Головна > Коментарі
17 квітня 2026, 17:28

Ключові вимоги та новели DORA у сфері цифрової операційної стійкості фінансових установ

Ірина Стародуб
Ірина Стародуб Founder of Nika Tech LLС


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!

Фінансовий сектор традиційно належить до найбільш привабливих мішеней для кіберзлочинців. Банки, страхові компанії, платіжні установи та інші учасники ринку щоденно працюють зі значними масивами чутливих даних і фінансових операцій. У таких умовах будь-який суттєвий інцидент — від DDoS-атаки до відмови критично важливого хмарного сервісу — може спричинити істотні фінансові втрати та негативно вплинути на довіру клієнтів і стабільність ринку загалом.

До прийняття DORA (Digital Operational Resilience Act, Регламент (ЄС) 2022/2554) регулювання у сфері інформаційної безпеки у фінансовому секторі ЄС залишалося фрагментованим. Держави-члени застосовували різні підходи, тоді як акти наднаціонального рівня, зокрема PSD2 чи GDPR, охоплювали лише окремі аспекти цієї проблематики. DORA запровадив єдину нормативну рамку цифрової операційної стійкості для фінансового сектору Європейського Союзу.

Регламент було ухвалено у грудні 2022 року, а застосовується він з 17 січня 2025 року. Його основне призначення полягає в тому, щоб забезпечити здатність фінансових організацій та їхніх постачальників ІКТ-послуг витримувати кібератаки, технічні збої та інші ІТ-ризики, оперативно відновлювати функціонування і нести належну відповідальність за порушення стійкості цифрової інфраструктури.

Суб’єкти, на яких поширюється дія DORA

DORA характеризується широкою сферою застосування. Регламент охоплює понад двадцять категорій учасників фінансового ринку, серед яких:

  • банки та інші кредитні установи;

  • страхові компанії;

  • інвестиційні фірми та оператори ринків;

  • постачальники платіжних послуг та установи електронних грошей;

  • постачальники послуг, пов’язаних із криптоактивами, а також оператори відповідних торговельних платформ;

  • центральні депозитарії та клірингові установи;

  • аудитори, рейтингові агентства та постачальники критично важливих фінансових даних.

Окрему увагу в Регламенті приділено постачальникам ІКТ-послуг, які забезпечують діяльність фінансових установ. Якщо раніше такі суб’єкти здебільшого залишалися поза межами прямого регуляторного контролю, то DORA формує для них спеціальний режим нагляду. Отже, дія Регламенту поширюється не лише на традиційні фінансові організації, а й на весь цифровий ланцюг постачання, від якого залежить функціонування фінансового сектору.

Основні вимоги та новели DORA

Конструкція DORA ґрунтується на п’яти базових елементах.

1. Управління ІКТ-ризиками

Кожна фінансова установа повинна впровадити комплексну систему управління ІКТ-ризиками. Така система має включати:

  • політики у сфері кібербезпеки та управління ризиками; 

  • процедури резервування і відновлення після інцидентів; 

  • плани забезпечення безперервності діяльності; 

  • механізми внутрішнього та зовнішнього аудиту; 

  • інструменти моніторингу нових і потенційних загроз. 

Попри зовнішню простоту цієї вимоги, на практиці її виконання передбачає суттєве переглядання внутрішньої організаційної та процесної моделі компанії: від оновлення внутрішніх політик і процедур до визначення нових ролей та центрів відповідальності у сфері цифрової стійкості.

2. Повідомлення про інциденти

Однією з ключових новел DORA є впровадження уніфікованої моделі звітування про серйозні ІКТ-інциденти. Регламент передбачає, що:

  • про кожен серйозний інцидент необхідно повідомляти компетентний національний орган; 

  • строки та форма такого повідомлення є уніфікованими для всіх учасників ринку; 

  • інформація подається у стандартизованому вигляді, придатному для подальшого агрегування та аналізу на рівні ЄС. 

Такий підхід створює передумови для формування системи раннього попередження та більш ефективного виявлення масштабних кіберзагроз.

