DORA – Підтримка та гармонізація операційної стійкості в ЄС. 

Див. повну статтю на https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

DORA ЄС неминуча і матиме хвилюючі наслідки за межами союзу. Він замінює попередні стандарти операційної стійкості для конкретних галузей і долає національні розбіжності, гармонізуючи керівні принципи для ключових сфер усієї фінансової
галузевий ланцюжок створення вартості, щоб створити спільну структуру в усьому Союзі. У цьому аналізі досліджується макровплив DORA, узагальнюючи ключові розділи повного тексту DORA, щоб визначити:

1. Що таке DORA та її 5 напрямків?
2. Чому DORA важлива?
3. Кому підходить DORA?
4. DORA Відповідність чи невідповідність.

Цифрові технології мають ключове значення для глобальних фінансових компаній і фірм на ринку капіталу для підтримки складних систем, це критично важливо для виконання типових бізнес-функцій і діяльності, що приносить дохід. Цифровізація та пов’язані з нею взаємозв’язки
забезпечить більшу ефективність і економію коштів, але також посилить ризики інформаційно-комунікаційних технологій (ІКТ) і підвищить вразливість фінансової системи до кіберзагроз або збоїв.

Незважаючи на цілеспрямовану політику та законодавчі ініціативи на національному рівні, Європейський Союз (ЄС) визнає критичну потребу в гармонізації та зміцненні операційної стійкості в своїх державах-членах для захисту цілісності та ефективності внутрішніх
ринку, особливо з огляду на ескалацію кіберзагроз1 і зрив
інцидентів2. Погляд нещодавно підтвердив Liquidnet3:

«Галузь настільки сильна, наскільки сильна її найслабша ланка […] 2024 рік не лише означатиме посилення регулятивного контролю за відповідністю, ризиками та засобами контролю, а також сумісністю технологій, але й індивідуальну відповідальність за оптимальне функціонування екосистеми».

Вирішуючи поточні проблеми стійкості, ЄС запровадив Закон про цифрову операційну стійкість (DORA), щоб зміцнити безпеку ІКТ та операційну стійкість фінансових установ.

Що таке DORA та її 5 напрямків?

DORA було прийнято Європейським парламентом і Радою 14 грудня 2022 року, а відповідність вимогам має бути виконана до 17 січня 2025 року. Цей регламент спрямований на консолідацію та підвищення стійкості цифрових операцій у фінансовому середовищі, яке має,
до цього моменту розглядалися окремо в різних правових актах Союзу через спільну структуру4 для цифрової операційної стійкості
фінансових установ для кращого протистояння та відновлення після порушень та інцидентів ІКТ.

5 сфер діяльності DORA:

1. Управління ризиками ІКТ.
2. Управління інцидентами, пов’язаними з ІКТ, класифікація та звітування.
3. Тестування цифрової операційної стійкості.
4. Управління ризиками третьої сторони ІКТ.
5. Організація обміну інформацією.

Чому DORA важлива?

DORA базується на попередніх галузевих інструкціях і замінює їх, щоб подолати розбіжності, і послідовно консолідує інструкції для ключових сфер у всьому ланцюжку створення вартості. Він унікальний, оскільки запроваджує загальну систему нагляду на профспілковому рівні
критичні сторонні постачальники ІКТ, визначені Європейськими наглядовими органами (ESA)5.

Оскільки фінансовий сектор покладається на цифрові системи ІКТ та зростає взаємозв’язок, ризики та вразливі місця ІКТ матимуть дедалі руйнівніший транскордонний вплив у всьому Союзі, що посилює вплив збоїв у роботі та кібер
загрози фінансовим компаніям. DORA визнає, що цифровізація тепер охоплює важливі фінансові функції6 як
платежі, кліринг цінних паперів, алгоритмічна торгівля та бек-офісні операції. Він спрямований на підвищення операційної стійкості цих функцій для підтримки загальної фінансової стабільності та захисту довіри споживачів на внутрішніх ринках. DORA прагне зберегти
довіри ринку, забезпечуючи безперебійне надання фінансових послуг навіть під час складних сценаріїв.

Кому підходить DORA?

DORA поширюється на всі фінансові установи в ЄС і сторонніх постачальників послуг ІКТ, які надають послуги для їх підтримки. Нещодавнє розуміння10 адресований
це. Регламент ЄС DORA вводить конкретні та приписуючі вимоги для всіх учасників фінансового ринку.

DORA – Фінансові установи

Щоб відповідати вимогам DORA, фінансові установи повинні покращити методи управління ризиками в ІКТ, які включають виявлення, оцінку та пом’якшення ризиків, пов’язаних з цифровими операціями. DORA також запроваджує зобов’язання щодо оперативного звітування про інциденти ІКТ
відповідні органи для критичних збоїв у роботі. Крім того, установи повинні регулярно моделювати різні збої, щоб перевірити операційну стійкість і можливості відновлення.

Зокрема, DORA наголошує, що фінансові установи повинні оцінювати та керувати ризиками сторонніх ІКТ своїх постачальників послуг і гарантувати, що договірні угоди стосуються операційної стійкості. Це стосується концентрації ризику (Стаття 29 DORA11)
і стежить за такими інцидентами, як збій OPRA12, а також кіберзлочинність, націлена на найважливіших постачальників
у фінансовому ланцюжку поставок, як хак Ion Group минулого року13 or
постачальники хмарних обчислень14, де
один інцидент потенційно може вплинути на кілька фінансових установ.

Слід зазначити, що вплив збоїв не обмежується компаніями та кінцевими користувачами, а наслідки потенційно переливаються на особисті фінанси, як продемонстрував банк DBS15 раніше
в цьому році.

