DORA – Укрепление и гармонизация оперативной устойчивости в странах ЕС. 

Полную статью смотрите на https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/.

DORA ЕС неизбежна и будет иметь волновые последствия за пределами Союза. Он заменяет собой предыдущие отраслевые руководящие принципы операционной устойчивости и устраняет национальные различия, гармонизируя руководящие принципы для ключевых областей деятельности во всей финансовой сфере.
отраслевую цепочку создания стоимости для создания общей структуры во всем союзе. В этом обзоре исследуются макровоздействия DORA, обобщаются ключевые разделы полного текста DORA, чтобы определить:

1. Что такое DORA и ее 5 основных направлений?
2. Почему ДОРА важна?
3. К кому применяется DORA?
4. Соответствие DORA против несоблюдения.

Цифровые технологии имеют решающее значение для глобальных финансовых компаний и компаний на рынках капитала для поддержки сложных систем, они имеют решающее значение для выполнения типичных бизнес-функций и деятельности, приносящей доход. Цифровизация и связанная с ней взаимосвязанность
обеспечивают большую эффективность и экономию средств, но также усиливают риски информационных и коммуникационных технологий (ИКТ) и повышают уязвимость финансовой системы к киберугрозам или сбоям.

Несмотря на целенаправленную политику и законодательные инициативы на национальном уровне, Европейский Союз (ЕС) признает острую необходимость гармонизировать и укреплять оперативную устойчивость в своих государствах-членах для защиты целостности и эффективности внутренней системы.
рынок, особенно учитывая эскалацию киберугроз1 и разрушение
инцидентов2. Мнение, недавно поддержанное Liquidnet3:

«Индустрия сильна настолько, насколько сильно ее самое слабое звено […] 2024 год будет означать не только более строгий контроль со стороны регулирующих органов за соблюдением требований, рисками и контролем, а также совместимостью технологий, но и индивидуальную ответственность за обеспечение оптимального функционирования экосистемы».

Решая текущие проблемы устойчивости, ЕС принял Закон об операционной устойчивости цифровых технологий (DORA), чтобы укрепить безопасность ИКТ и операционную надежность финансовых организаций.

Что такое DORA и ее 5 основных направлений?

DORA был принят Европейским парламентом и Советом 14 декабря 2022 года, а его соответствие требуется к 17 января 2025 года. Постановление направлено на консолидацию и повышение цифровой операционной устойчивости в финансовой сфере, которая,
до этого момента рассматривались отдельно в различных правовых актах Союза через общую структуру4 для цифровой операционной устойчивости
финансовых организаций, чтобы лучше противостоять нарушениям и инцидентам в сфере ИКТ и восстанавливаться после них.

5 направлений деятельности DORA:

1. Управление рисками в сфере ИКТ.
2. Управление инцидентами, классификация и отчетность, связанные с ИКТ.
3. Тестирование цифровой операционной устойчивости.
4. Управление рисками третьих сторон в сфере ИКТ.
5. Механизмы обмена информацией.

Почему ДОРА важна?

DORA основывается на ранее существовавших отраслевых руководствах и заменяет их для преодоления неравенства, а также последовательно консолидирует рекомендации для ключевых областей по всей цепочке создания стоимости. Он уникален, поскольку вводит общую систему надзора на уровне профсоюзов.
критически важные сторонние поставщики ИКТ, назначенные Европейскими надзорными органами (ESA)5.

Поскольку финансовый сектор зависит от цифровых систем ИКТ, а также по мере роста взаимосвязанности, риски и уязвимости ИКТ будут оказывать все более разрушительное трансграничное воздействие по всему Союзу, что усиливает эффект операционных сбоев и кибербезопасности.
угрозы финансовым фирмам. DORA признает, что цифровизация теперь охватывает важнейшие финансовые функции6  такое как
платежи, клиринг ценных бумаг, алгоритмическая торговля и бэк-офисные операции. Он направлен на повышение операционной устойчивости этих функций для поддержания общей финансовой стабильности и защиты доверия потребителей на внутренних рынках. ДОРА стремится сохранить
доверие рынка, обеспечивая бесперебойное предоставление финансовых услуг даже в сложных сценариях.

К кому применяется DORA?

DORA применяется ко всем финансовым учреждениям в ЕС и сторонним поставщикам услуг ИКТ, предоставляющим услуги для их поддержки. Недавнее понимание10 адресованный
этот. Регламент ЕС DORA вводит конкретные и предписывающие требования для всех участников финансового рынка.

ДОРА – Финансовые субъекты

Чтобы соответствовать требованиям DORA, финансовые организации должны усовершенствовать методы управления рисками, связанными с ИКТ, которые включают выявление, оценку и снижение рисков, связанных с цифровыми операциями. DORA также вводит обязательства по оперативному сообщению об инцидентах в сфере ИКТ для
соответствующие органы в случае критических сбоев в работе. Кроме того, учреждения должны регулярно моделировать различные сбои, чтобы проверить операционную устойчивость и возможности восстановления.

В частности, DORA подчеркивает, что финансовые организации должны оценивать и управлять сторонними рисками ИКТ своих поставщиков услуг и обеспечивать, чтобы договорные соглашения учитывали операционную устойчивость. Это относится к концентрации риска (Статья 29 DORA).11)
и отслеживает такие инциденты, как сбой в работе OPRA12и киберпреступность, направленная против критически важных поставщиков
в финансовой цепочке поставок, как в прошлом году в результате взлома Ion Group.13 or
поставщики облачных вычислений14, где
один инцидент потенциально может повлиять на несколько финансовых организаций.

Следует отметить, что последствия перебоев не ограничиваются фирмами и конечными пользователями, а последствия потенциально могут перерасти в личные финансы, как продемонстрировал банк DBS.15 старше
в этом году.

DORA – сторонние зависимости и эксплуатационная устойчивость

Финансовые организации все чаще полагаются на сторонних поставщиков для предоставления критически важных частей своих операций и услуг, следовательно, DORA также существенно влияет на зависимости третьих сторон. К таким третьим лицам относятся поставщики облачных услуг,
поставщики данных, разработчики программного обеспечения и другие технологические партнеры. Аутсорсинг определенных функций может повысить эффективность и снизить затраты, но, как мы видели на примере Ion, это также сопряжено с новыми рисками. Власти теперь должны смотреть не только на устойчивость отдельных регулируемых
компаний и оценить более широкую операционную устойчивость сектора.

DORA подчеркивает важность надежных методов управления рисками для зависимостей третьих сторон с целью повышения общей устойчивости финансового сектора в эпоху цифровых технологий. К ним относятся:

1. Широкий спектр рисков третьих сторон в сфере ИКТ. Для повышения операционной устойчивости в секторе финансовых услуг DORA создает широкую сеть для определения риска третьих сторон в сфере ИКТ. Например, статья 3 (18) DORA.16 определяет
   Риск третьих сторон в сфере ИКТ, как и любой риск в сфере ИКТ – Статья 3 (5)17 – которые могут возникнуть у финансовой организации в результате использования предоставляемых услуг ИКТ
   сторонним поставщиком услуг, субподрядчиками или аутсорсинговыми соглашениями.
2. Практика управления рисками для сторонних поставщиков. DORA требует соответствующих методов управления рисками для сторонних поставщиков, чтобы снизить операционные риски, связанные с отношениями со сторонними организациями, и обеспечить устойчивость. Он также направлен на реализацию гармонизированного
   нормативно-правовая база для управления рисками сторонних поставщиков на территории ЕС (статья 1518).
3. Важнейшие сторонние поставщики ИКТ – DORA признает решающую роль поставщиков услуг ИКТ в сфере финансовых услуг. Если третья сторона считается критически важной, как в некоторых случаях CJC, она должна соблюдать требования DORA. Примечательно, что критически важные третьи стороны
   за пределами ЕС обязаны создать дочернюю компанию на территории ЕС – статья 31 (12)19 – хотя преамбула (82)20 ноты
   это требование «не должно препятствовать тому, чтобы сторонний поставщик критически важных услуг ИКТ предоставлял услуги ИКТ и соответствующую техническую поддержку с объектов и инфраструктуры, расположенных за пределами Союза».

Говоря об операционной устойчивости и соответствии требованиям DORA, Джина Ви, директор по информационным технологиям CJC, сказала: «От внедрения надежного шифрования и строгого контроля доступа до проведения регулярных проверок CJC поддерживает высокий уровень соответствия для обеспечения безопасности данных.
безопасность. В сочетании с упреждающим планированием, адаптивными процедурами и культурой постоянного совершенствования мы обеспечиваем бесперебойное обслуживание наших клиентов. Мы надеемся, что наша приверженность информационной безопасности, операционной устойчивости и подотчетности обеспечит нам
душевное спокойствие и уверенность клиентов в наших управляемых услугах».

Соответствие DORA и несоблюдение требований

Риск несоблюдения

Несоблюдение требований DORA может привести к репутационному ущербу, финансовым потерям и штрафам со стороны регулирующих органов. Фирмы, которые не соблюдают требования DORA, рискуют перебоями в работе, недовольством клиентов и потенциальными юридическими последствиями.

Соответствие DORA – 3 соображения и лучшие практики

Чтобы соответствовать требованиям DORA, финансовые учреждения должны всесторонне сопоставить существующие зависимости от третьих сторон и привлечь внимание к услугам сторонних функций для выявления критических зависимостей. Шаг 2 оценивает устойчивость сопоставленных зависимостей.
оценить операционные возможности своего поставщика услуг, меры безопасности и планы аварийного восстановления. Наконец, договорные соглашения с третьими сторонами должны конкретно учитывать требования операционной устойчивости. Сюда входят положения на случай инцидентов
отчетность, непрерывность бизнеса и время восстановления.

Чтобы оставаться в соответствии с требованиями, финансовые учреждения могут предпринять несколько шагов по внедрению лучших практик для обеспечения постоянного соблюдения требований DORA. К ним относятся:

1. Комплексная проверка. При выборе сторонних поставщиков проведите тщательную комплексную проверку, учитывая их достижения, финансовую стабильность и эксплуатационную устойчивость.
2. Тестирование сценариев. Смоделируйте различные сценарии совместно с третьими сторонами, чтобы проверить эффективность планов восстановления. Сюда следует включать кибератаки, системные сбои и стихийные бедствия.
3. Непрерывный мониторинг. Регулярно отслеживайте производительность и соответствие требованиям третьих сторон, будьте готовы адаптироваться к изменениям в состоянии устойчивости.

Заключительные слова:

DORA – это не просто нормативный акт; это стратегическая возможность повысить вашу операционную устойчивость и укрепить доверие в эпоху цифровых технологий. Являясь ведущим поставщиком консалтинговых услуг и услуг в области технологий рыночных данных для мировых финансовых рынков, CJC придерживается своей позиции
как важнейший сторонний поставщик услуг по управлению рыночными данными для сообщества рынка капитала. Независимо от уровня обслуживания, стандарты и прозрачность, соответствующие требованиям DORA, готовы к использованию компанией CJC, которая предоставляет консультационные услуги, удостоенные множества наград.
управляемые услуги, облачные решения, возможности наблюдения и профессиональные услуги коммерческого управления для критически важных систем рыночных данных. Компания CJC не зависит от поставщиков и сертифицирована по стандарту ISO 27001, что дает партнерам CJC свободу сосредоточиться на своем основном бизнесе.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs