Публичен секторStartups и ScaleupsТехнологииФинансови пазари
Носи ли тя и много бюрокрация и как да се справим с процеса по привеждане в съответствие?
Финансовият сектор отдавна е зависим от информационните и комуникационните технологии (ИКТ) и тази зависимост само се увеличава с времето. Секторът използва ИКТ за предоставяне на своите финансови услуги на други сектори и на обществото. А за това от своя страна финансовият сектор зависи от доставчиците на услуги в областта на информационните и комуникационните технологии.
Според Европейския съюз тази верига на зависимост създава риск от смущения във финансовите структури, които могат да засегнат други сектори и потенциално цялата икономика, тъй като доставчиците на услуги в областта на ИКТ не са толкова добре регулирани, колкото финансовите институции. Ето защо DORA идва на помощ!
Коя е DORA?
DORA идва от Digital Operational Resilience Act или на български Регламент за дигитална оперативна устойчивост. Той влезе в сила на 16 януари 2023 г. и ще се прилага от 17 януари 2025 г. Целта на регулацията е да укрепи IT сигурността на финансовите субекти като банки, застрахователни дружества и инвестиционни фирми, като по този начин гарантира, че финансовият сектор в Европа е в състояние да остане устойчив в случай на сериозно оперативно смущение.
Според Съвета на ЕС трябва да бъдат взети мерки срещу „постоянно нарастващите рискове от кибератаки“ и други смущения в областта на ИКТ. DORA задава единни изисквания за сигурността на мрежовите и информационните системи за цялата верига от всички субекти във финансовия сектор и всички трети страни, които им предоставят услуги в областта на ИКТ (напр. облачни платформи или услуги за анализ на данни).
Тези изисквания са хомогенни във всички държави членки на ЕС. Основната цел е да се предотвратят и смекчат киберзаплахите. Организациите, попадащи в обхвата на регламента, трябва да могат да устояват, да реагират и да се възстановяват от всички видове смущения и заплахи, свързани с ИКТ.
От общо към конкретно
DORA е част от по-голям пакет за цифрови финанси, предложен от Европейската комисия с цел да се положат основите за насърчаване на технологичното развитие и осигуряване на финансова стабилност и защита на потребителите. В допълнение към предложението за DORA пакетът съдържаше стратегия за цифрови финанси, предложение за пазарите на криптоактиви (MiCA) и предложение за технологията на разпределения регистър (DLT). Можете да прочетете повече за MiCA и как можем да ви помогнем да приведете бизнеса си в съответствие, като кликнете тук.
DORA обхваща шест важни направления:
- Управление на риска в областта на ИКТ – тази рамка определя принципите и изискванията за управление на риска в областта на ИКТ;
- Управление на риска от трети страни в областта на ИКТ – тази част обхваща наблюдение на риска от трети страни и ключови договорни разпоредби;
- Тестване на цифровата оперативна устойчивост – набор от тестове, включващи базово и разширено тестване;
- Инциденти, свързани с ИКТ – тази рамка включва управление на инциденти, свързани с ИКТ, както и уведомяване на компетентните органи за големи инциденти и за значителни киберзаплахи;
- Обмен на информация – обмен на информация и разузнавателни данни за киберзаплахи;
- Надзор на критични трети страни – доставчици на услуги – рамка за надзор на доставчици, които са определени като критични от европейските надзорни органи за финансовия сектор.
Съответните европейски надзорни органи (ЕНО), като Европейския банков орган (ЕБО), Европейския орган за ценни книжа и пазари (ЕОЦКП) и Европейския орган за застраховане и професионално пенсионно осигуряване (ЕОЗППО), ще разработват технически стандарти, които следва да се спазват от всички институции за финансови услуги – от банковия сектор до застраховането и управлението на активи. Съответните национални компетентни органи ще отговарят за надзора на съответствието и при необходимост ще прилагат регламента.
Първа партида стандарти
Първият набор от технически стандарти, разработени от ЕНО, излезе на 17 януари 2024 г. Съвместните окончателни проекти на технически стандарти включват:
Регулаторни технически стандарти (РТС) относно рамката за управление на риска в областта на ИКТ и относно опростената рамка за управление на риска
В този раздел са посочени повече елементи, свързани с управлението на риска в областта на ИКТ. Целта е да се хармонизират инструментите, методите, процесите и политиката. Посочва се, че тези елементи допълват вече определените в DORA.
