DORA
Что такое DORA?
DORAРегламент ЕС 2022/2554 о цифровой операционной устойчивости финансового сектора, применяется с 17 января 2025 года.
Регламент о цифровой операционной устойчивости (DORA, Регламент ЕС 2022/2554) — это акт прямого действия ЕС, который гармонизирует требования к управлению ИКТ-рисками, уведомлению об инцидентах, тестированию устойчивости и управлению рисками третьих сторон для финансовых организаций. Принят в декабре 2022 года, применяется с 17 января 2025 года и распространяется на банки, платёжные институты, страховщиков, инвестиционные фирмы, провайдеров крипто-услуг и критически важных ИКТ-третьих лиц. DORA требует наличия документированной системы управления ИКТ-рисками, классификации и уведомления о существенных инцидентах, проведения тестов на проникновение на основе угроз (TLPT) для значимых организаций и договорных гарантий при аутсорсинге ИКТ. Европейские надзорные органы (EBA, EIOPA, ESMA) издают технические стандарты и осуществляют прямой надзор за критическими провайдерами.
● Примеры
- 01
Европейский розничный банк проводит TLPT и уведомляет о значительном ИКТ-инциденте в установленные сроки.
- 02
Облачный провайдер, признанный критическим ИКТ-третьим лицом, подлежит прямому надзору со стороны ЕС.
● Частые вопросы
Что такое DORA?
Регламент ЕС 2022/2554 о цифровой операционной устойчивости финансового сектора, применяется с 17 января 2025 года. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает DORA?
Регламент ЕС 2022/2554 о цифровой операционной устойчивости финансового сектора, применяется с 17 января 2025 года.
Как работает DORA?
Регламент о цифровой операционной устойчивости (DORA, Регламент ЕС 2022/2554) — это акт прямого действия ЕС, который гармонизирует требования к управлению ИКТ-рисками, уведомлению об инцидентах, тестированию устойчивости и управлению рисками третьих сторон для финансовых организаций. Принят в декабре 2022 года, применяется с 17 января 2025 года и распространяется на банки, платёжные институты, страховщиков, инвестиционные фирмы, провайдеров крипто-услуг и критически важных ИКТ-третьих лиц. DORA требует наличия документированной системы управления ИКТ-рисками, классификации и уведомления о существенных инцидентах, проведения тестов на проникновение на основе угроз (TLPT) для значимых организаций и договорных гарантий при аутсорсинге ИКТ. Европейские надзорные органы (EBA, EIOPA, ESMA) издают технические стандарты и осуществляют прямой надзор за критическими провайдерами.
Как защититься от DORA?
Защита от DORA обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DORA?
Распространённые альтернативные названия: Закон о цифровой операционной устойчивости, Регламент (ЕС) 2022/2554.
● Связанные термины
- compliance№ 730
Директива NIS2
Директива ЕС 2022/2555, повышающая базовые требования к кибербезопасности и обязанности по уведомлению об инцидентах для существенных и важных субъектов в Союзе.
- compliance№ 1144
Управление рисками третьих сторон (TPRM)
Сквозная дисциплина идентификации, оценки, контрактации, мониторинга и отключения сторонних контрагентов, чтобы вносимые ими кибер-, операционные и комплаенс-риски оставались в пределах аппетита.
- forensics-ir№ 525
План реагирования на инциденты
Утверждённый документ, описывающий, как организация готовится, обнаруживает, сдерживает, ликвидирует, восстанавливается и извлекает уроки из киберинцидентов.
- defense-ops№ 813
Тестирование на проникновение
Санкционированная имитация кибератаки на системы, приложения или людей с целью выявить эксплуатируемые слабости до того, как это сделают реальные злоумышленники.
- compliance№ 440
GDPR
Общий регламент по защите данных Европейского союза, регулирующий обработку персональных данных лиц, находящихся в ЕС и ЕЭЗ.