Что такое Дора? Закон о цифровой операционной устойчивости для финансовых услуг
Последнее обновление:
4 Время чтения: 4 минуты
Принято: ноябрь 2022 г.
Вступило в силу: 16 января 2023 г.
Применяется с: 17 января 2025 г. (дата полного соблюдения)
Закон о цифровой операционной устойчивости (DORA) — это обязательный к исполнению нормативный акт ЕС, призванный укрепить цифровую операционную устойчивость финансового сектора. DORA не заменяет существующие финансовые нормативные акты, а дополняет их, устанавливая единую систему управления ИКТ-рисками и операционными рисками для всех финансовых организаций и их поставщиков критически важных технологий.
С 17 января 2025 года все финансовые организации, подпадающие под действие данного регламента, а также соответствующие сторонние поставщики ИКТ-услуг, осуществляющие свою деятельность на территории ЕС, должны соблюдать требования DORA.
Цель DORA — обеспечить, чтобы организации могли предотвращать, противостоять, реагировать и восстанавливаться после сбоев, связанных с ИКТ, включая кибератаки, при этом сохраняя непрерывность предоставления критически важных финансовых услуг.
Просмотр: Новые правила Deloitte для обеспечения соответствия требованиям DORA
Ключевые выводы
- DORA является принятым законодательством ЕС, а не предложением, и его обязательное соблюдение вступает в силу 17 января 2025 года.
- Он применяется к финансовым организациям ЕС и поставщикам ИКТ-услуг, которые их поддерживают.
- DORA основана на пяти обязательных принципах, охватывающих риски ИКТ, обработку инцидентов, тестирование и надзор со стороны третьих лиц.
- Организации должны создать структурированные механизмы управления рисками в сфере ИКТ и реагирования на инциденты.
- Серьезные инциденты в сфере ИКТ должны классифицироваться и сообщаться в строго установленные нормативные сроки.
- Надзор за критически важными сторонними поставщиками ИКТ (CTPP) осуществляется европейскими надзорными органами (ESA).
Что означает Закон о цифровой операционной устойчивости (DORA) для вашего бизнеса?
DORA вносит значительные изменения в подход финансовых учреждений к управлению цифровой и операционной устойчивостью. В соответствии с этим регламентом организации должны внедрить комплексную систему управления рисками в сфере ИКТ, включающую четко определенные политики, процедуры, меры контроля и механизмы управления.
Финансовые организации обязаны вести документацию по планам реагирования на инциденты и восстановления, в которых подробно описывается, как они будут обнаруживать, реагировать и восстанавливаться после сбоев в работе ИКТ, включая киберинциденты, такие как фишинговые атаки, вымогательство выкупа или перебои в работе сервисов.
Кроме того, сторонние поставщики ИКТ-услуг, которые поддерживают финансовые учреждения, подпадают под действие DORA и подлежат усиленным обязательствам в области заключения договоров, мониторинга и управления рисками.
Упростите Дору с помощью PowerDMARC!
Сфера применения и применимость DORA
DORA применяется к:
- Финансовые организации, осуществляющие деятельность в пределах ЕС (включая банки, страховые компании, инвестиционные фирмы, финтех-компании и платежные учреждения)
- Сторонние поставщики ИКТ-услуг, которые поддерживают эти финансовые организации
Поставщики ИКТ, которые считаются критически важными, подлежат непосредственному надзору со стороны европейских надзорных органов (ESA) с целью обеспечения их устойчивости и соответствия мер контроля рисков стандартам DORA.
DORA не предлагает добровольную сертификацию для организаций, не входящих в эту сферу. Нефинансовые организации могут применять аналогичные передовые практики, но они не могут считаться «соответствующими требованиям DORA» в соответствии с этим регламентом.
Основные требования в соответствии с DORA
DORA состоит из пяти обязательных компонентов:
Управление рисками в сфере ИКТ
Установление системы управления, политик, мер контроля и процедур для управления рисками в сфере ИКТ
Сообщение об инцидентах, связанных с ИКТ
Классификация серьезных инцидентов и обязательное уведомление регулирующих органов в установленные сроки
(включая первоначальное уведомление в течение нескольких часов, а затем обновления и окончательный отчет)
Цифровое тестирование операционной устойчивости
Регулярное тестирование систем, процессов и средств контроля для выявления уязвимостей
Управление рисками, связанными с третьими сторонами в сфере ИКТ
Управление рисками, возникающими в связи с аутсорсингом ИКТ-услуг, посредством контрактов, мониторинга и стратегий выхода
Обмен информацией
Поощрение добровольного обмена информацией о киберугрозах в финансовом секторе
Эти меры призваны обеспечить возможность безопасной работы как финансовых организаций, так и их партнеров в сфере ИКТ даже в условиях серьезных цифровых сбоев.
Обеспечение соответствия требованиям DORA
Для соответствия требованиям DORA организации должны внедрить четко определенную программу по управлению рисками и обеспечению устойчивости ИКТ, которая обычно включает:
- Постоянная оценка рисков и тестирование уязвимости
- Процедуры обнаружения, классификации и реагирования на инциденты
- Планирование обеспечения непрерывности бизнеса и восстановления после аварий
- Программы по повышению осведомленности и обучению сотрудников
- Контроль за поставщиками и субподрядчиками в сфере ИКТ
Документированная и последовательно реализуемая структура помогает организациям демонстрировать соответствие требованиям и укреплять доверие в финансовой экосистеме.
Закон DORA: Основные условия и цели
DORA стремится обеспечить безопасность, стабильность и устойчивость финансового сектора ЕС в условиях растущих цифровых угроз. Основные нормативные требования включают:
- Четко определенный план реагирования на инциденты в сфере ИКТ и восстановления
- Непрерывная оценка и снижение рисков, связанных с ИКТ
- Сильные меры безопасности в сетях, системах и инфраструктуре
- Своевременное и структурированное информирование регулирующих органов о крупных инцидентах в сфере ИКТ
- Меры по обеспечению непрерывности критически важных услуг во время сбоев
Шаг вперед к соответствию требованиям DORA с помощью PowerDMARC
По мере того как организации укрепляют свою цифровую устойчивость в ответ на DORA, электронная почта остается критически важным вектором атак, который необходимо защищать в рамках более широкой стратегии безопасности ИКТ.
Хотя DORA не предписывает явно протоколы аутентификации электронной почты, она требует от организаций обеспечения безопасности своих сетей, систем и инфраструктуры связи. Внедрение надежных средств контроля безопасности электронной почты соответствует более широким целям DORA по снижению рисков и предотвращению инцидентов.
PowerDMARC — это многопользовательская платформа SaaS, которая помогает организациям усилить безопасность каналов электронной почты с помощью полного набора средств аутентификации электронной почты. Мы соответствуем требованиям стандартов ISO 27001, SOC 2 Type II и GDPR и сотрудничаем с финансовыми организациями, чтобы снизить угрозы, связанные с электронной почтой, и улучшить видимость рисков аутентификации.
Мы поможем вам:
- Защита от подделки и подражания с помощью DMARC
- Снижение рисков, связанных с атаками понижения рейтинга и перехвата, с помощью MTA-STS
- Получите доступ к результатам аутентификации электронной почты с помощью отчетов DMARC
- Избегайте сбоев при поиске SPF с помощью автоматического упрощения SPF
Свяжитесь с нами сегодня, чтобы усилить безопасность вашей электронной почты в рамках стратегии управления рисками в сфере ИКТ, соответствующей требованиям DORA.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Объяснение DMARCbis — что меняется и как подготовиться - 16 апреля 2026 г.
- Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
- Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.
