Усиление непрерывности бизнеса через Digital Operational Resilience Act (DORA)

В то время как дигитализация принесла много пользы, она также увеличила зависимость сектора финансов от информационно-коммуникационных технологий (ИКТ), что привело к большему риску цифровых угроз, таких как киберататаки, повреждения ИКТ, коррупция и потеря данных. Чтобы адресать угрозы безопасности и улучшить устойчивость операций в секторе финансов, Европейский Союз утвердил законодательство DORA – Digital Operational Resilience Act ( Digital Operational Resilience Act ).

Эта статья рассматривает, как новые европейские нормы могут помочь финансовым структурам улучшить управление рисками в сфере ИКТ для более безопасной финансовой экосистемы. Она также охватывает, как NAKIVO может помочь финансовым институтам достичь соответствия требованиям DORA.

Что такое Digital Operational Resilience Act (DORA)?

Общее описание и цель DORA

Digital Operational Resilience Act (DORA) – европейское регулирование 2022/2554, официально утвержденное Европейским Парламентом и Советом Европейского Союза в ноябре 2022 года. Первый проект DORA был предложен в 2020 году в составе набора Digital Finance Package (DFP), который определил стратегию ЕС, рекомендации и законодательные предложения по криптоактивам, блокчейну и цифровой устойчивости для сектора финансов.

Регламент направлен на создание стандартизированного законодательного поля для институтов финансового рынка ЕС и их третьих поставщиков ИКТ для укрепления операционной устойчивости и безопасности систем ИКТ. То есть одной из основных целей DORA является смягчение киберугроз, нарушений ИКТ иdisturbances в секторе финансов.

Финансовые институты и их третьих partie ICT-провайдеры должны внедрять ramku DORA и технические стандарты до 17 января 2025 года.

Regulatory Bodies Enforcing DORA

Хотя ЕС официально принял DORA в 2022 году, Европейские надзорные органы (ESAs) все еще разрабатывают технические стандарты регулятивные (RTS) на основе закона. три ESAs – Европейский надзорный орган по банковству (EBA), Европейский орган по страхованию и пенсионному обеспечению (EIOPA) и Европейский орган по ценным бумагам и рынкам (ESMA) – опубликовали первый проект в январе 2024 года и ожидается, чтобы завершить RTS к концу года. после того, как ESAs представят заключительные RTS Европейской комиссии, стандарты будут утверждены Парламентом и Советом.

Применение RTS и контроль соблюдения входят в компетенцию соответствующих национальных компетентных органов, которые до сих пор не утверждены. применение начинается, когда авторитеты будут назначены и истекает крайний срок 17 января 2025 года.

Key Requirements of the DORA Act

Регламент DORA устанавливает безопасность требования для сети и ICT-систем финансовых институтов и их третьих partie провайдера. эти требования охватывают четыре основных аспекта ICT-безопасности:

• ICT управления риском (рота II). acentrate management responsibility for ICT disruptions and establishing a common framework for detecting, identifying, managing and mitigating ICT threats.
• ICT управления инцидентами, классификации и отчетность (рота III). стандартизировать обязательства по отчетности о ICT инцидентах и расширить сферу инцидентов, которые должны быть отправлены властям.
• Цифровые операционные испытания на устойчивость (глава IV). Обязать проводить рисковой испытательный контроль критических ИКТ-систем с использованием передовых испытаний по penetration testing (TLPT) по крайней мере каждые 3 года.
• Управление рисками, связанными с третьими сторонами в ИКТ (глава V).Требуется, чтобы финансовые институты устанавливали правила мониторинга риска для своих поставщиков третьей стороны, включая положения, связанные с риском, в их контрактах, и налагая штрафы за несоблюдение.
• Обмен информацией (глава VI). Внедряются механизмы обмена информацией, позволяющие финансовым субъектам обмениваться информацией о кибернетических угрозах и разведкой, чтобы повысить осведомленность о новых угрозах и разделять стратегии снижения уровня угрозы.

Кто должен соблюдать Закон о цифровой операционной устойчивости?