DORA – Залежності від третіх сторін і операційна стійкість

Фінансові установи дедалі більше покладаються на сторонніх постачальників для надання критичних частин своїх операцій і послуг, згодом DORA також значно впливає на залежність від третіх сторін. Ці треті сторони включають постачальників хмарних послуг,
постачальники даних, розробники програмного забезпечення та інші технологічні партнери. Аутсорсинг певних функцій може підвищити ефективність і зменшити витрати, але, як ми бачили з Ion, це також створює нові ризики. Тепер органи влади повинні дивитися не тільки на стійкість окремих осіб, які регулюються
фірм і оцінити ширшу операційну стійкість сектора.

DORA наголошує на важливості надійних практик управління ризиками для залежностей від третіх сторін, спрямованих на підвищення загальної стійкості фінансового сектора в епоху цифрових технологій. До них належать:

1. Широкий спектр ризиків третіх сторін у сфері ІКТ. Для підвищення операційної стійкості в секторі фінансових послуг DORA використовує широку мережу для визначення ризиків третіх сторін у сфері ІКТ. Наприклад, Стаття 3 (18) DORA16 визначає
   Ризик третьої сторони ІКТ як будь-який ризик ІКТ – стаття 3 (5)17 – які можуть виникнути для фінансової установи в результаті використання наданих послуг ІКТ
   сторонніми постачальниками послуг, субпідрядниками або аутсорсинговими угодами.
2. Практика управління ризиками для сторонніх постачальників – DORA зобов’язує відповідні практики управління ризиками для сторонніх постачальників, щоб зменшити операційні ризики, пов’язані зі відносинами з третіми особами, і забезпечити стійкість. Він також спрямований на реалізацію гармонізованого
   нормативна база для управління ризиками сторонніх постачальників у всьому ЄС (стаття 1518).
3. Важливі сторонні постачальники ІКТ – DORA визнає вирішальну роль постачальників послуг ІКТ у фінансових послугах. Якщо третя сторона вважається критичною, як у деяких випадках CJC, вона повинна відповідати вимогам DORA. Зокрема, критичні сторонні особи
   за межами ЄС зобов’язані заснувати дочірню компанію в межах ЄС – стаття 31 (12)19 – хоча преамбула (82)20 ноти
   вимога «не повинна перешкоджати критичному сторонньому постачальнику послуг ІКТ надавати послуги ІКТ та відповідну технічну підтримку з об’єктів та інфраструктури, розташованих за межами Союзу».

Говорячи про операційну стійкість і відповідність вимогам DORA, Джина Ві, головний інформаційний директор CJC, сказала: «Від впровадження надійного шифрування та суворого контролю доступу до проведення регулярних аудитів, CJC підтримує високий рівень відповідності для забезпечення даних
безпеки. У поєднанні з проактивним плануванням, адаптивними процедурами та культурою постійного вдосконалення ми забезпечуємо безперебійне обслуговування наших клієнтів. Ми сподіваємося, що наша відданість інформаційній безпеці, операційній стійкості та підзвітності забезпечує нашу
душевний спокій клієнтів і впевненість у наших керованих послугах».

DORA Відповідність чи невідповідність

Ризик невідповідності

Недотримання вимог DORA може призвести до шкоди репутації, фінансових втрат і штрафних санкцій. Компанії, які не дотримуються вимог DORA, ризикують збоями в роботі, невдоволенням клієнтів і потенційними правовими наслідками.

Відповідність DORA – 3 міркування та найкращі практики

Щоб відповідати вимогам DORA, фінансові установи повинні комплексно відображати існуючі сторонні залежності та залучати розуміння послуг, переданих на аутсорсинг, для виявлення критичних залежностей. Крок 2 оцінює стійкість відображених залежностей
для оцінки операційних можливостей свого постачальника послуг, заходів безпеки та планів аварійного відновлення. Нарешті, договірні угоди з третіми сторонами повинні конкретно стосуватися вимог до операційної стійкості. Це включає положення на випадок інциденту
цілі звітності, безперервності бізнесу та часу відновлення.

Щоб залишатися сумісними, фінансові установи можуть зробити кілька кроків для впровадження найкращих практик для забезпечення постійної відповідності DORA. До них належать:

1. Належна обачність. Вибираючи сторонніх постачальників, проведіть ретельну перевірку, враховуючи їхні досягнення, фінансову стабільність і операційну стійкість.
2. Тестування сценаріїв – імітуйте різні сценарії за допомогою сторонніх організацій, щоб перевірити ефективність планів відновлення. Це має включати кібератаки, системні збої та стихійні лиха.
3. Постійний моніторинг. Регулярно контролюйте продуктивність і відповідність сторонніх розробників, будучи готовими адаптуватися, якщо зміниться стійкість.

Заключні слова:

DORA - це не просто регламент; це стратегічна можливість підвищити вашу операційну стійкість і зміцнити довіру в епоху цифрових технологій. Будучи провідним консультантом у сфері технологій ринкових даних і постачальником послуг для глобальних фінансових ринків, CJC ставиться до своєї позиції
як важливого стороннього постачальника послуг із керування ринковими даними для спільноти ринку капіталу. Незалежно від рівня обслуговування, стандарти DORA та прозорість є готовими від CJC, яка надає консультації, відзначені багатьма нагородами,
керовані послуги, хмарні рішення, можливість спостереження та професійні послуги комерційного управління для критично важливих систем ринкових даних. CJC є нейтральною щодо постачальників і має сертифікат ISO 27001, що дозволяє партнерам CJC вільно зосереджуватися на своїй основній діяльності.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs