Біз туралыСтандарттарБлог ✦ ЖИ бағалауБаға алу →

DORA сәйкестігі — FinTech компаниялар 2026 жылы нені білуі керек

Сандық операциялық төзімділік туралы заң енді толық күшінде. Бұл нұсқаулық бес тіректі, кім ауқымда екенін және FinTech компаниялар инновацияны тоқтатпай реттеушілерді қанағаттандыратын сәйкестік бағдарламасын қалай құра алатынын түсіндіреді.

РЕТТЕУ 9 мин оқу

DORA дегеніміз не?

Сандық операциялық төзімділік туралы заң (DORA), ресми түрде Регламент (ЕО) 2022/2554, қаржы секторындағы ақпараттық-коммуникациялық технология (АКТ) тәуекелін басқарудың жан-жақты шеңберін белгілейтін Еуропалық Одақ регламенті болып табылады. Директивадан айырмашылығы, DORA ұлттық транспозициясыз барлық ЕО мүше мемлекеттерінде тікелей қолданылады.

DORA 2022 жылдың 27 желтоқсанында ЕО Ресми журналында жарияланып, 2023 жылдың 16 қаңтарында күшіне енді, екі жылдық іске асыру мерзімімен. Регламент 2025 жылдың 17 қаңтарынан бастап толық қолданыла бастады, яғни ауқымдағы барлық субъектілер қазір сәйкестікті көрсетуі тиіс.

Регламент қаржы секторының технологияға тәуелділігінің артуы жүйелік тәуекел тудыратынын мойындау негізінде әзірленді. Ірі қаржы институтындағы немесе маңызды үшінші тарап провайдеріндегі елеулі АКТ бұзылысы бүкіл қаржы жүйесіне тарай алады. DORA қаржы субъектілерінің АКТ-ға байланысты бұзылыстарға төтеп бере алуын, жауап бере алуын және олардан қалпына келе алуын қамтамасыз етуге бағытталған.

Кім ауқымда?

DORA қаржы субъектілерінің кең ауқымына қолданылады, ЕО қаржы қызметтерінің бүкіл экожүйесін іс жүзінде қамтиды:

  • Несие мекемелері (банктер)
  • Төлем мекемелері және электрондық ақша мекемелері
  • Инвестициялық фирмалар және сауда алаңдары
  • Сақтандыру және қайта сақтандыру кәсіпорындары
  • Орталық контрагенттер және бағалы қағаздардың орталық депозитарийлері
  • Крипто-актив қызмет провайдерлері (MiCA бойынша)
  • Краудфандинг қызмет провайдерлері
  • Шот туралы ақпарат қызмет провайдерлері
  • Басқару компаниялары және альтернативті инвестициялық қор менеджерлері
  • Кредиттік рейтинг агенттіктері

Маңызды болып, DORA маңызды АКТ үшінші тарап қызмет провайдерлеріне (CTPP) де таралады. Қаржы секторына қызмет көрсететін бұлтты провайдерлер, деректерді талдау компаниялары, бағдарламалық жасақтама жеткізушілері және басқарылатын қызмет провайдерлері маңызды деп белгіленіп, ЕО қаржылық қадағалау органдарының тікелей қадағалауына ұшырауы мүмкін.

FinTech компаниялар үшін бұл қосарланған ауқым ерекше маңызды. Көптеген FinTech фирмалары ауқымдағы қаржы субъектілері де, басқа реттелетін фирмаларға АКТ қызмет провайдерлері де болып табылады.

DORA-ның бес тірегі

1-тірек: АКТ тәуекелдерін басқару

Қаржы субъектілері жалпы тәуекелдерді басқару жүйесіне біріктірілген жан-жақты АКТ тәуекелдерін басқару шеңберін құрып, оны қолдауы тиіс. Негізгі талаптарға мыналар кіреді:

  • Барлық АКТ қолдайтын бизнес функцияларын, активтерді және тәуелділіктерді анықтау және жіктеу
  • АКТ тәуекелдерін, оның ішінде қауіптерді, осалдықтарды және ықтимал әсерлерді үздіксіз анықтау және бағалау
  • Қорғау және алдын алу шараларын іске асыру, оның ішінде қол жеткізуді бақылау, шифрлау, патчтарды басқару және желі қауіпсіздігі
  • Аномалды әрекеттер мен АКТ оқиғаларын анықтау механизмдері
  • Белгіленген рөлдері, коммуникация процедуралары және тексерілген сақтық көшірме мен қалпына келтіру мүмкіндіктері бар жауап беру және қалпына келтіру жоспарлары
  • Оқиғадан кейінгі шолуларды және алынған сабақтарды қосу арқылы үйрену және дамыту процестері

Басқару органы (директорлар кеңесі немесе баламасы) АКТ тәуекелдерін басқару үшін түпкілікті жауапкершілікті алады және АКТ тәуекелдерін басқару шеңберін бекітуі, жеткілікті ресурстар бөлуі және тұрақты есеп беру арқылы хабардар болуы тиіс.