Организации, подпадающие под действие DORA

Финансовые институты и субъекты, деятельность которых осуществляет критическую для инфраструктуры финансового сектора, подпадают под сферу действия DORA:

• Кредитные и платежные институты
• Электронные деньги
• Провайдеры услуг, связанных с криптовалютными активами
• Инвестиционные компании и управляющие финансовыми инвестиционными фондами
• Страховые и ре страховые компании и посредники
• Торговые площадки и репозитарии торговли
• Пенсионные фонды
• Центральные депозитарии ценных бумаг, центральные контрагенты и репозитарии синдицированных обязательств
• Провайдеры услуг, включая услуги, такие как информация о счетах, отчетность данных, управление, краудфандинг
• Агентства по оценке кредитности
• Администраторы критических контрольных показателей
• Трехсторонние поставщики ИКТ-услуг, включая поставщиков облачных услуг

Риски несоблюдения DORA

DORA уполномочивает государства-члены принимать решения об административных штрафах или мерах по исправлению ситуации в случае несоблюдения. Закон также позволяет государствам-членам применять уголовные наказания за нарушения, подпадающие под действие национального уголовного законодательства.

Таким образом, DORA устанавливает возможные минимальные меры, которые государства-члены могут использовать для обеспечения эффективного выполнения руководящих принципов DORA, включая выпуск публичных нот и, в некоторых случаях, требования прекратить любую несоответствующую деятельность, временно или навсегда.

Регламент DORA также уполномочивает ESA определять поставщиков услуг ИТЦ третьих сторон, критически важных для финансового сектора, и назначать ведущего контролера для каждого критического поставщика. Ведущие надзорные органы получают те же полномочия, что и компетентные органы, и могут требовать принятия мер по исправлению ситуации и наложения штрафов на поставщиков ИТК, не соблюдающих требования. DORA уполномочивает ведущих контролеров налагать штрафы в размере до 1 % от среднедневного мирового оборота поставщика ИТК за предыдущий год. Этот штраф может налагаться ежедневно в течение 6 месяцев или до достижения соответствия требованиям.

Как DORA влияет на финансовые организации и сторонних провайдеров

Несмотря на то, что фактические стандарты еще не доработаны, в DORA изложены общие требования и рекомендации по стандартизации практики управления ИКТ и мер безопасности в финансовом секторе.

Если вы являетесь третьей стороной поставщиком ИКТ, таким как, например, Cloud-сервисный провайдер, вашей первой необходимой деятельностью должна быть определение того, являетесь ли вы критическим поставщиком в соответствии со статьей 31 (II部分). Критические поставщики подлежат регулированию DORA, также как и другие экономические организации.

DORA требует, чтобы финансовые институты оценивали риск третьих поставщиков и устанавливали процедуры управления инцидентами в соглашениях об услугах. Таким образом, для некритического поставщика, работающего с финансовыми организациями, будет необходимо снизить риски, которые могут потенциально оказать влияние на финансовую организацию.

Операционные adjustements, необходимые DORA

DORA акцентирует внимание на ответственность управления за ИКТ-perturbations и требует, чтобы финансовые институты разрабатывали и поддерживали всестороннюю структуру для смягчения рисков ИКТ. Структура должна включать следующее:

• Определенные роли и обязанности для руководства и задействованных сотрудников
• REGULAR ICT risk assessment для идентификации и мониторинга рисков по всем системам ICT, процессам и активам
• Постоянное мониторинг систем ICT для возможных угроз
• STRUCTURED и детальные процедуры для предотвращения, управления и реагирования на инциденты ICT, включая процедуры ответа на инциденты и планы по обеспечению непрерывности бизнеса
• Постоянное обновление и улучшение практик и мер на основе анализа инцидентов
• Протоколы коммуникации о инцидентах для клиентов и других заинтересованных сторон, both external and internal, to ensure transparency and trust during ICT disruptions.
• Четкие протоколы для сообщения об инцидентах в регулирующие органы и другие соответствующие организации в зависимости от степени серьезности инцидента

Укрепление практики управления рисками

Наряду с постоянным мониторингом рисков ИКТ, DORA обеспечивает регулярное тестирование систем и активов на предмет подверженности рискам ИКТ. Финансовые учреждения несут ответственность за риски, связанные с поставщиками ИКТ-услуг от третьих лиц, и за работу с поставщиками, не соответствующими требованиям. В частности, DORA требует, чтобы финансовые организации включали положения об управлении ИКТ-рисками в свои контракты с поставщиками, с которыми они работают.

Закон подчеркивает важность стратегий предотвращения, которые включают тестирование существующих мер по обеспечению устойчивости и безопасности для выявления уязвимостей систем и протоколов, а также анализ и отчетность после инцидентов. DORA также поощряет организацию общеотраслевого обучения и мероприятий, в рамках которых финансовые учреждения могут обмениваться опытом и знаниями.