3. Тестування цифрової операційної стійкості

DORA встановлює обов’язок регулярної перевірки стійкості компаній до кіберзагроз та ІКТ-збоїв. До мінімального набору заходів належать:

  • внутрішнє технічне тестування, зокрема penetration testing та vulnerability scanning; 

  • моделювання кризових ситуацій і проведення table-top exercises; 

  • для окремих системно важливих установ — Threat-Led Penetration Testing (TLPT), тобто тестування, побудоване на сценаріях, максимально наближених до реальних атак. 

Для великих банків та інших значущих фінансових установ це фактично означає необхідність системної побудови внутрішньої або зовнішньої моделі перевірки захищеності, здатної імітувати реальну поведінку порушника.

4. Контроль за постачальниками ІКТ-послуг

Одним із найбільш значущих елементів DORA є посилення вимог до взаємодії з ІКТ-постачальниками. Фінансові установи більше не можуть обмежуватися формальним покладанням на добросовісність контрагента. Відтепер вони мають:

  • укладати договори з чітко визначеними SLA, вимогами безпеки та правом на аудит; 

  • регулярно оцінювати ризики надмірної залежності від конкретного постачальника; 

  • передбачати реалістичні механізми exit strategy, які дозволять перейти до іншого провайдера без критичних збоїв; 

  • інформувати регуляторів про використання критично важливих постачальників. 

Для критичних ІКТ-провайдерів, зокрема великих хмарних сервісів, DORA передбачає окремий режим європейського нагляду.

5. Обмін інформацією

Регламент також стимулює розвиток механізмів обміну інформацією між фінансовими установами щодо актуальних кіберзагроз. Ідея полягає у швидкому поширенні відомостей про нові типи атак, індикатори компрометації та тактики зловмисників з метою підвищення загального рівня стійкості фінансового сектору.

Практичні наслідки для бізнесу

Запровадження DORA істотно впливає на щоденну діяльність фінансових компаній у кількох вимірах.

По-перше, йдеться про організаційні зміни. Компанії змушені інтегрувати ІКТ-ризики у систему корпоративного управління, визначати відповідальних осіб і формувати нові функції, пов’язані з цифровою стійкістю.

По-друге, зростає фінансове навантаження. Витрати на аудит, тестування, перегляд процесів і оновлення контрактної бази з ІКТ-постачальниками неминуче збільшуються.

По-третє, посилюються юридичні обов’язки. Договори з постачальниками ІКТ-послуг мають бути адаптовані до нових нормативних вимог, що стосуються безпеки, контролю, субаутсорсингу та виходу з відносин.

По-четверте, підвищуються санкційні ризики. Невиконання вимог DORA може мати наслідком не лише штрафи, а й обмеження у здійсненні діяльності.

Разом із цим належне впровадження DORA може стати і конкурентною перевагою, оскільки демонструє клієнтам, контрагентам та регуляторам високий рівень надійності компанії.

Співвідношення DORA з іншими актами ЄС

DORA не функціонує ізольовано, а взаємодіє з іншими нормативними актами ЄС, що регулюють суміжні питання.

Передусім це стосується GDPR. Якщо ІКТ-інцидент одночасно зачіпає персональні дані, виникають паралельні обов’язки щодо повідомлення наглядового органу, а в окремих випадках — і суб’єктів даних. Отже, DORA не підміняє GDPR, а доповнює його в частині вимог до технічної та організаційної готовності фінансових установ.

Крім того, важливим є співвідношення DORA з NIS2. У сфері кібербезпеки фінансового сектору DORA слід розглядати як спеціальне регулювання, тобто як lex specialis, порівняно із загальнішими підходами NIS2.

Також DORA взаємодіє з іншими секторальними актами, такими як MiCA, PSD2 та низка профільних регуляторних режимів. У цьому сенсі він не скасовує чинних правил, а створює надбудову, що фокусується саме на цифровій операційній стійкості.

Що має зробити бізнес для досягнення відповідності

Для приведення діяльності у відповідність до DORA компаніям доцільно насамперед:

  • провести gap assessment та визначити прогалини між чинними процесами і новими регуляторними вимогами; 

  • оновити політики кібербезпеки, зокрема інцидент-менеджмент та плани безперервності діяльності; 

  • побудувати внутрішню систему повідомлення про інциденти та визначити відповідальних осіб; 

  • запровадити регулярне тестування стійкості, включаючи технічні та організаційні перевірки; 

  • переглянути договори з ІКТ-провайдерами, зокрема щодо SLA, аудиту, безпеки та exit strategy; 

  • забезпечити належну підготовку персоналу за допомогою навчань та програм підвищення обізнаності. 

Контроль за виконанням і санкції

DORA формує новий рівень регуляторного контролю у сфері цифрової стійкості.

За нагляд за дотриманням Регламенту відповідають національні компетентні органи держав-членів ЄС. Щодо критичних ІКТ-постачальників діє окремий європейський механізм нагляду, який координується трьома європейськими наглядовими органами — EBA, ESMA та EIOPA.

Серед можливих заходів впливу:

  • штрафи для критичних ІКТ-постачальників; 

  • обмеження надання послуг; 

  • застосування заходів впливу до фінансових установ, включаючи наслідки для здійснення ними ліцензованої діяльності. 

Отже, недотримання вимог DORA може мати для бізнесу не лише фінансові, а й суттєві репутаційні та операційні наслідки.

Як забезпечити реальну відповідність DORA

Виконання DORA не зводиться до разового комплаєнс-проєкту. Йдеться про побудову стабільної та доказової системи управління цифровою операційною стійкістю. На практиці це передбачає наявність таких елементів.

Стратегія та управління. Керівний орган має бути залучений до нагляду за ІКТ-ризиками, а внутрішні політики — формалізовані, узгоджені та підкріплені чітким розподілом відповідальності.

Оцінка і контроль ІКТ-ризиків. Компанія повинна регулярно ідентифікувати критичні функції, оцінювати ризики та впроваджувати засоби контролю, співмірні масштабу та складності діяльності.

Готовність до інцидентів. Необхідними є процедури класифікації подій, механізми ескалації, внутрішні канали взаємодії та здатність своєчасно повідомляти регуляторів і, за потреби, клієнтів.

Перевірка стійкості. Тести мають підтверджувати не лише формальну наявність політик, а й фактичну працездатність механізмів резервування, відновлення та реагування.

Управління ІКТ-постачальниками. Потрібні системний облік договорів і залежностей, контроль субаутсорсингу, належні умови безпеки в контрактах і реалістичні сценарії виходу з відносин із провайдерами.

Документування і доказовість. Компанія має накопичувати журнали, звіти, метрики, результати навчань і тестувань, які підтверджують, що відповідні процеси реально функціонують.

Культура і навчання. Підвищення обізнаності працівників та керівництва повинно мати регулярний, а не епізодичний характер, включаючи відпрацювання кризових сценаріїв.

Безперервне вдосконалення. Підходи до цифрової стійкості мають переглядатися з урахуванням змін у бізнес-моделі, технологічному середовищі та регуляторних очікуваннях.

Висновки

DORA є одним із найважливіших актів ЄС у сфері цифрової операційної стійкості фінансового сектору. Його значення полягає не лише у встановленні нових технічних чи організаційних вимог, а й у зміні самого підходу до ІКТ-ризиків: від фрагментарного реагування на окремі загрози — до побудови цілісної системи управління стійкістю.

Для фінансових установ та їхніх ІКТ-постачальників DORA означає необхідність перегляду внутрішніх процесів, контрактної моделі, систем тестування, управління інцидентами та корпоративного контролю. Водночас належне виконання вимог Регламенту може розглядатися не лише як регуляторний обов’язок, а і як інструмент зміцнення довіри до учасників фінансового ринку в умовах зростання кіберризиків.

 

Підписуйтесь на "Юридичну Газету" в FacebookTwitterTelegramLinkedin та YouTube.


0
0

Додати коментар

Авторизуйтесь
Зареєструйтесь
Відмінити Опублікувати