Биз жөнүндөСтандарттарБлог ✦ ЖИ-баалооБаа алуу →

DORA шайкештиги — 2026-жылы FinTech компаниялары эмнени билиши керек

Санариптик Операциялык Туруктуулук Актысы азыр толугу менен аткарылууда. Бул колдонмо беш мамыны, кимдер чөйрөгө кирерин жана FinTech компаниялары инновацияны токтотпостон жөнгө салуучуларды канааттандырган шайкештик программасын кантип курууга болорун түшүндүрөт.

ЖӨНГӨ САЛУУ 9 мүн окуу

DORA деген эмне?

Санариптик Операциялык Туруктуулук Актысы (DORA), расмий түрдө Жөнгө салуу (ЕБ) 2022/2554, каржы секторунда маалыматтык жана коммуникациялык технология (АКТ) тобокелдигин башкаруу үчүн комплекстүү негизди белгилеген Европа Биримдигинин жөнгө салуусу. Директивадан айырмаланып, DORA улуттук транспозицияга муктаж болбостон, бардык ЕБ мүчө мамлекеттеринде түздөн-түз колдонулат.

DORA ЕБнин Расмий журналында 2022-жылдын 27 декабрында жарыяланган жана 2023-жылдын 16-январында эки жылдык ишке ашыруу мезгили менен күчүнө кирген. Жөнгө салуу 2025-жылдын 17 январынан толугу менен колдонула баштады, бул бардык чөйрөдөгү субъекттер азыр шайкештикти көрсөтүшү керек дегенди билдирет.

Жөнгө салуу каржы секторунун технологияга болгон көз карандылыгынын күчөшү тутумдук тобокелдикти жаратарын тааныгандыктан иштелип чыккан. Ири каржы институтунда же маанилүү үчүнчү тарап провайдеринде олуттуу АКТ бузулуусу бүт каржы тутуму боюнча каскаддуу натыйжа бериши мүмкүн. DORA каржы субъекттеринин АКТге байланыштуу бузулууларга туруштук бере алышын, жооп кайтара алышын жана калыбына кела алышын камсыз кылууга багытталган.

Ким чөйрөдө?

DORA дээрлик бүт ЕБ каржы кызматтары экосистемасын камтыган каржы субъекттеринин кеңири чөйрөсүнө колдонулат:

  • Кредиттик институттар (банктар)
  • Төлөм институттары жана электрондук акча институттары
  • Инвестициялык фирмалар жана соода аянттары
  • Камсыздандыруу жана кайра камсыздандыруу ишканалары
  • Борбордук контрагенттер жана борбордук баалуу кагаздар депозитарийлери
  • Крипто-актив кызмат провайдерлери (MiCA боюнча)
  • Краудфандинг кызмат провайдерлери
  • Эсеп маалыматы кызмат провайдерлери
  • Башкаруу компаниялары жана альтернативдүү инвестициялык фонд менеджерлери
  • Кредиттик рейтинг агенттиктери

Маанилүүсү, DORA критикалык АКТ үчүнчү тарап кызмат провайдерлерине (CTPP) да жайылат. Каржы секторуна кызмат көрсөтүүчү булут провайдерлери, маалыматтарды анализдөө компаниялары, программалык камсыздоо провайдерлери жана башкарылган кызмат провайдерлери критикалык деп белгиленип, ЕБ каржы көзөмөл органдарынын түздөн-түз көзөмөлүнө алынышы мүмкүн.

FinTech компаниялары үчүн бул кош чөйрө өзгөчө маанилүү. Көптөгөн FinTech фирмалары чөйрөдөгү каржы субъекттери да, башка жөнгө салынган фирмаларга АКТ кызмат провайдерлери да болуп саналат.

DORAнын беш мамысы

1-мамы: АКТ тобокелдигин башкаруу

Каржы субъекттери жалпы тобокелдиктерди башкаруу тутумуна интеграцияланган комплекстүү АКТ тобокелдигин башкаруу негизин түзүшү жана колдошу керек. Негизги талаптарга төмөнкүлөр кирет:

  • Бардык АКТ колдоого алынган бизнес функцияларды, активдерди жана көз карандылыктарды аныктоо жана классификациялоо
  • АКТ тобокелдиктерин, анын ичинде коркунучтарды, алсыздыктарды жана потенциалдуу таасирлерди үзгүлтүксүз аныктоо жана баалоо
  • Коргоо жана алдын алуу чараларын, анын ичинде кирүү контролдорун, шифрлөөнү, жамаачы башкарууну жана тармак коопсуздугун ишке ашыруу
  • Аномалдуу аракеттерди жана АКТ инциденттерин аныктоо механизмдери
  • Аныкталган ролдор, байланыш процедуралары жана тестирленген резервдик көчүрмөлөө жана калыбына келтирүү мүмкүнчүлүктөрү менен жооп берүү жана калыбына келтирүү пландары

Башкаруу органы (директорлор кеңеши же эквиваленти) АКТ тобокелдигин башкаруу үчүн акыркы жоопкерчиликти тартат.

2-мамы: АКТге байланыштуу инциденттер жөнүндө отчёттуулук

DORA каржы сектору үчүн гармониялаштырылган инциденттер жөнүндө отчёт берүү негизин белгилейт. Субъекттер:

  • АКТге байланыштуу инциденттерди Европа Көзөмөл Органдары тарабынан аныкталган критерийлер боюнча классификациялашы керек
  • Олуттуу АКТге байланыштуу инциденттер жөнүндө стандарттуу шаблон аркылуу тиешелүү компетенттүү органга маалымдашы керек
  • Аныкталган мөөнөттөрдүн ичинде алгачкы билдирүү, аралык отчёт жана акыркы отчёт берүүгө тийиш

3-мамы: Санариптик операциялык туруктуулукту тестирлөө

Бардык чөйрөдөгү субъекттер АКТ тутумдарын жана контролдорун мезгилдүү тестирлөө жүргүзүшү керек. Олуттуу деп аныкталган субъекттер кеминде үч жылда бир жолу коркунучка негизделген кирүү тестирлөөсүн (TLPT) жүргүзүүгө тийиш.

4-мамы: АКТ үчүнчү тарап тобокелдигин башкаруу

Бул мамы аз сандагы провайдерлер арасында АКТ кызматтарынын топтолушу жараткан тутумдук тобокелдикти камтыйт. Талаптарга төмөнкүлөр кирет:

  • Бардык АКТ үчүнчү тарап макулдашууларынын толук реестрин жүргүзүү
  • АКТ үчүнчү тарап макулдашууларын түзүүдөн мурун тиешелүү текшерүү жүргүзүү
  • Коопсуздук, аудит укуктары, чыгуу стратегиялары жана субаутсорсинг чектөөлөрүн камтыган милдеттүү келишимдик жоболорду камтуу
  • АКТ үчүнчү тарап провайдерлеринин натыйжалуулугун жана тобокелдик профилин үзгүлтүксүз мониторингдөө

5-мамы: Маалымат алмашуу

DORA каржы субъекттерин ыктыярдуу кибер коркунуч маалыматын алмашуу макулдашууларына катышууга көмөктөшөт (бирок милдеттебейт).

DORA жана NIS2 — Байланышты түшүнүү

DORA жана NIS2 экөө тең киберкоопсуздукту жана операциялык туруктуулукту камтыйт, бирок ар кандай максаттарга кызмат кылат. NIS2 бардык критикалык секторлорго колдонулган горизонталдуу директива, ал эми DORA каржы кызматтары тармагына ылайыкталган секторго тиешелүү жөнгө салуу.

Lex specialis принциби боюнча, DORA чөйрөсүндөгү каржы субъекттери үчүн NIS2ден артыкчылыкка ээ. Практикада уюмдар каржы сектору шайкештиги үчүн DORAны негизги негиз катары карашы жана каржылык эмес иш-аракеттерине тиешелүү кошумча талаптарды камтуу үчүн NIS2 колдонушу керек.

FinTech компаниялары үчүн ишке ашыруу кадамдары

DORA азыр толугу менен колдонулуп жаткандыктан, шайкештикке али жеткен жок FinTech компаниялары төмөнкү иш-аракеттерге артыкчылык бериши керек:

  • Чөйрөнү аныктоо: Субъект түрүңүзгө, көлөмүңүзгө жана АКТ кызматтарыңыздын мүнөзүнө негизделип, кайсы DORA жоболору колдонулаарын тастыктаңыз.
  • АКТ тобокелдигин башкаруу негизи: 5-16-беренелерге ылайык негизиңизди түзүңүз же күчөтүңүз. Директорлор кеңешинин деңгээлиндеги башкарууну, документтелген саясаттарды жана жалпы тобокелдиктерди башкаруу менен интеграцияны камсыз кылыңыз.
  • Үчүнчү тарап реестри: 28-беренеде талап кылынгандай АКТ үчүнчү тарап макулдашуулары жөнүндө маалымат реестрин түзүңүз жана жүргүзүңүз.
  • Инциденттерди классификациялоо жана отчёт берүү: РТС боюнча АКТ инциденттерин классификациялоо жана маалымдоо процесстерин ишке ашырыңыз.
  • Тестирлөө программасы: Тобокелдик профилиңизге пропорционалдуу тестирлөө программасын долбоорлоңуз.
  • Келишимдерди карап чыгуу: 30-беренеде көрсөтүлгөн милдеттүү жоболорду камтуу үчүн учурдагы АКТ үчүнчү тарап келишимдерин карап чыгыңыз жана оңдоңуз.
  • Окутуу жана маалымдоо: Жетекчилик жана тиешелүү персонал DORA талаптарын жана жоопкерчиликтерин түшүнүшүн камсыз кылыңыз.

BALTUM DORA шайкештигин кантип колдойт

BALTUM FinTech компаниялары жана каржы институттары үчүн адистештирилген DORA шайкештик кызматтарын сунуштайт. Биздин кызматтарга бардык беш мамы боюнча боштуктарды баалоо, АКТ тобокелдигин башкаруу негизин иштеп чыгуу, үчүнчү тарап реестрин түзүү, инцидентке жооп берүүнү пландоо жана туруктуулукту тестирлөө программаларын даярдоо кирет.

Баштапкы баалоону пландоо жана DORA шайкештик жол картаңызды иштеп чыгуу үчүн BALTUM менен байланышыңыз.