Готови ли са финансовите институции у нас за изискванията на DORA.
Милиони евро глоби заплашват финансови институции, които не гарантират цифровата си устойчивост. Внедряването на регулаторната рамка за дигиталната оперативна устойчивост на информационните и телекомуникационни технологии във финансовия сектор е необходимо да бъде извършено до 17 януари 2025 година. Остават около 4 месеца. За това предупреждава финансистът Любомир Каримански. За пореден път ли ще чакаме да стане 12 без пет, за да изпълним европейски закон?
Законът за цифрова оперативна устойчивост (DORA) е регламент на Европейския съюз, който влезе в сила на 16 януари 2023 г. и ще се прилага от посочената по-горе дата. Той има за цел да засили ИТ-сигурността на банки, застрахователни компании и инвестиционни посредници и да гарантира, че финансовият сектор в Европа е в състояние да остане устойчив и при сериозно смущение в работата.
Това пише в сайта на Европейския орган за застраховане и професионално пенсионно осигуряване (EIOPA). Също там се отбелязва, че законът хармонизира правилата, свързани с оперативната устойчивост за финансовия сектор, приложими към 20 различни вида финансови институции и доставчици на ИКТ-услуги от трети страни.
Какво би станало, ако субектите на DORA не са в съответствие със законовата рамка? Ще има ли санкции от Европейските надзорни органи (ЕНО)?
Нормативът установява строги финансови санкции за нарушения на неговите изисквания. ЕНО имат правомощието да налагат глоби за неспазване. Фирмите, които ги нарушават, са изправени пред глоби до два процента от общия си годишен оборот в световен мащаб или до 1% от средния дневен оборот на компанията. Физическо лице пък може да бъде глобено до 1 млн. евро.
Доставчиците от трети страни, определени като критични от ЕНО, ги грозят при неспазване още по-високи санкции – до 5 млн. евро, а за физически лица – до 500 000 евро.
Съответно органите за налагане на санкции са Европейският банков орган (EBA), Европейският орган за застраховане и професионално пенсионно осигуряване (EIOPA) и Европейският орган за ценни книжа и пазари (ESMA)). Те имат необходимите надзорни и разследващи правомощия и възможността да публикуват съобщения за административни наказания, гарантирайки прозрачност и отчетност.
Впрочем, защо е толкова необходима DORA?
Финансовият сектор е все по-зависим от технологиите и от технологичните компании за предоставяне на финансови услуги. Това го прави уязвим на кибератаки или инциденти.
Когато не се управляват правилно, рисковете могат да доведат до прекъсване на финансовите услуги, предлагани през границите. Това от своя страна може да окаже въздействие върху други компании, сектори и дори върху останалата част от икономиката.
Петте области, в които DORA налага нови изисквания
- Управление на риска при ИКТ на финансови субекти. Изискването включва оценка на риска, разработване на стратегия за непрекъснат мониторинг и подходящи политики за управление на риска.
- Задължения за докладване на ИКТ-инциденти. Компаниите трябва да следват стриктни процедури за докладване на инциденти пред регулатора, както и да събират и съхраняват информация за всички ИКТ-инциденти и значителни киберзаплахи.
- Тестване на цифровата експлоатационна стабилност. Финансовите компании трябва да тестват своята оперативна безопасност и да провеждат регулярни тестове за проникване, извършени от външни независими доставчици на ИТ-услуги.
- Европейска рамка за мониторинг на доставчици на услуги от трети страни в областта на ИКТ. Отношенията с тези доставчици е необходимо да се наблюдават и контролират, за да се гарантира, че услугите, които предоставят, отговарят на изискванията на DORA.
- Споделяне на информация. Насърчава се обменът на информация по отношение на киберзаплахите между финансовите организации.