Что такое Дора? Закон о цифровой операционной устойчивости для финансовых услуг

Принято: ноябрь 2022 г.
Вступило в силу: 16 января 2023 г.
Применяется с: 17 января 2025 г. (дата полного соблюдения)

Закон о цифровой операционной устойчивости (DORA) — это обязательный к исполнению нормативный акт ЕС, призванный укрепить цифровую операционную устойчивость финансового сектора. DORA не заменяет существующие финансовые нормативные акты, а дополняет их, устанавливая единую систему управления ИКТ-рисками и операционными рисками для всех финансовых организаций и их поставщиков критически важных технологий.

С 17 января 2025 года все финансовые организации, подпадающие под действие данного регламента, а также соответствующие сторонние поставщики ИКТ-услуг, осуществляющие свою деятельность на территории ЕС, должны соблюдать требования DORA.

Цель DORA — обеспечить, чтобы организации могли предотвращать, противостоять, реагировать и восстанавливаться после сбоев, связанных с ИКТ, включая кибератаки, при этом сохраняя непрерывность предоставления критически важных финансовых услуг.

Просмотр: Новые правила Deloitte для обеспечения соответствия требованиям DORA

Что означает Закон о цифровой операционной устойчивости (DORA) для вашего бизнеса?

DORA вносит значительные изменения в подход финансовых учреждений к управлению цифровой и операционной устойчивостью. В соответствии с этим регламентом организации должны внедрить комплексную систему управления рисками в сфере ИКТ, включающую четко определенные политики, процедуры, меры контроля и механизмы управления.

Финансовые организации обязаны вести документацию по планам реагирования на инциденты и восстановления, в которых подробно описывается, как они будут обнаруживать, реагировать и восстанавливаться после сбоев в работе ИКТ, включая киберинциденты, такие как фишинговые атаки, вымогательство выкупа или перебои в работе сервисов.

Кроме того, сторонние поставщики ИКТ-услуг, которые поддерживают финансовые учреждения, подпадают под действие DORA и подлежат усиленным обязательствам в области заключения договоров, мониторинга и управления рисками.

Упростите Дору с помощью PowerDMARC!

Сфера применения и применимость DORA

DORA применяется к:

• Финансовые организации, осуществляющие деятельность в пределах ЕС (включая банки, страховые компании, инвестиционные фирмы, финтех-компании и платежные учреждения)
• Сторонние поставщики ИКТ-услуг, которые поддерживают эти финансовые организации

Поставщики ИКТ, которые считаются критически важными, подлежат непосредственному надзору со стороны европейских надзорных органов (ESA) с целью обеспечения их устойчивости и соответствия мер контроля рисков стандартам DORA.

DORA не предлагает добровольную сертификацию для организаций, не входящих в эту сферу. Нефинансовые организации могут применять аналогичные передовые практики, но они не могут считаться «соответствующими требованиям DORA» в соответствии с этим регламентом.

Основные требования в соответствии с DORA

DORA состоит из пяти обязательных компонентов:

Управление рисками в сфере ИКТ
Установление системы управления, политик, мер контроля и процедур для управления рисками в сфере ИКТ

Сообщение об инцидентах, связанных с ИКТ
Классификация серьезных инцидентов и обязательное уведомление регулирующих органов в установленные сроки
(включая первоначальное уведомление в течение нескольких часов, а затем обновления и окончательный отчет)

Цифровое тестирование операционной устойчивости
Регулярное тестирование систем, процессов и средств контроля для выявления уязвимостей

Управление рисками, связанными с третьими сторонами в сфере ИКТ
Управление рисками, возникающими в связи с аутсорсингом ИКТ-услуг, посредством контрактов, мониторинга и стратегий выхода

Обмен информацией
Поощрение добровольного обмена информацией о киберугрозах в финансовом секторе

Эти меры призваны обеспечить возможность безопасной работы как финансовых организаций, так и их партнеров в сфере ИКТ даже в условиях серьезных цифровых сбоев.

Обеспечение соответствия требованиям DORA

Для соответствия требованиям DORA организации должны внедрить четко определенную программу по управлению рисками и обеспечению устойчивости ИКТ, которая обычно включает:

• Постоянная оценка рисков и тестирование уязвимости
• Процедуры обнаружения, классификации и реагирования на инциденты
• Планирование обеспечения непрерывности бизнеса и восстановления после аварий
• Программы по повышению осведомленности и обучению сотрудников
• Контроль за поставщиками и субподрядчиками в сфере ИКТ

Документированная и последовательно реализуемая структура помогает организациям демонстрировать соответствие требованиям и укреплять доверие в финансовой экосистеме.

Закон DORA: Основные условия и цели

DORA стремится обеспечить безопасность, стабильность и устойчивость финансового сектора ЕС в условиях растущих цифровых угроз. Основные нормативные требования включают:

• Четко определенный план реагирования на инциденты в сфере ИКТ и восстановления
• Непрерывная оценка и снижение рисков, связанных с ИКТ
• Сильные меры безопасности в сетях, системах и инфраструктуре
• Своевременное и структурированное информирование регулирующих органов о крупных инцидентах в сфере ИКТ
• Меры по обеспечению непрерывности критически важных услуг во время сбоев

Шаг вперед к соответствию требованиям DORA с помощью PowerDMARC

По мере того как организации укрепляют свою цифровую устойчивость в ответ на DORA, электронная почта остается критически важным вектором атак, который необходимо защищать в рамках более широкой стратегии безопасности ИКТ.

Хотя DORA не предписывает явно протоколы аутентификации электронной почты, она требует от организаций обеспечения безопасности своих сетей, систем и инфраструктуры связи. Внедрение надежных средств контроля безопасности электронной почты соответствует более широким целям DORA по снижению рисков и предотвращению инцидентов.

PowerDMARC — это многопользовательская платформа SaaS, которая помогает организациям усилить безопасность каналов электронной почты с помощью полного набора средств аутентификации электронной почты. Мы соответствуем требованиям стандартов ISO 27001, SOC 2 Type II и GDPR и сотрудничаем с финансовыми организациями, чтобы снизить угрозы, связанные с электронной почтой, и улучшить видимость рисков аутентификации.

Мы поможем вам:

• Защита от подделки и подражания с помощью DMARC
• Снижение рисков, связанных с атаками понижения рейтинга и перехвата, с помощью MTA-STS
• Получите доступ к результатам аутентификации электронной почты с помощью отчетов DMARC
• Избегайте сбоев при поиске SPF с помощью автоматического упрощения SPF

Свяжитесь с нами сегодня, чтобы усилить безопасность вашей электронной почты в рамках стратегии управления рисками в сфере ИКТ, соответствующей требованиям DORA.

• О сайте
• Последние сообщения

Юнес Тарада

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• Сертификат проверенной марки и сертификат общей марки: выбор подходящего варианта - 10 марта 2026 г.
• Обход уровня доверия спама (SCL) -1: что это значит и как с этим бороться — 4 марта 2026 г.
• «Не проходит проверку DMARC и имеет политику DMARC «Отклонить»: что это означает и как это исправить — 26 февраля 2026 г.