регулации

От 17 януари на територията на ЕС влезе в сила Digital Operational Resilience Act (DORA). Регламентът въведе всеобхватни изисквания за киберсигурност и дигитална устойчивост на финансовите компании, опериращи в Европа.

В България за неговото спазване отговаря Комисията за финансов надзор (КФН). Във връзка с това тя създаде ИКТ специализирано звено за контакт. То ще изпълнява две основни задачи:

• приемане и обработка на сигнали за инциденти;
• своевременно докладване на получените сигнали и предприемане на съответните действия.

Ако искате да се свържете със звеното, можете да го направите на имейл: [email protected] или на телефон 0882 88 94 92.

КФН представи и изчерпателен документ, описващ всички изисквания, които компаниите от финансовия сектор и доставчиците на технологии за него трябва да спазват.

Последен ъпдейт на 20 февруари 2025 в 05:50 ч.

От 17-януари финансовите организации на територията на ЕС трябва да отговарят на по-строги изисквания за киберсигурност. Те са част от официално влезлия в сила Digital Operational Resilience Act (DORA) и идват в отговор на задълбочаващите се заплахи в киберпространството.

„DORA е амбициозна регулаторна инициатива на ЕС, която въвежда всеобхватни изисквания за киберсигурност и дигитална устойчивост във финансовия сектор. Основните цели на регламента включват подобряване на управлението на IT рисковете, засилване на киберсигурността и създаване на единни стандарти за целия ЕС“, обяснява пред FreedomOnline Спас Иванов, консултант по киберсигурност.

Законодателството налага завишени изисквания в четири основни области:

• Управление на риска: Ръководителите трябва да разработят стабилни системи за управление на IT риска. Те включват цялостна рамка за киберсигурност, картографиране на инфраструктурата, идентифициране и класифициране на критичните активи и функции.
• Реакция при инциденти и докладване: Финансовите институции трябва да уведомяват компетентните органи до 24 часа след откриването на значим инцидент и да предоставят подробни доклади за развитието на ситуацията.
• Тестване на оперативната устойчивост: Организациите трябва да провеждат редовни тестове за устойчивост на своите ICT системи и да поддържат ефективни механизми за откриване на инциденти.
• Управление на риска от трети страни: DORA се прилага не само за финансовите субекти, но и за доставчиците на технологии за сектора. Те трябва да гарантират определено ниво на сигурност и надеждност и да осигурят пълна прозрачност в отношенията си с финансовите институции.

Неспазването на изискванията може да доведе до сериозни санкции – глоби до 10 милиона евро или 2% от годишния оборот. Временно преустановяване на дейности и отнемане на лицензи също са възможни.

Предизвикателства и ползи за българския финансов сектор

Тук, логично, стигаме до въпроса: Готов ли е финансовият сектор у нас за тези правила?

„Българските компании от финансовия сектор са изправени пред сериозни предизвикателства при прилагането на DORA. Основните трудности включват необходимостта от значителни инвестиции в IT инфраструктура и недостига на квалифицирани специалисти по киберсигурност“, коментира Спас Иванов.

По думите му общото впечатление, е че големите банки и застрахователи са сравнително добре подготвени, но по малките и средните компании в сектора все още изостават значително.

Въпреки тези предизвикателства обаче, спазването на регламента носи множество ползи:

• устойчивост на системите;
• по-добра защита на данните;
• повишено доверие от страна на клиентите;
• намален риск от финансови загуби заради киберинциденти.

Целта на законодателството е в дългосрочен план инвестициите в киберсигурност да не се разглеждат като разход, а като необходимост и конкурентно предимство.

„DORA бележи нова ера в регулацията на киберсигурността във финансовия сектор на ЕС. Въпреки предизвикателствата пред българските компании, регламентът е важна стъпка към изграждането на по-устойчива и сигурна финансова система. Успешното му прилагане ще изисква значителни усилия и ресурси, но ползите за бизнеса и потребителите ще надхвърлят първоначалните инвестиции“, категоричен е в заключение Спас Иванов.

Глобите по GDPR, наложени в Европа през 2024, възлизат на 1,2 млрд. EUR.

Нови данни на адвокатската кантора DLA Piper показват намаление на наказанията, наложени от европейските регулаторни органи, в сравнение с 2023. Тогава са били издадени санкции на стойност 2,9 млрд. EUR.

2024 е първата година, в която се наблюдава спад на глобите на годишна база, откакто GDPR влезе в сила през май 2018. Това обаче се дължи основно на рекордната санкция от 1,2 млрд. EUR срещу Meta от май 2023.

Общата стойност на глобите по Общия регламент за защита на личните данни от 2018 насам вече възлиза на 5,88 млрд. EUR.

