Biz haqimizdaStandartlarBlog ✦ AI baholashNarx olish →

DORA muvofiqlik — 2026-yilda FinTech kompaniyalar nimalarni bilishi kerak

Raqamli operatsion barqarorlik to'g'risidagi qonun endi to'liq qo'llaniladi. Ushbu qo'llanma beshta ustunni, kimlar qamrovga kirishini va FinTech kompaniyalar innovatsiyani to'xtatmasdan tartibga soluvchilarni qondiruvchi muvofiqlik dasturini qanday yaratishi mumkinligini tushuntiradi.

REGULYATORIKA 9 daq o'qish

DORA nima?

Raqamli operatsion barqarorlik to'g'risidagi qonun (DORA), rasmiy ravishda (YeI) 2022/2554-Reglament, moliya sektorida axborot va kommunikatsiya texnologiyalari (AKT) xavfini boshqarish uchun keng qamrovli doirani belgilaydigan Yevropa Ittifoqi reglamentidir. Direktivadan farqli o'laroq, DORA milliy transpozitsiyaga muhtoj bo'lmasdan barcha YeI a'zo davlatlarida bevosita qo'llaniladi.

DORA 2022-yil 27-dekabrda YeI Rasmiy jurnalida nashr etilgan va 2023-yil 16-yanvarda kuchga kirgan, ikki yillik amalga oshirish davri bilan. Reglament 2025-yil 17-yanvardan to'liq qo'llanila boshladi, ya'ni barcha qamrovdagi sub'ektlar endi muvofiqlikni namoyish etishlari kerak.

Reglament moliya sektorining texnologiyaga tobora ortib borayotgan bog'liqligi tizimli xavf yaratishini tan olgan holda ishlab chiqilgan. Yirik moliya muassasasida yoki muhim uchinchi tomon provayderida sezilarli AKT buzilishi butun moliya tizimi bo'ylab tarqalishi mumkin. DORA moliyaviy sub'ektlarning AKT bilan bog'liq buzilishlarga bardosh bera olishini, javob bera olishini va ulardan tiklanishini ta'minlashga qaratilgan.

Kimlar qamrovga kiradi?

DORA keng ko'lamli moliyaviy sub'ektlarga, deyarli butun YeI moliyaviy xizmatlar ekotizimiga taalluqli:

  • Kredit muassasalari (banklar)
  • To'lov muassasalari va elektron pul muassasalari
  • Investitsiya firmalari va savdo maydonchalari
  • Sug'urta va qayta sug'urta tashkilotlari
  • Markaziy kontragentlar va markaziy qimmatli qog'ozlar depozitariylari
  • Kripto-aktivlar xizmat ko'rsatuvchilari (MiCA bo'yicha)
  • Kraudfanding xizmat ko'rsatuvchilari
  • Hisob ma'lumotlari xizmat ko'rsatuvchilari
  • Boshqaruv kompaniyalari va muqobil investitsiya fondlari menejerlari
  • Kredit reyting agentliklari

Muhimi shundaki, DORA shuningdek muhim AKT uchinchi tomon xizmat ko'rsatuvchilariga (CTPP) ham taalluqli. Moliya sektoriga xizmat ko'rsatuvchi bulut provayderlari, ma'lumotlar tahlili kompaniyalari, dasturiy ta'minot sotuvchilari va boshqariladigan xizmat ko'rsatuvchilar muhim deb belgilanishi va YeI moliyaviy nazorat organlari (Yevropa nazorat organlari: EBA, ESMA va EIOPA) tomonidan bevosita nazoratga olinishi mumkin.

FinTech kompaniyalar uchun bu ikki tomonlama qamrov ayniqsa muhim. Ko'pgina FinTech firmalar ham qamrovdagi moliyaviy sub'ektlar, ham boshqa tartibga solinadigan firmalarga AKT xizmat ko'rsatuvchilaridir.

