Европейските финансови институции навлизат във фаза на принудително узряване

Четиринадесет месеца след влизането в сила на Digital Operational Resilience Act (DORA) на 17 януари 2025 г., европейският финансов сектор се изправя пред сурова реалност – регулацията не просто задава правила, а изисква дълбока трансформация. Вместо плавен преход към нов модел на управление на риска, DORA разкрива значителни структурни слабости в повечето организации.

Данните са категорични. Проучване на McKinsey & Company показва, че едва около една трета от големите финансови институции са били уверени в способността си да постигнат пълно съответствие до крайния срок през януари 2025 г. Анализ на Deloitte допълва картината – само 50% очакват пълно съответствие до края на 2025 г., а 38% отлагат за 2026 г.

Още по-притеснително – 46% от организациите определят Регистъра на информационните активи (Register of Information) като най-трудното изискване.

Какво реално изисква DORA

DORA далеч надхвърля традиционните регулации. Обхватът ѝ включва:

• банки и застрахователи
• платежни институции
• доставчици на електронни пари
• крипто платформи
• инвестиционни посредници
• ICT доставчици

Според европейските надзорни органи над 22 000 финансови субекта попадат в обхвата.

Регулацията се базира на пет ключови стълба:

• Управление на ICT риска
• Докладване на инциденти
• Тестване на оперативна устойчивост (вкл. TLPT)
• Управление на трети страни
• Споделяне на информация

Ключовата разлика спрямо предходни режими е фундаментална:
DORA не е еднократен одит, а изисква непрекъснато доказване на устойчивост.

Март 2026: Тестът с Register of Information

Най-сериозното краткосрочно предизвикателство е вторият цикъл на подаване на Register of Information (RoI).

Съгласно член 28:

• всички ICT договори трябва да бъдат документирани
• референтната дата е 31 декември 2025 г.
• подаването се извършва до националните регулатори, а след това към европейските органи

Основни проблеми от първия цикъл:

• липса на централизирана видимост върху доставчиците
• разпокъсани договори в различни бизнес звена
• непълни или неточни данни
• несъответствие с таксономиите на регулаторите

За организации със стотици или хиляди доставчици, ръчното управление на този процес е практически невъзможно.

19 критични доставчика под директен надзор

През ноември 2025 г. европейските надзорни органи идентифицират 19 критични ICT доставчици (CTPPs), включително:

• Amazon Web Services
• Google Cloud
• Microsoft
• Oracle
• SAP
• Deutsche Telekom

Тези доставчици вече са обект на:

• директни проверки
• годишни оценки на риска
• изисквания за отчетност
• on-site инспекции

Ефектът за финансовите институции:

Зависимостта от един cloud доставчик вече е регулаторен риск.

Организациите трябва да:

• картографират критичните услуги
• докажат устойчивост при срив
• изградят алтернативни сценарии

TLPT: Киберсигурността влиза в реални бойни условия

DORA прави Threat-Led Penetration Testing (TLPT) задължително за значими институции.

Характеристики:

• провежда се на всеки 3 години
• базира се на реални заплахи
• използва външни екипи
• тества реални продукционни системи

Това не е стандартен pentest, а симулация на истинска атака без знанието на защитните екипи.

Резултатът:

• висока цена
• сериозна организационна сложност
• нови оперативни рискове

Цената на съответствието

DORA не е евтин проект:

• 2–5 млн. евро среден бюджет
• 70% очакват трайно увеличение на разходите
• ~40% поддържат екипи от над 7 души само за DORA

Но цената на несъответствието е по-висока:

• до 2% от глобалния оборот
• до 1 млн. евро лични санкции
• ежедневни глоби до 1% от дневния оборот
• възможно отнемане на лиценз

Автоматизацията: от опция към необходимост

Ръчното управление на съответствието вече не работи.

Затова се наблюдава ръст на решения за автоматизация, включително:

• Drata
• Vanta
• Secureframe
• Copla

Тези платформи позволяват:

• централизиране на доказателства
• автоматично картографиране на контроли
• управление на RoI
• непрекъснат мониторинг

Основният извод – DORA не може да се управлява със spreadsheet-и.

Какво предстои

Регулацията ще продължи да се развива:

• годишни актуализации на списъка със CTPP
• нови технически стандарти
• по-строг надзор върху cloud зависимостите

След първия пълен цикъл на RoI, регулаторите ще разполагат с безпрецедентна видимост върху концентрационния риск в Европа.

DORA като оперативна способност, не като проект

Първите 14 месеца показват ясно:

DORA не е регулаторно упражнение с краен срок.
Това е постоянен оперативен модел.

Организациите, които:

• инвестират в автоматизация
• изграждат реална видимост върху ICT риска
• интегрират устойчивостта в ежедневните процеси

ще бъдат не само съвместими, но и по-устойчиви на реални кризи.

Останалите ще продължат да наваксват – под натиска на регулатори, разходи и нарастващи киберрискове.