Що таке DORA і кого вона стосується
Регламент ЄС про цифрову операційну стійкість (DORA, Regulation 2022/2554) набув чинності 17 січня 2025 року. Він застосовується до:
- Кредитних установ (банки)
- Платіжних інститутів
- Страхових та перестрахувальних компаній
- Інвестиційних фірм
- Постачальників криптоактивів (CASP)
- Торгових репозиторіїв і центральних контрагентів
Критично важливо: DORA також стосується ІКТ-постачальників, що надають послуги критичним фінансовим установам. Якщо ви постачаєте програмне забезпечення, хмарні послуги або будь-які ІКТ-рішення фінансовим організаціям в ЄС — DORA на вас впливає.
Ключові вимоги DORA щодо постачальників
1. Реєстр ІКТ-постачальників
Фінансові установи зобов'язані вести детальний реєстр усіх ІКТ-постачальників, включаючи:
- Тип послуги та класифікацію критичності
- Юрисдикцію та дані контрагента
- Дати укладення та поновлення контрактів
- Субпостачальників (четвертий рівень ризику)
2. Договірні вимоги
Контракти з ІКТ-постачальниками повинні включати:
- Чіткий опис і рівні обслуговування (SLA)
- Права на аудит і перевірку
- Процедури виходу та перехідні плани
- Вимоги до звітування про інциденти
- Стандарти захисту даних (включаючи обробку PII)
3. Оцінка концентраційного ризику
Особлива увага до ситуацій, коли багато установ залежать від одного постачальника — наприклад, великих хмарних провайдерів (AWS, Azure, Google Cloud).
4. Перевірка критичних постачальників
Для постачальників, визначених як критичні, DORA передбачає:
- Поглиблену due diligence перед укладенням договору
- Регулярні огляди ефективності
- Право регуляторів проводити безпосередні перевірки постачальника
Де перетинаються DORA та ISO 27001
ISO 27001 — міжнародний стандарт управління інформаційною безпекою. Він не є обов'язковим, але значно допомагає з виконанням вимог DORA.
| Вимога DORA | Відповідний контроль ISO 27001 |
|---|---|
| Управління ризиками ІКТ | A.5 — Политики інформаційної безпеки |
| Оцінка постачальників | A.5.19-A.5.23 — Безпека постачальників |
| Реагування на інциденти | A.5.24-A.5.28 — Управління інцидентами |
| Тестування стійкості | A.8.29 — Тестування безпеки |
| Права на аудит | A.5.35-A.5.36 — Відповідність вимогам |
Важливо: Сертифікація ISO 27001 не дорівнює автоматичній відповідності DORA. Але вона забезпечує структуру, що суттєво спрощує виконання вимог.
PII у ланцюжку постачання: специфічні вимоги
Чому PII є пріоритетом у DORA
Фінансові установи обробляють надзвичайно чутливі PII:
- IBAN та платіжні реквізити
- Кредитні скоринги та фінансова історія
- Документи, що підтверджують особу (Know Your Customer)
- Транзакційні дані (розкривають звички, місця перебування)
Коли ці дані передаються ІКТ-постачальникам, ризик множиться.
Що вимагати від постачальників щодо PII
При оцінці нового постачальника:
- Чи є у постачальника задокументована политика обробки PII?
- Де фізично обробляються і зберігаються дані (юрисдикція)?
- Чи використовує постачальник шифрування у стані спокою і при передачі?
- Які права субробробки даних (субпостачальники)?
- Що відбувається з PII при розірванні контракту?
Договірні гарантії:
- Обробник даних (DPA) відповідно до ст. 28 GDPR
- Технічні та організаційні заходи (TOM)
- Зобов'язання щодо сповіщення про витоки (72 години)
- Обмеження на передачу даних третім країнам
Практичний підхід: Анонімізація перед передачею
Найнадійніший спосіб зменшити ризик PII у ланцюжку постачання — анонімізувати дані до передачі постачальнику.
Сценарії застосування:
- Передача тестових даних розробникам → анонімізуйте реальні клієнтські дані
- Аналітика та звітність → агрегуйте або псевдонімізуйте перед відправкою
- Навчання ML-моделей → використовуйте синтетичні або анонімізовані дані
- Аутсорсинг підтримки → маскуйте PII у тікетах перед ескалацією
anonym.legal підтримує пакетну анонімізацію документів перед відправкою зовнішнім постачальникам — це прямо відповідає принципу мінімізації даних GDPR та вимогам DORA.
Програми тестування стійкості (TLPT)
DORA вводить вимогу проведення тестування пентестом на основі загроз (TLPT) для системно значущих фінансових установ.
Що це означає:
- Тести проводяться акредитованими спеціалістами
- Охоплюють критичні ІКТ-системи та постачальників
- Включають сценарії витоку даних та атак на PII
Для постачальників: якщо ваш сервіс є частиною критичної інфраструктури клієнта, вас можуть залучити до TLPT-тестування. Будьте готові.
Часова шкала та пріоритети впровадження
Оскільки DORA набула чинності у січні 2025 року, фінансові установи та їхні постачальники вже зобов'язані виконувати вимоги.
Термінові дії (якщо ще не виконані):
- Реєстр постачальників — задокументуйте всіх ІКТ-постачальників з класифікацією критичності
- Оновлення контрактів — додайте вимоги DORA до всіх діючих угод
- Оцінка концентраційного ризику — виявіть залежності від одного постачальника
- Процедури реагування на інциденти — задокументуйте і протестуйте
Для ISO 27001-сертифікованих організацій: Проведіть gap-аналіз між вашим поточним ISMS і вимогами DORA — більшість контролів вже є, але можуть знадобитися доповнення.
Висновок
DORA фундаментально змінює підхід до управління ІКТ-ризиками у фінансовому секторі ЄС. Ключові висновки:
- Ланцюжок постачання тепер знаходиться під регуляторним мікроскопом
- PII-ризик від постачальників вимагає контрактних і технічних гарантій
- ISO 27001 — хороша основа, але не достатня сама по собі
- Анонімізація перед передачею — найпрактичніший спосіб зменшити ризик
Джерела: