Европейский Союз (ЕС) Закон о цифровой операционной устойчивости или DORA — это ключевая веха для будущего облачных технологий в финансовых услугах. Он признает жизненно важную роль облачных технологий в предоставлении современных банковских услуг. В то же время DORA подчеркивает катастрофический риск, который перебои в обслуживании могут иметь не только для клиентов отдельного банка, но и для всей экономики.
Здесь не следует сомневаться в ЕС – огромные штрафы GDPR создали прецедент, и технологическим фирмам следует быть осторожными. Учитывая, что список поставщиков еще не доработан, но он постоянно растет, мы в NetApp понимаем масштабы этой проблемы.
С 2025 года бесчисленное множество организаций столкнутся с вполне реальным риском огромных штрафов, если они будут виноваты. Бизнес должен начать думать об этом уже сейчас, поскольку штрафы будут распространяться даже на поставщиков ИКТ. Предлагаемые штрафы за несоблюдение включают периодические выплаты в размере 1% от среднедневного мирового оборота.
Итак, что такое ДОРА? Что это значит для бизнеса и как им не попасться на крючок после вступления закона в силу?
Понимание ДОРА
Проще говоря, DORA стремится решить проблему управления рисками ИКТ в финансовых услугах и работать в тандеме с существующими правилами управления рисками ИКТ, которые уже действуют по всему ЕС.
DORA стремится создать универсальные основы и обеспечить основу для управления и снижения рисков. Это будет сделано путем устранения пробелов, дублирования и любых коллизий, которые могут возникнуть между различными уже действующими нормативными актами.
Создавая общий набор правил, DORA должна облегчить жизнь организациям, работающим на периферии финансовых услуг или на их периферии. В случае успеха соблюдение требований укрепит устойчивость финансовой системы ЕС и заставит все учреждения соблюдать одинаковые стандарты.
Однако до сих пор правила управления рисками для финансовых учреждений в ЕС в первую очередь были сосредоточены на обеспечении того, чтобы у компаний были достаточные ресурсы и капитал для покрытия операционных рисков. Несмотря на некоторые активные шаги со стороны регулирующих органов ЕС, такие как выпуск руководящих принципов по управлению рисками безопасности и ИКТ, они не применяются в равной степени ко всем компаниям, предоставляющим финансовые услуги. Это привело к тому, что регулирующие органы часто полагаются на общие принципы, а не на точные, согласованные технические стандарты.
Более того, из-за пробелов в регулировании мы даже стали свидетелями того, как отдельные страны ЕС выдвинули свои собственные требования. Хотя это не идеально с точки зрения регулирования, плохо продуманные или исправленные правила мешают организациям в секторе финансовых услуг уверенно ориентироваться в этой области.
Подготовка к ДОРА
Сфера деятельности DORA затрагивает все финансовые учреждения ЕС. Примечательно, что это также распространяется на тех, кто обычно исключен из финансового регулирования, а именно на сторонних поставщиков услуг или систем ИКТ, которые поддерживают организации, предоставляющие финансовые услуги, а также на поставщиков управленческих решений и облачных услуг.
Его можно разбить на пять основных направлений, соблюдение которых будет пропорционально; 1) управление рисками в сфере ИКТ, 2) отчетность об инцидентах, связанных с ИКТ, 3) тестирование устойчивости цифровых операций, 4) риск третьих лиц в сфере ИКТ и 5) обмен информацией.
Хотя на первый взгляд это может показаться пугающим, важно отметить, что более мелкие организации не будут соблюдать те же стандарты, что и крупные финансовые учреждения. Обмен информацией также приветствуется, но не является обязательным. Это действительно значительный шаг вперед не только для отрасли, но и для поставщиков.
Результат? Финансовые компании сталкиваются с новым набором проблем и рисков, готовясь к введению закона DORA в 2025 году.
Что это значит?
Что ж, эти пять столпов по сути охватывают две ключевые области: устойчивость и облачность.
Для обеспечения киберустойчивости DORA хочет свести к минимуму угрозу атак и спрашивает организации, как они могут обеспечить доступность услуг и отчетность. Еще одним важным аспектом является то, как они могут обеспечить восстановление. Мы наблюдаем растущее число кибератак, таких как программы-вымогатели, которые оставляют финансовые организации в подвешенном состоянии.
Комплексным подходом к обеспечению устойчивости DORA будет обмен информацией как с регулирующими органами, так и с коллегами. Это основано на предпосылке, что чем больше информации мы делимся, тем больше мы можем повысить осведомленность и защититься от возможных и возникающих угроз. Это будет привычно и неудобно для отрасли. Финансовые организации более чем привыкли делиться информацией с регулирующими органами и в меньшей степени с конкурентами.
Вторая основная область — это риск концентрации облаков в отрасли. Это особенно интересно, поскольку регуляторы признают облако эффективной платформой для финансовых услуг. Это следует сравнить только с тем, когда люди боялись помещать данные о клиентах в облако – сегодня регулирующие органы признают, что облачные технологии никуда не денутся.
Возможно, самое главное, DORA намерена установить меры контроля, чтобы минимизировать риски сбоев в работе облачных провайдеров. В свою очередь, мы надеемся избежать каких-либо последствий для экономики страны.
Как организации могут подойти к этому правильно?
DORA был одобрен Европейским парламентом, и у организаций осталось чуть больше года до того, как закон вступит в силу в 2025 году. Поэтому организациям необходимо эффективно использовать это время и сосредоточиться на совершенствовании своей системы цифровой устойчивости. Для этого им следует наращивать свои возможности и процессы, чтобы гарантировать, что они готовы выполнять необходимые ежегодные оценки, тесты и отчеты.
DORA станет «lex Specialis» в этой области, то есть будет иметь приоритет над любыми дублирующими правилами, такими как NIS или ЕКА методические рекомендации. Для компаний это означает, что они должны использовать DORA в качестве основного ориентира, чтобы избежать каких-либо пробелов в процессах до вступления этого постановления в силу. После этого передовой опыт обеспечения устойчивости и соответствия требованиям будет обеспечивать баланс между рассмотрением DORA как технической проблемы, так и организационной.
Это означает, что DORA является одновременно культурной и процедурной. Это зависит от обмена информацией и участия различных команд. DORA не может быть только проблемой ИКТ, поскольку необходимо участие команд, которые будут хорошо сопоставлять и обмениваться информацией. Это улучшит их коммуникацию как внутри компании, так и за ее пределами. Это крайне важно, поскольку улучшение сотрудничества и консультаций между командами будет способствовать успешной навигации по DORA. Команды по управлению рисками, безопасности и ИТ должны будут работать вместе в тандеме. Фактически, достижение необходимого уровня внутреннего сотрудничества потенциально может оказаться более сложной задачей, чем внешняя отчетность.
Инвестиции в совершенствование практики внутреннего управления также могут помочь. Организациям с более низкой зрелостью в этом направлении потребуется инвестировать дополнительные ресурсы и деньги, чтобы приобрести возможности и возможности для достижения соответствия требованиям DORA. На данный момент в центре внимания стоит решение этой проблемы как можно скорее. Если компании не смогут принять культуру превентивного подхода, реактивный подход, вероятно, будет дорогостоящим.
Стив Рэкхэм — технический директор (CTO) финансовых услуг в компании НетАпп
2023-11-24 09:51:00
1700992559
#DORA #повышает #ставки #на #использование #облачных #технологий #финансовых #услугах