От 17-януари финансовите организации на територията на ЕС трябва да отговарят на по-строги изисквания за киберсигурност. Те са част от официално влезлия в сила Digital Operational Resilience Act (DORA) и идват в отговор на задълбочаващите се заплахи в киберпространството.
„DORA е амбициозна регулаторна инициатива на ЕС, която въвежда всеобхватни изисквания за киберсигурност и дигитална устойчивост във финансовия сектор. Основните цели на регламента включват подобряване на управлението на IT рисковете, засилване на киберсигурността и създаване на единни стандарти за целия ЕС“, обяснява пред FreedomOnline Спас Иванов, консултант по киберсигурност.
Законодателството налага завишени изисквания в четири основни области:
- Управление на риска: Ръководителите трябва да разработят стабилни системи за управление на IT риска. Те включват цялостна рамка за киберсигурност, картографиране на инфраструктурата, идентифициране и класифициране на критичните активи и функции.
- Реакция при инциденти и докладване: Финансовите институции трябва да уведомяват компетентните органи до 24 часа след откриването на значим инцидент и да предоставят подробни доклади за развитието на ситуацията.
- Тестване на оперативната устойчивост: Организациите трябва да провеждат редовни тестове за устойчивост на своите ICT системи и да поддържат ефективни механизми за откриване на инциденти.
- Управление на риска от трети страни: DORA се прилага не само за финансовите субекти, но и за доставчиците на технологии за сектора. Те трябва да гарантират определено ниво на сигурност и надеждност и да осигурят пълна прозрачност в отношенията си с финансовите институции.
Неспазването на изискванията може да доведе до сериозни санкции – глоби до 10 милиона евро или 2% от годишния оборот. Временно преустановяване на дейности и отнемане на лицензи също са възможни.
Предизвикателства и ползи за българския финансов сектор
Тук, логично, стигаме до въпроса: Готов ли е финансовият сектор у нас за тези правила?
„Българските компании от финансовия сектор са изправени пред сериозни предизвикателства при прилагането на DORA. Основните трудности включват необходимостта от значителни инвестиции в IT инфраструктура и недостига на квалифицирани специалисти по киберсигурност“, коментира Спас Иванов.
По думите му общото впечатление, е че големите банки и застрахователи са сравнително добре подготвени, но по малките и средните компании в сектора все още изостават значително.
Въпреки тези предизвикателства обаче, спазването на регламента носи множество ползи:
- устойчивост на системите;
- по-добра защита на данните;
- повишено доверие от страна на клиентите;
- намален риск от финансови загуби заради киберинциденти.
Целта на законодателството е в дългосрочен план инвестициите в киберсигурност да не се разглеждат като разход, а като необходимост и конкурентно предимство.
„DORA бележи нова ера в регулацията на киберсигурността във финансовия сектор на ЕС. Въпреки предизвикателствата пред българските компании, регламентът е важна стъпка към изграждането на по-устойчива и сигурна финансова система. Успешното му прилагане ще изисква значителни усилия и ресурси, но ползите за бизнеса и потребителите ще надхвърлят първоначалните инвестиции“, категоричен е в заключение Спас Иванов.