"Геополитическая ситуация значительно увеличила риски киберугроз; вероятность того, что финансовый сектор будет чаще подвергаться кибератакам, чем любая другая сфера, выросла в три раза. Технологии играют ключевую роль в функционировании финансовых услуг, и предотвращение возможных атак в этой области тем более необходимо", – цитирует министра финансов Марта Вырклаэва пресс-служба Министерства финансов.

Вырклаэв добавил, что на случай атак и сбоев у компании должен быть план действий, обеспечивающий быстрое возобновление оказания услуг и защиту данных клиентов.

В конце 2022 года Европейский союз согласился с тем, что требования к цифровой гибкости финансового сектора необходимо унифицировать и ужесточить. С этой целью было принято так называемое постановление DORA (Digital Operational Resilience Act) вместе с директивой, вносящей поправки в ряд нормативно-правовых актов ЕС, касающихся финансового сектора.

Согласно постановлению, финансовые компании должны создать систему управления рисками, связанными с информационно-коммуникационными технологиями. В том числе, например, должна быть разработана политика информационной безопасности, определяющая правила защиты данных, информационных активов и информационно-сетевых систем.

Кроме того, у предприятий должны быть механизмы для немедленного обнаружения кибератак, а также технологических проблем, которые могут привести к сбоям в работе. Если компания обнаружит инцидент, на него необходимо немедленно отреагировать, как можно скорее выявить уязвимые места и принять меры для предотвращения увеличения ущерба. Непрерывное обучение также является частью системы управления, начиная с кибергигиены всего персонала и заканчивая способностью компании учиться на инцидентах.

Финансовые предприятия будут информировать как Финансовую инспекцию, так и Департамент государственной информационной системы о серьезных инцидентах, связанных с информационно-коммуникационными технологиями. Клиентов также необходимо ставить в известность, если инцидент затрагивает их финансовые интересы.

Кроме того, компании обязуются постоянно тестировать свою цифровую гибкость, чтобы оценивать готовность к реагированию на инциденты, выявлять слабые места и недостатки и устранять их. Более крупные и системно значимые финансовые предприятия также должны каждые три года проводить тестирование на основе анализа угроз.

Партнеры финансовых компаний, предоставляющие им связанные с информационно-коммуникационными технологиями услуги, также играют важную роль в обеспечении цифровой гибкости, поэтому предусмотрены и правила передачи таких услуг.

За некоторыми исключениями, законопроект затрагивает весь финансовый сектор: банки, страховые компании, платежные организации, инвестиционные компании и так далее. При этом учтены и принципы пропорциональности, а к некоторым предприятиям применяется более мягкое регулирование. Кроме того, в настоящее время постановление предусматривает исключения для микропредприятий, на которых занято менее десяти человек и чей годовой оборот и/или годовой баланс не превышает двух миллионов евро.

Постановление DORA и директива должны быть перенесены в национальное законодательство к 17 января 2025 года.