Усовершенствованные стандарты кибербезопасности и защиты данных

DORA признает кибербезопасность и защиту данных в качестве основных факторов, влияющих на операционную устойчивость организации, и требует от финансовых организаций:

• применять такие меры безопасности, как контроль доступа и шифрование
• разрабатывать планы обеспечения непрерывности бизнеса и аварийного восстановления
• использовать инструменты для постоянного мониторинга угроз ИКТ и обнаружения вредоносных программ в режиме реального времени
• обеспечивать своевременное обновление программного и аппаратного обеспечения для уменьшения уязвимостей
• проводят регулярные оценки уязвимости, включая взлом и сценарные тесты

  Для критических средств и высокорисковых областей ожидается, что предприятия проводят периодические передовые тесты, такие как тестирование красной команды, и даже могут быть обязаны участвовать в отраслевых тестовых упражнениях.

• отчеты о происшествиях быстро передаются заинтересованным сторонам и властям для обеспечения прозрачности в ходе инцидентов и позволяют другим организациям изучить уроки из инцидентов

Экспертные мнения о Digital Operational Resilience Act

Взгляды специалистов по cybersecurity

“DORA требует от финансовых институтов разработки надлежащей политики безопасности данных и создания прочной сети на основе принципа риска. Возникли ли практики, определенные DORA, в отрасли? Нет, они существуют уже десятилетия. Тем не менее, несмотря на увеличивающийся риск кибернападов, таких как разкрасем, некоторые организации еще не внедряют или только частично внедряют最基本的安全措施，” сказал Сергей Сердюк, заместитель председателя правления в NAKIVO.

Прогнозы для будущего DORA

“DORA закладывает основы для укрепления cybersecurity в финансовой отрасли. и надеемся, что с течением времени эти положения будут распространяться и на другие секторы. С глобальной дигитализацией и прогрессом AI больше отраслей и организаций стало подвергаться рискам cybersecurity. В многих случаях это не означает ущерб для отдельной организации,无论是 финансового или репутационного характера, но увеличивает риск отключений в отраслях и межотраслевых процессов в связи с кодиентной зависимостью между организациями.” —Сергей Сердюк, заместитель председателя правления NAUKIBO.

Шаги для обеспечения соответствия DORA с NAUKIBO

DORA уделяет особое внимание процедурам резервного копирования и репликации (статьи 11-12), поскольку они непосредственно затрагивают доступность, непрерывность и безопасность данных компании. DORA обязывает субъекты обеспечивать безопасность передачи данных и минимизировать риск потери и порчи данных, а также некачественных процедур управления данными и человеческих ошибок.

NAUKIBO Backup & Replication – это комплексное решение для защиты данных, которое позволяет вам резервировать, реплицировать, настраивать и автоматизировать процессы восстановления после катастроф и мониторить задачи через единый веб-интерфейс.

Решение поддерживает виртуальные, облачные, физические, NAS, SaaS и гибридные среды, что позволяет ему эффективно оказать помощь финансовым учреждениям различного размера для обеспечения высшего уровня защиты данных. Решение гладко работает с различными типами хранения, включая аппараты дедупликации и NAS-устройства, общедоступные облака, облачные платформы, соответствующие S3, и ленты, что обеспечивает требуемую гибкость для различных бизнес-нужд и соответствий.

Осуществление первоначальной оценки соответствия

Выполните различие анализа, чтобы идентифицировать области, где могут понадобиться улучшения для соответствия с регламентом DORA.集中精力在上面提到的四个关键领域：

• управление риском в сфере ИКТ
• управление инцидентами в сфере ИКТ, их классификация и отчетность
• тестирование цифровой операционной устойчивости
• управление риском третьих сторон в сфере ИКТ

Разработка стратегии соответствия DORA

При разработке стратегии соответствия DORA должна быть годовая дорожная карта с определенными шагами, целями и приоритетами. Стратегия будет отличаться в зависимости от сложности ИТ- инфраструктуры организации и ее нынешнего уровня устойчивости к цифровым угрозам.

DORA требует, чтобы финансовые организации имели соответствующие планы Бизнес-продолжения, планы реагирования и восстановления ИКТ и проводили оценку влияния на бизнес (BIA) своей склонности к серьезным нарушениям.