DORA ning beshta ustuni

1-ustun: AKT xavfini boshqarish

Moliyaviy sub'ektlar umumiy xavflarni boshqarish tizimiga integratsiyalashgan keng qamrovli AKT xavfini boshqarish doirasini yaratishi va qo'llab-quvvatlashi kerak. Asosiy talablar quyidagilarni o'z ichiga oladi:

  • Barcha AKT tomonidan qo'llab-quvvatlanadigan biznes funktsiyalari, aktivlari va bog'liqliklarni aniqlash va tasniflash
  • Tahdidlar, zaifliklar va potentsial ta'sirlarni o'z ichiga olgan AKT xavflarini uzluksiz aniqlash va baholash
  • Kirish nazorati, shifrlash, yamoqlarni boshqarish va tarmoq xavfsizligi kabi himoya va oldini olish choralarini amalga oshirish
  • Anomal faoliyat va AKT hodisalarini aniqlash mexanizmlari
  • Belgilangan rollar, aloqa protseduralari va sinovdan o'tgan zaxira va tiklash imkoniyatlari bilan javob berish va tiklash rejalari
  • Hodisadan keyingi ko'rib chiqishlar va olingan saboqlarni o'z ichiga olgan o'rganish va rivojlanish jarayonlari

Boshqaruv organi (direktorlar kengashi yoki ekvivalenti) AKT xavfini boshqarish uchun yakuniy mas'uliyatni o'z zimmasiga oladi va AKT xavfini boshqarish doirasini tasdiqlashi, yetarli resurslar ajratishi va muntazam hisobot orqali xabardor bo'lishi kerak.

2-ustun: AKT bilan bog'liq hodisalar haqida hisobot berish

DORA moliya sektori uchun uyg'unlashtirilgan hodisa hisobot doirasini belgilaydi. Sub'ektlar quyidagilarni bajarishlari kerak:

  • AKT bilan bog'liq hodisalarni Yevropa nazorat organlari tomonidan belgilangan mezonlar bo'yicha tasniflash (og'irlik, davomiylik, geografik tarqalish, ma'lumotlar yo'qotishlari, ta'sirlangan xizmatlarning muhimligi)
  • Yirik AKT bilan bog'liq hodisalar haqida tegishli vakolatli organga standartlashtirilgan shablon yordamida hisobot berish
  • Belgilangan muddatlarda boshlang'ich xabarnoma, oraliq hisobot va yakuniy hisobot taqdim etish
  • Moddiy ta'sir ko'rsatishi mumkin bo'lgan muhim kiber tahdidlar haqida ixtiyoriy ravishda hisobot berish

3-ustun: Raqamli operatsion barqarorlikni sinash

Barcha qamrovdagi sub'ektlar o'zlarining AKT tizimlari va nazorat choralarini muntazam sinab ko'rishlari kerak. Sinov dasturi quyidagilarni o'z ichiga olishi kerak:

  • Zaifliklarni baholash va tarmoq xavfsizligi tekshiruvlari
  • Ochiq kodli dasturiy ta'minot tahlili
  • Bo'shliq tahlillari va samaradorlik sinovi
  • Stsenariyga asoslangan sinov va moslik sinovi
  • Imkon qadar manba kodi tekshiruvlari

Muhim deb belgilangan sub'ektlar qo'shimcha ravishda kamida har uch yilda bir marta Tahdidga asoslangan kirish sinovi (TLPT) o'tkazishlari kerak.

