О насСтандартыБлог ✦ ИИ-оценкаПолучить предложение →

Соответствие DORA — Что нужно знать FinTech-компаниям в 2026 году

Закон о цифровой операционной устойчивости теперь полностью применим. Это руководство объясняет пять столпов, область применения и то, как FinTech-компании могут построить программу соответствия, удовлетворяющую регуляторов без торможения инноваций.

РЕГУЛЯТОРИКА 9 мин чтения

Что такое DORA?

Закон о цифровой операционной устойчивости (DORA), формально Регламент (ЕС) 2022/2554, — это регулирование Европейского союза, устанавливающее комплексную структуру для управления рисками информационных и коммуникационных технологий (ИКТ) в финансовом секторе. В отличие от директивы, DORA напрямую применим во всех государствах-членах ЕС без необходимости национальной транспозиции.

DORA был опубликован в Официальном журнале ЕС 27 декабря 2022 года и вступил в силу 16 января 2023 года с двухлетним периодом внедрения. Регламент стал полностью применимым 17 января 2025 года, что означает, что все подпадающие под его действие субъекты должны теперь демонстрировать соответствие.

Регламент разработан с учётом того, что растущая зависимость финансового сектора от технологий создаёт системный риск. Значительный сбой ИКТ в крупном финансовом учреждении или у критического поставщика третьей стороны может каскадно распространиться по всей финансовой системе. DORA призван обеспечить, чтобы финансовые субъекты могли противостоять, реагировать и восстанавливаться после сбоев, связанных с ИКТ.

Кто попадает в сферу действия?

DORA распространяется на широкий круг финансовых субъектов, охватывая фактически всю экосистему финансовых услуг ЕС:

  • Кредитные учреждения (банки)
  • Платёжные учреждения и учреждения электронных денег
  • Инвестиционные фирмы и торговые площадки
  • Страховые и перестраховочные компании
  • Центральные контрагенты и центральные депозитарии ценных бумаг
  • Поставщики услуг по крипто-активам (в рамках MiCA)
  • Поставщики краудфандинговых услуг
  • Поставщики информационных услуг по счетам
  • Управляющие компании и менеджеры альтернативных инвестиционных фондов
  • Кредитные рейтинговые агентства

Важно, что DORA также распространяется на критических ИКТ-поставщиков третьих сторон (CTPP). Облачные провайдеры, компании по аналитике данных, вендоры ПО и поставщики управляемых услуг, обслуживающие финансовый сектор, могут быть признаны критическими и подвергнуты прямому надзору со стороны финансовых надзорных органов ЕС (Европейские надзорные органы: EBA, ESMA и EIOPA).

Для FinTech-компаний эта двойная область применения особенно важна. Многие FinTech-фирмы являются одновременно подпадающими под действие финансовыми субъектами и ИКТ-поставщиками для других регулируемых фирм.

Пять столпов DORA

Столп 1: Управление ИКТ-рисками

Финансовые субъекты должны создать и поддерживать комплексную систему управления ИКТ-рисками, интегрированную в общую систему управления рисками. Ключевые требования:

  • Идентификация и классификация всех бизнес-функций, активов и зависимостей, поддерживаемых ИКТ
  • Непрерывная идентификация и оценка ИКТ-рисков, включая угрозы, уязвимости и потенциальные последствия
  • Реализация мер защиты и предотвращения, включая контроль доступа, шифрование, управление обновлениями и сетевую безопасность
  • Механизмы обнаружения аномальных действий и ИКТ-инцидентов
  • Планы реагирования и восстановления с определёнными ролями, процедурами коммуникации и протестированными возможностями резервного копирования и восстановления
  • Процессы обучения и развития, включая постинцидентные обзоры и учёт извлечённых уроков

Руководящий орган (совет директоров или эквивалент) несёт конечную ответственность за управление ИКТ-рисками и должен утверждать структуру управления рисками, выделять достаточные ресурсы и быть информированным через регулярную отчётность.

Столп 2: Отчётность об ИКТ-инцидентах

DORA устанавливает гармонизированную структуру отчётности об инцидентах для финансового сектора. Субъекты должны:

  • Классифицировать ИКТ-инциденты с использованием критериев, определённых Европейскими надзорными органами (серьёзность, продолжительность, географический охват, потери данных, критичность затронутых услуг)
  • Сообщать о крупных ИКТ-инцидентах компетентному органу с использованием стандартизированного шаблона
  • Представить первичное уведомление, промежуточный отчёт и итоговый отчёт в определённые сроки
  • Добровольно сообщать о значимых киберугрозах, которые могут оказать существенное влияние

Система отчётности призвана дополнять, а не дублировать существующие секторальные обязательства. Европейские надзорные органы опубликовали регуляторные технические стандарты (RTS), определяющие критерии классификации, шаблоны отчётности и сроки.