Трите най-големи глоби през 2024 са:

• 310 млн. EUR срещу LinkedIn за обработката на лични данни в рекламните ѝ практики;
• 290 млн. EUR срещу Uber за съхраняване на данни на европейски шофьори в САЩ без адекватни предпазни мерки;
• 251 млн. EUR срещу Meta за нарушение на сигурността на данните през 2018, което е засегнало около 29 млн. профила във Facebook.

Преориентиране към лична отговорност

Друга тенденция, подчертана в изследването, е значителното изместване на фокуса на европейските регулатори към личната отговорност. В редица техни решения се посочват пропуски в организационното управление и надзора, които са довели до нарушения на защитата на личните данни.

Нидерландският регулатор, например, проучва дали може да подведе под лична отговорност директорите на Clearview AI за многобройни нарушения на GDPR. Срещу компанията беше заведено дело за 30,5 млн. EUR.

Очаква се тази тенденция да се задълбочи през настоящата година.

GDPR в ЕС, CCPA и CPRA в САЩ, рамката за киберсигурност на NIST – защитата на потребителските данни никога не е била толкова важна. Тъй като светът навлиза все по-дълбоко в епоха, задвижвана от AI и цифровите технологии, подобни разпоредби ще стават все повече. За да бъдат в съответствие с тях, бизнесите трябва да въведат по-строги мерки за защита на данните и възможности за засилен мониторинг и отчитане.

Заради сложния характер на нормативната уредба всеки един бизнес трябва да се увери, че разбира какви са задълженията му и как да ги изпълнява. Но това невинаги е лесно.

Ето пет мерки, които може да предприемете:

1. Опознайте своя бизнес. Компаниите са изправени пред различни изисквания за съответствие в зависимост от тяхната индустрия, клиенти/партньори, с които работят, данните, с които боравят, и т.н. Обърнете внимание на всички тези аспекти от вашия бизнес.
2. Определете кои стандарти трябва да спазвате. Открийте пропуските, които трябва да бъдат запълнени, и набележете мерките за това. Изборът трябва да е въз основа на най-важните разпоредби и изисквания, засягащи бизнеса ви, за да избегнете нарушения и глоби.
3. Разработете надеждна система за докладване, която определя ролите и отговорностите на всички нива. Тя трябва да включва както висшите ръководители, така и персонала по сигурността, който управлява и контролира мерките за защита. Изградете ясен процес за докладване на инциденти. Информацията трябва да се предава безпроблемно на заинтересованите страни, включително регулаторните органи или застрахователи, ако е необходимо.
4. Наблюдавайте. Спазването на изискванията не е еднократно усилие – то е непрекъснат процес. Следете редовно мерките за съответствие. Това включва проверка на системите за уязвимости, извършване на редовни оценки на риска и преглед на протоколите за сигурност. Това ще помогне на бизнеса ви да се придържа към развиващите се регулаторни стандарти.
5. Бъдете прозрачни. Ако откриете нарушение, незабавно оценете щетите и ги докладвайте на съответните органи и на потърпевшите. Навременното оповестяване може да помогне за смекчаване на щетите и да намали риска от по-нататъшни нарушения. Освен това то демонстрира ангажимента ви за спазване на изискванията. Подобно поведение ще ви помогне да запазите доверието на клиентите, партньорите и регулаторите.

Тези пет стъпки осигуряват отправна точка за постигане на съответствие с изискванията за киберсигурност. Но те са само основата. За да надградите, работете с регулаторните органи и експертите в сферата. Това ще гарантира, че усилията ви са насочени в правилната посока.

Изпълнението на изискванията за съответствие с NIS2 е принудило много организации да пренасочат средства от други области на бизнеса. Според проучване на компанията за киберсигурност Veeam това важи за 95% от засегнатите фирми.

Като цяло 80% от IT бюджетите в Европа вече се разпределят за киберсигурност и съответствие с директивата.

Повече от 1/3 (34%) от предприятията, базирани в региона на ЕМЕА, са пренасочили средства от бюджетите си за управление на риска. 30% са прибегнали до тези за по-широкообхватно набиране на персонал, 29% – за управление на кризи, а 25% – са използвали резервите за спешни случаи.

Докладът установява също така, че 20% от IT ръководителите определят бюджета като значително предизвикателство за постигане на съответствие. 68% от фирмите са успели да си подсигурят необходимото финансиране.

NIS2 предвижда сериозни санкции при неспазване на изискванията, включително индивидуална отговорност на ръководители. Това спомага за отпускането на допълнителни средства.

Стъпките, които правят организациите за постигане на съответствие с NIS2, най-често включват:

• провеждане на IT одити (29%);
• преглед на процесите и най-добрите практики в областта на киберсигурността (29%)
• разработване на нови политики и процедури (28%);
• инвестиране в нови технологии (28%);
• увеличаване на бюджетните средства за киберсигурност (28%).