4-ustun: AKT uchinchi tomon xavfini boshqarish

Ushbu ustun kam sonli provayderlar orasida AKT xizmatlarining konsentratsiyasi tufayli tizimli xavfni ko'rib chiqadi. Talablar quyidagilarni o'z ichiga oladi:

  • Barcha AKT uchinchi tomon kelishuvlari haqida keng qamrovli reestr yuritish
  • AKT uchinchi tomon kelishuvlariga kirishdan oldin tekshiruv o'tkazish
  • Xavfsizlik, audit huquqlari, chiqish strategiyalari va sub-autsorsingni cheklash bo'yicha majburiy shartnomaviy qoidalarni kiritish
  • AKT uchinchi tomon provayderlarining samaradorligi va xavf profilini doimiy ravishda monitoring qilish
  • Barcha muhim funktsiyalar uchun chiqish strategiyalari va o'tish rejalarini ishlab chiqish va sinab ko'rish

5-ustun: Axborot almashish

DORA moliyaviy sub'ektlarni ixtiyoriy kiber tahdid razvedka almashish kelishuvlarida ishtirok etishga rag'batlantiradi (lekin majburlamaydi). Maqsad jamoaviy vaziyatdan xabardorlikni yaxshilash va paydo bo'layotgan tahdidlarga tezroq javob berishni ta'minlashdir.

DORA va NIS2 — Munosabatni tushunish

DORA va NIS2 ikkalasi ham kiberxavfsizlik va operatsion barqarorlikni ko'rib chiqadi, ammo ular turli maqsadlarga xizmat qiladi. NIS2 barcha muhim sektorlarga taalluqli gorizontal direktiva, DORA esa moliyaviy xizmatlar sohasi uchun maxsus reglament.

Lex specialis tamoyiliga ko'ra, DORA o'z qamrovidagi moliyaviy sub'ektlar uchun NIS2 dan ustunlik qiladi. Biroq, NIS2 qamrovidagi sohalarda (masalan, raqamli infratuzilma) ham xizmat ko'rsatuvchi moliyaviy sub'ektlar ikkalasiga ham muvofiq bo'lishlari kerak bo'lishi mumkin.

FinTech kompaniyalar uchun amalga oshirish bosqichlari

DORA endi to'liq qo'llanilayotganini hisobga olsak, hali muvofiqlikka erishmagan FinTech kompaniyalar quyidagi harakatlarni ustuvor qilishlari kerak:

  • Qamrovni aniqlash: Sub'ekt turingiz, hajmingiz va AKT xizmatlaringiz tabiatiga asoslangan holda DORA qoidalarining qaysi biri taalluqli ekanligini tasdiqlang.
  • AKT xavfini boshqarish doirasi: 5-16-moddalar bo'yicha doirangizni yarating yoki yaxshilang. Kengash darajasidagi boshqaruvni, hujjatlashtirilgan siyosatlarni va umumiy xavflarni boshqarish bilan integratsiyani ta'minlang.
  • Uchinchi tomon reestri: 28-moddada talab qilinganidek AKT uchinchi tomon kelishuvlari haqida axborot reestrini yarating va saqlang.
  • Hodisalarni tasniflash va hisobot berish: RTS ga muvofiq AKT hodisalarini tasniflash va hisobot berish jarayonlarini joriy eting.
  • Sinov dasturi: Xavf profilingizga mutanosib sinov dasturini loyihalang.
  • Shartnomaviy ko'rib chiqishlar: Mavjud AKT uchinchi tomon shartnomalarini 30-moddada ko'rsatilgan majburiy qoidalarni kiritish uchun ko'rib chiqing va o'zgartiring.
  • O'qitish va xabardorlik: Rahbariyat va tegishli xodimlar DORA talablari va o'z mas'uliyatlarini tushunishlarini ta'minlang.

BALTUM DORA muvofiqligini qanday qo'llab-quvvatlaydi

BALTUM FinTech kompaniyalar va moliyaviy muassasalar uchun maxsus DORA muvofiqlik xizmatlarini taklif etadi. Xizmatlarimiz barcha beshta ustun bo'yicha bo'shliq baholashlari, AKT xavfini boshqarish doirasini ishlab chiqish, uchinchi tomon reestrini tuzish, hodisalarga javob berishni rejalashtirish va barqarorlik sinov dasturlariga tayyorgarlikni o'z ichiga oladi.

Dastlabki baholashni rejalashtirish va DORA muvofiqlik yo'l xaritangizni ishlab chiqish uchun BALTUM bilan bog'laning.