В епохата на технологиите киберсигурността във финансовата сфера е на дневен ред. С нарастването на цифровите рискове, политиците се активизират, за да предпазят финансовите институции от киберзаплахи. Навлиза Законът за цифровата оперативна устойчивост (Digital Operational Resilience Act – DORA) – европейска директива, която променя правилата на играта. DORA е насочена към защита на мрежите и информационните системи във финансовия сектор. Въпреки че конкретното законодателство все още се разработва и ще се различава в отделните държави. Това е нещо, за което трябва да внимавате и да се подготвите.

Разбиране на DORA

DORA, или Законът за цифровата оперативна устойчивост, е европейска директива, приета от Европейския парламент с цел укрепване на киберсигурността на финансовите институции в Европейския съюз. Целта е да се повиши цифровата устойчивост на финансовия сектор.

Въпреки че финансовите рискове все още будят тревога, нарастването на цифровите заплахи промени пейзажа на сигурността. DORA надхвърля традиционните разпоредби, които се фокусират предимно върху финансовите аспекти, като например кредитните рискове и предотвратяването на измами. Вместо това тя набляга на идентифицирането и намаляването на цифровите рискове в областта на ИКТ (информационните и комуникационните технологии). Чрез прилагането на DORA финансовите организации от всякакъв мащаб, включително големите банки и критичните доставчици в сектора, ще бъдат задължени да спазват строги мерки за киберсигурност. Тази директива гарантира, че тези институции са по-добре подготвени да се борят ефективно с киберзаплахите, като опазват целостта и стабилността на финансовата система. Цялостният подход на DORA към цифровата устойчивост подчертава значението на киберсигурността в днешния все по-взаимосвързан и технологичен финансов пейзаж.

Основни компоненти на DORA

• Рамка за управление на риска в областта на ИКТ: DORA изисква от финансовите институции да създадат стабилна рамка за управление на риска в областта на ИКТ. Тази рамка служи като основа за ефективно идентифициране, оценяване и намаляване на цифровите рискове.
• Процес на реагиране при инциденти: С усложняването на киберзаплахите, усъвършенстваният процес за реагиране на инциденти е от решаващо значение. DORA задължава финансовите организации да разполагат с добре дефиниран план за реагиране на инциденти, който да гарантира бързото идентифициране и докладване на инциденти със сигурността.
• Тестване на сигурността: DORA въвежда по-чести и задължителни тестове за сигурност, включително тестове за проникване под въздействието на заплахи (TLPT). Тези тестове помагат да се идентифицират уязвимостите и слабостите в мрежата и информационните системи, което позволява на организациите да се справят активно с потенциалните киберзаплахи.
• Картографиране на риска от трети страни: Критичните доставчици за финансовия сектор също трябва да спазват изискванията на DORA. Финансовите институции трябва да картографират рисковете от трети страни и да гарантират, че доставчиците отговарят на необходимите стандарти за киберсигурност.
• Споделяне на разузнавателна информация за заплахите: DORA задължава финансовите организации да споделят разузнавателна информация за заплахите. Това насърчава международното сътрудничество и помага на сектора да остане бдителен срещу възникващи киберзаплахи.

Срокове за спазване на изискванията и санкции

Регламентът DORA стартира на 16 януари. Крайният срок за постигане на съответствие с DORA е определен за 1 януари 2025 г. Срокът между стартирането и спазването на изискванията дава на институциите време да се подготвят и да приведат киберсигурността си в съответствие с директивата.

Важно е да се отбележи, че спазването на DORA не е по избор. Регулаторните органи, обикновено централните банки на държавите – членки на ЕС, притежават правомощието да налагат санкции на институциите, които не спазват изискванията. Санкциите за неспазване на изискванията могат да бъдат строги, като организациите могат да бъдат заплашени от глоби в размер до 1% от техния среднодневен оборот за всеки ден, в който не спазват насоките. Максималната санкция, която може да бъде наложена, е шест месеца. Призоваваме финансовите институции да предприемат необходимите стъпки, за да гарантират, че отговарят на изискванията, посочени в DORA, тъй като неспазването им може да доведе до значителни финансови щети и щети за репутацията. Чрез проактивно прилагане на надеждни мерки за киберсигурност организациите могат да обезпечат своите операции и да защитят чувствителните данни на своите клиенти.

Предизвикателства и възможности

Прилагането на DORA, новата рамка за киберсигурност за финансовия сектор, бележи важен етап в опазването на чувствителната финансова информация. Важно е обаче да се признаят предизвикателствата, които идват с тази нова рамка. По-малките финансови институции, които често разполагат с ограничени ресурси в сравнение с по-големите си колеги, може да се затруднят да изпълнят строгите изисквания, определени от DORA. Това потенциално може да доведе до увеличаване на различията в киберсигурността между по-големите и по-малките институции.

Въпреки това тези предизвикателства предоставят и възможности за растеж и подобрение. По-малките финансови организации могат да се възползват от този момент, за да приоритизират инвестициите в киберсигурността и да повишат цялостната си устойчивост срещу киберзаплахи. Като се съобразят с директивите на DORA, тези институции могат да демонстрират своя ангажимент за защита на данните на клиентите и да допринесат за по-безопасна цифрова екосистема. Прилагането на DORA може да послужи като катализатор за сътрудничество и обмен на знания в рамките на финансовия сектор. Финансовите организации, независимо от техния размер, могат да се обединят, за да обменят най-добри практики, да споделят ресурси и колективно да се справят с развиващия се пейзаж на киберсигурността.

В заключение, макар че DORA поставя предизвикателства пред по-малките финансови институции, тя предлага и възможности за растеж, усъвършенстване и сътрудничество. Като инвестират в мерки за киберсигурност и възприемат насоките на рамката, финансовите организации могат да засилят защитата си и да допринесат за по-сигурна финансова индустрия.