DORA змінює перспективу регуляторної системи ЄС. Регулятори, які є експертами з відповідності фінансових установ, тепер повинні розширити свою сферу діяльності, щоб включити постачальників ІКТ, які пропонують важливі послуги, такі як хмарні постачальники, служби аналітики даних та інші нефінансові підприємства. У країнах зі складною регулятивною структурою також виникне потреба у співпраці з іншими органами, яким доручено регулювати ці додаткові типи нефінансових галузей.
Зустріч із викликами
DORA вимагає від фінансових установ ЄС оцінити свою власну кібербезпеку та зрілість управління ризиками. Розуміння ефективності ризиків у ланцюзі поставок і управління ними буде центральною частиною цих зусиль.
Загалом фінансові установи вправно проводять стрес-тести для визначення безпеки та фінансової стабільності. Це інший виклик – поширити такі тести на інші організації. Отже, для фінансового сектору ЄС найбільшою загадкою є те, як керувати постачальниками, управлінням ризиками та операційними можливостями у все більш складному та розширеному ланцюжку поставок.
Наприклад, головний офіс фінансової установи може бути в Європі, але всі її допоміжні заходи передані компаніям, що базуються в Індії. Технічно ці служби підтримки можуть не бути фінансовими установами. Але DORA вимагатиме від фінансової установи оцінити, чи є постачальник критично важливим для її операцій, і застосувати відповідні вимоги DORA до цих відносин.
Для підприємств, які не знаходяться в ЄС, ключовим питанням є юрисдикція та доступ до ринку. Це не стосується фінансових установ або постачальників ІКТ, які працюють за межами ЄС. Але якщо підприємство є фінансовою установою чи постачальником ІКТ-послуг, що обслуговує фінансовий сектор ЄС у будь-який спосіб, воно, швидше за все, підпадає під дію DORA — прямо чи опосередковано.
Зворотний відлік до 2024 року
Якщо в остаточному тексті нічого не зміниться, DORA набуде чинності через 24 місяці після офіційного прийняття. Реально, це, ймовірно, буде десь ближче до кінця 2024 року. Хороша новина полягає в тому, що це дає достатньо часу для організацій, щоб підготуватися до відповідності. Найважливіше те, що він не надто довгий для включення в типовий бюджетний цикл підприємства.
Але перш ніж цей термін підкрадеться до вас, почніть готуватися зараз. Ось п’ять ключових кроків:
- Використовуйте час до 2024 року з розумом.
- Зрозумійте, де ви знаходитесь. Шукайте, знаходьте та визначайте свої прогалини у відповідності.
- Визначте, що вам потрібно для усунення недоліків.
- Навчайте та отримайте підтримку від вищого керівництва.
- Бюджет на 24 місяці.
Годинник тикає.