2-тірек: АКТ-ға байланысты оқиғалар туралы есеп беру

DORA қаржы секторы үшін гармонизацияланған оқиғалар туралы есеп беру шеңберін белгілейді. Субъектілер:

  • АКТ-ға байланысты оқиғаларды Еуропалық қадағалау органдары белгілеген критерийлер бойынша жіктеуі тиіс
  • Ірі АКТ-ға байланысты оқиғалар туралы стандартталған үлгі пайдаланып тиісті құзыретті органға есеп беруі тиіс
  • Белгіленген мерзімдер ішінде бастапқы хабарлама, аралық есеп және қорытынды есеп ұсынуы тиіс
  • Елеулі әсер ете алатын маңызды кибер қауіптер туралы ерікті түрде есеп беруі мүмкін

3-тірек: Сандық операциялық төзімділікті тестілеу

Барлық ауқымдағы субъектілер өздерінің АКТ жүйелері мен бақылауларын тұрақты тестілеуді жүргізуі тиіс. Тестілеу бағдарламасына мыналар кіруі тиіс:

  • Осалдықтарды бағалау және желі қауіпсіздігін сканерлеу
  • Ашық бастапқы кодты бағдарламалық жасақтаманы талдау
  • Олқылықтарды талдау және өнімділікті тестілеу
  • Сценарийге негізделген тестілеу және үйлесімділікті тестілеу
  • Мүмкін болған жағдайда бастапқы кодты шолу

Маңызды деп анықталған субъектілер кемінде үш жылда бір рет Қауіпке негізделген пенетрациялық тестілеу (TLPT) жүргізуі тиіс.

4-тірек: АКТ үшінші тарап тәуекелдерін басқару

Бұл тірек АКТ қызметтерінің аз санды провайдерлерге шоғырлануы тудыратын жүйелік тәуекелді қарастырады. Талаптарға мыналар кіреді:

  • Барлық АКТ үшінші тарап келісімдерінің жан-жақты тізілімін жүргізу
  • АКТ үшінші тарап келісімдеріне кірмес бұрын тиісті тексеру жүргізу
  • Қауіпсіздік, аудит құқықтары, шығу стратегиялары және субаутсорсинг шектеулерін қамтитын міндетті шарттық ережелерді қосу
  • АКТ үшінші тарап провайдерлерінің өнімділігін және тәуекел профилін үздіксіз мониторингтеу
  • Барлық маңызды функциялар үшін шығу стратегиялары мен көшу жоспарларын әзірлеу және тестілеу

5-тірек: Ақпарат алмасу

DORA қаржы субъектілерін ерікті кибер қауіп барлау ақпаратымен алмасу келісімдеріне қатысуға ынталандырады (бірақ міндеттемейді). Бұл келісімдер деректерді қорғау талаптарына сәйкес болуы және сенімді ақпарат алмасу қоғамдастықтарын пайдалануы тиіс.

DORA және NIS2 — қарым-қатынасты түсіну

DORA мен NIS2 екеуі де киберқауіпсіздік пен операциялық төзімділікті қарастырады, бірақ олар әр түрлі мақсаттарға қызмет етеді. NIS2 — барлық маңызды секторларға қолданылатын көлденең директива, ал DORA — қаржы қызметтері саласына арнайы бейімделген секторлық регламент.

Lex specialis принципіне сәйкес, DORA өз ауқымындағы қаржы субъектілері үшін NIS2-ден басым. Дегенмен, NIS2 қамтылатын секторларда (мысалы, цифрлық инфрақұрылым) қызметтер де ұсынатын қаржы субъектілері екеуіне де сәйкес келуі қажет болуы мүмкін.

FinTech компаниялар үшін іске асыру қадамдары

DORA толық қолданылатынын ескере отырып, әлі сәйкестікке қол жеткізбеген FinTech компаниялар келесі әрекеттерге басымдық беруі тиіс:

  • Ауқымды анықтау: Субъект түріңізге, көлеміңізге және АКТ қызметтеріңіздің сипатына негізделген қандай DORA ережелерінің қолданылатынын растаңыз.
  • АКТ тәуекелдерін басқару шеңбері: 5-16 баптарға сәйкес шеңберіңізді құрыңыз немесе жақсартыңыз. Кеңес деңгейіндегі басқаруды, құжатталған саясаттарды және жалпы тәуекелдерді басқарумен біріктіруді қамтамасыз етіңіз.
  • Үшінші тарап тізілімі: 28-бапқа сәйкес АКТ үшінші тарап келісімдері туралы ақпарат тізілімін құрыңыз және қолдаңыз.
  • Оқиғаларды жіктеу және есеп беру: АКТ оқиғаларын RTS-ке сәйкес жіктеу және есеп беру процестерін іске асырыңыз.
  • Тестілеу бағдарламасы: Тәуекел профиліңізге пропорционалды тестілеу бағдарламасын жобалаңыз.
  • Шарттарды шолу: Бар АКТ үшінші тарап шарттарын 30-бапта көрсетілген міндетті ережелерді қосу үшін қайта қараңыз және өзгертіңіз.
  • Оқыту және хабардарлық: Басшылық пен тиісті қызметкерлердің DORA талаптарын және жауапкершіліктерін түсінуін қамтамасыз етіңіз.

BALTUM DORA сәйкестігін қалай қолдайды

BALTUM FinTech компаниялар мен қаржы институттарына арнайы DORA сәйкестік қызметтерін ұсынады. Біздің қызметтерімізге барлық бес тірек бойынша олқылықтарды бағалау, АКТ тәуекелдерін басқару шеңберін әзірлеу, үшінші тарап тізілімін құрастыру, оқиғаларға жауап беруді жоспарлау және төзімділікті тестілеу бағдарламаларына дайындық кіреді.

Біз сондай-ақ АКТ қызмет провайдерлеріне DORA бойынша міндеттемелерін түсінуге және маңызды үшінші тарап провайдері ретінде ықтимал белгілеуге дайындалуға көмектесеміз. Бастапқы бағалау жоспарлау және DORA сәйкестік жол картаңызды әзірлеу үшін BALTUM-ға хабарласыңыз.