DORA также требует, чтобы у организаций было по крайней мере одно удаленное вторичное место (стратегический резервный место) для обеспечения непрерывности критических бизнес-OPERATIONS, когда основное место недоступно. чтобы минимизировать downtime и ограничить нарушения или потерю, организация должна разработать план управления Catastrophic events (катастрофой), который включает следующее:

• Scope резервного копирования и плана восстановления на основе важности компонентов ПО и ОО, а также сохраненных данных;
• Зависимости между компонентами ИТ и порядок восстановления VMs;
• Объекты восстановления (время восстановления и точка восстановления) для каждой функции в зависимости от ее важности и общего влияния на бизнес-процессы (это также означает, что вам нужно иметь схему перемещения точки восстановления на основе частоты обновления данных и ее важности);
• Назначенные роли и обязанности для персонала;
• Established hardware requirements for a secondary DR site to ensure sufficient CPU, memory, disk capacity and network bandwidth for a smooth transition.

Navigating DORA Compliance with NAKIVO

The NAKIVO solution’s advanced functionality can help you minimize DORA compliance efforts and automate most cybersecurity-related processes. To help you better navigate through all use cases, we here illustrate how you can address specific DORA security requirements by using the NAKIVO solution:

• Data resilience (Article 9). The NAKIVO solution allows you to easily meet the 3-2-1 backup rule for better data resilience. According to this rule, you need to store at least 3 copies of your backup data in 3 different locations; 2 copies should be offsite and 1 in the cloud.
• Комплектность данных ( Статья 12). Благодаря информационной поддержке резервного копирования и репликаций, вы можете быть уверенны, что данные приложения сохранены последовательными даже во время выполнения операций резервного копирования.Решение поддерживает резервное копирование баз данных Oracle, Microsoft, таких как Active Directory и Exchange Server, а также приложения и услуги Microsoft 365 ( Teams, Exchange Online, SharePoint Online, OneDrive for Business).
• Отказоустойчивость против шифровальщиков и других кибер угроз ( Статья 9). Решение NAKIVO позволяет создавать неизменяемые резервные копии локально, в облаке или на устройствах HYDRAstor, чтобы убедиться, что никто не может изменить или удалить ваши данные. Также вы можете воспользоваться аэрогаппингом путем отправки резервных копий на ленты или другие неразъемные устройства хранения, на которых киберпреступники не могут достучаться к ним по сети.Решение также позволяет проверить резервные копии на вредоносные программы перед восстановлением, чтобы у вас было уверенство, что данные резервной копии не заражены.
• Шифрование с глюбой кодировкой ( Статья 9). С помощью решения NAKIVO вы можете зашифровать данные резервного копирования, прежде чем они покидают исходный компьютер, а также зашифровать сетевые репозитории и резервные репозитории, чтобы обеспечить безопасность ваших данных и их безопасность в перемещении и нахождении на месте.
• Предотвращение неаutorзованого доступа и强力ая аутентификационная механика ( Статья 9). Вы можете защитить все резервные копии и рабочие процессы защиты данных с помощью ролевой базы доступа и многофакторной аутентификации.
• Онлайн мониторинг угроз (Article 10). Самый лучший способ для обеспечения реального обнаружения аномалий – использовать комплексное программное обеспечение для борьбы с вредоносными программами.然而, решение NAKIVO имеет функции, которые помогут вам улучшить мониторинг угроз. например, с функцией IT мониторинга для VMware, вы можете обнаружить проблемы и подозрительную деятельность до того, как они станут более серьезной проблемой. эта функция позволяет реально-временный мониторинг всех показателей производительности, включая использование ЦП, RAM и дисков, так что вы можете быстро заметить любую необычную потребление.
• Операционная устойчивость к рискам ИКТ и минимальное время неработоспособности в случае потрясений (Articles 11-12). Advanced Site Recovery functionality of NAKIVO allows you to automate and test site recovery workflows. You can configure automated sequences and trigger them with 1 click during disasters to instantly switch to replicas located at a secondary site.
• Regular testing of DR workflows and protocols (Article 12). To ensure that recovery is smooth and objectives are met during the disaster, you can schedule regular testing of failover and failback workflows in a test mode that doesn’t disrupt your production activities. The testing enables you to check the sequence of actions and verify network connectivity.

Summary

Digital Operational Resilience Act является стратегическим скачком к более устойчивому финансовому сектору и безопасным финансовым операциям. Усиливая принудительное внедрение лучших практик cybersecurity и поощряя учебные процессы и осведомленность, закон помогает финансовым институтам противостоять нынешним угрозам и будущим вызовам, устанавливая эталон для других отраслей.

Включите NAKIVO в ваше путешествие к более устойчивой ICT системе.