Столп 3: Тестирование цифровой операционной устойчивости

Все подпадающие под действие субъекты должны проводить регулярное тестирование своих ИКТ-систем и контролей. Программа тестирования должна включать:

  • Оценки уязвимостей и сканирование сетевой безопасности
  • Анализ открытого программного обеспечения
  • GAP-анализы и тестирование производительности
  • Сценарное тестирование и тестирование совместимости
  • Обзоры исходного кода при возможности

Субъекты, признанные значимыми, должны дополнительно проводить тестирование на проникновение на основе угроз (TLPT) не реже одного раза в три года. TLPT должно выполняться в соответствии с системой TIBER-EU и охватывать критические или важные функции. Тесты должны проводиться независимыми квалифицированными тестировщиками, хотя использование внутренних тестировщиков допускается при определённых условиях с одобрения регулятора.

Столп 4: Управление рисками ИКТ третьих сторон

Этот столп направлен на системный риск, создаваемый концентрацией ИКТ-услуг у небольшого числа поставщиков. Требования включают:

  • Ведение полного реестра всех договорённостей с ИКТ-поставщиками третьих сторон, включая информацию о предоставляемых услугах, поставщике и оценке критичности
  • Проведение должной осмотрительности перед заключением договорённостей с ИКТ-поставщиками
  • Включение обязательных договорных положений о безопасности, правах аудита, стратегиях выхода и ограничениях субаутсорсинга
  • Мониторинг производительности и профиля рисков ИКТ-поставщиков на постоянной основе
  • Разработка и тестирование стратегий выхода и планов перехода для всех критических или важных функций

Критические ИКТ-поставщики, определённые ESA, будут подвергаться прямому надзору, включая инспекции, рекомендации и возможность наложения штрафных платежей за несоблюдение.

Столп 5: Обмен информацией

DORA поощряет (но не обязывает) финансовые субъекты участвовать в добровольном обмене информацией о киберугрозах. Такие договорённости должны соответствовать требованиям защиты данных и использовать доверенные сообщества обмена информацией. Цель — повысить коллективную осведомлённость о ситуации и обеспечить более быстрое реагирование на возникающие угрозы.

DORA и NIS2 — Понимание взаимосвязи

DORA и NIS2 направлены на кибербезопасность и операционную устойчивость, но служат разным целям. NIS2 — горизонтальная директива, применимая ко всем критическим секторам, тогда как DORA — секторальный регламент, разработанный для индустрии финансовых услуг.

По принципу lex specialis DORA имеет приоритет над NIS2 для финансовых субъектов в своей области действия. Однако финансовые субъекты, также предоставляющие услуги в секторах, охваченных NIS2 (например, цифровая инфраструктура), могут подпадать под оба регулирования. ИКТ-поставщики, не признанные критическими по DORA, могут всё же подпадать под NIS2 как поставщики цифровых услуг.

На практике организации должны рассматривать DORA как основную структуру для соответствия финансового сектора, а NIS2 использовать для покрытия дополнительных требований к нефинансовой деятельности.

Шаги внедрения для FinTech-компаний

Учитывая, что DORA теперь полностью применим, FinTech-компании, ещё не достигшие соответствия, должны приоритизировать следующие действия:

  • Определение области действия: Подтвердите, какие положения DORA применимы, исходя из типа вашего субъекта, размера и характера ИКТ-услуг. Более мелкие субъекты пользуются упрощённой системой управления ИКТ-рисками по Статье 16.
  • Система управления ИКТ-рисками: Создайте или усовершенствуйте систему в соответствии со Статьями 5–16. Обеспечьте управление на уровне совета директоров, документированные политики и интеграцию с общим управлением рисками.
  • Реестр третьих сторон: Создайте и ведите реестр информации о договорённостях с ИКТ-поставщиками согласно Статье 28. Это часто одна из самых трудоёмких начальных задач.
  • Классификация и отчётность об инцидентах: Внедрите процессы классификации и отчётности об ИКТ-инцидентах в соответствии с RTS. Интегрируйте их с существующими процедурами реагирования на инциденты.
  • Программа тестирования: Разработайте программу тестирования, пропорциональную вашему профилю рисков. Если вы признаны значимым субъектом, запланируйте TLPT в рамках трёхлетнего цикла.
  • Обзор контрактов: Пересмотрите и дополните существующие контракты с ИКТ-поставщиками обязательными положениями по Статье 30.
  • Обучение и осведомлённость: Обеспечьте, чтобы руководство и соответствующий персонал понимали требования DORA и свои обязанности.

Как BALTUM поддерживает соответствие DORA

BALTUM предлагает специализированные услуги по соответствию DORA для FinTech-компаний и финансовых учреждений. Наши услуги включают GAP-оценки по всем пяти столпам, разработку системы управления ИКТ-рисками, составление реестра третьих сторон, планирование реагирования на инциденты и подготовку к программам тестирования устойчивости.

Мы также помогаем ИКТ-поставщикам понять их обязательства по DORA и подготовиться к потенциальному признанию критическим поставщиком. Свяжитесь с BALTUM для назначения первичной оценки и разработки дорожной карты соответствия DORA.