Тези стандарти идентифицират ключовите елементи, които финансовите субекти, подлежащи на опростен режим и с по-нисък мащаб, риск, размер и сложност, ще трябва да имат, като определят опростена рамка за управление на риска в областта на ИКТ. Стандартите гарантират, че изискванията за управление на риска в областта на ИКТ са хармонизирани между различните финансови сектори.
РТС относно критериите за класифициране на инциденти, свързани с ИКТ
Тук са посочени критериите за класифициране на големи инциденти, свързани с ИКТ, както и
- подходът за класифициране на големи инциденти,
- праговете на същественост на всеки критерий за класифициране,
- критериите и праговете на същественост за определяне на значими киберзаплахи,
- критериите за оценка от страна на компетентните органи на значимостта на инциденти за съответните органи в други държави членки и подробностите за инцидентите, които трябва да бъдат споделяни в тази връзка.
Тези стандарти осигуряват хармонизиран и лесен процес на класифициране на докладите за инциденти в целия финансов сектор.
РТС за уточняване на политиката по отношение на услугите от областта на ИКТ, подпомагащи критични или важни функции, предоставяни от трети страни – доставчици
Тези РТС уточняват части от уредбата за управление, управлението на риска и рамката за вътрешен контрол, които финансовите субекти следва да въведат по отношение на използването на трети страни – доставчици на услуги от областта на ИКТ.
Те имат за цел да гарантират, че финансовите субекти продължават да контролират своите оперативни рискове, информационната сигурност и непрекъснатостта на дейността през целия жизнен цикъл на договорните споразумения с такива трети страни.
Технически стандарти за изпълнение (ТСИ) за създаване на образци за регистъра на информацията
И накрая тези ИТС установяват образците, които трябва да се поддържат и актуализират от финансовите субекти във връзка с договорните им споразумения с трети страни – доставчици на услуги в областта на ИКТ.
Регистърът на информацията ще играе ключова роля за управлението на риска, свързан с трети страни, от финансовите субекти. Също така ще се използва от компетентните органи и ЕНО в контекста на надзора на съответствието с DORA от страна на финансовите субекти и за определяне на критични доставчици на ИКТ услуги, които ще подлежат на надзорния режим.
Втора партида стандарти от надзорните органи
Втората партида, отново разработена от ЕНО, беше публикувана точно 6 месеца по-късно – на 17 юли 2024 г. Тя се състои от четири окончателни проекта на регулаторни технически стандарти (РТС), един набор от технически стандарти за изпълнение (ТСИ) и 2 указания. Целта на тези документи е да се повиши цифровата оперативна устойчивост на финансовия сектор на ЕС.
Пакетът е съсредоточен върху рамката за докладване на инциденти, свързани с ИКТ (яснота на докладването, образци), и тестовете за пробиви в сигурността. С него се въвеждат и някои изисквания относно дизайна на надзорната рамка.
Окончателните проекти на технически стандарти включват:
- РТС и ТСИ относно съдържанието, формата, образците и сроковете за докладване на големи инциденти, свързани с ИКТ, и значителни киберзаплахи;
- РТС за хармонизиране на условията, позволяващи извършването на надзорни дейности;
- РТС за конкретизиране на критериите за определяне състава на съвместния екип за проверка; и
- РТС относно тестовете за пробиви в сигурността (TLPT).
Наборът от насоки включва:
- Насоки за оценка на съвкупните разходи/загуби, причинени от големи инциденти, свързани с ИКТ; и
- Насоки за сътрудничество в областта на надзора.
Освен това през следващата седмица беше публикуван съвместен окончателен доклад относно проекта на технически стандарти за възлагане на поръчки на подизпълнители. Тези РТС са насочени към услугите в областта на ИКТ, предоставяни от подизпълнители, които поддържат критични или важни функции или съществени части от тях.
Те също така уточняват изискванията през целия жизнен цикъл на договорните споразумения между финансовите институции и третите страни доставчици на услуги в областта на ИКТ. По-специално те изискват от финансовите субекти да оценяват рисковете, свързани с възлагането на подизпълнители, по време на преддоговорната фаза, включително процеса на надлежна проверка.
Делегирани актове и актове за изпълнение
Като част от процеса на прилагане Европейската комисия приема различни актове, за да уточни как компетентните органи и участниците на пазара да изпълняват задълженията, предвидени в регламента.
До момента има 5 делегирани регулации, свързани с DORA, по отношение на:
- РТС, определящи критериите за класифициране на свързаните с ИКТ инциденти и киберзаплахи, както и праговете на същественост и подробностите за докладите за големи инциденти;
- РТС, определящи подробното съдържание на политиката по отношение на договорните споразумения за използването на ИКТ услуги, подпомагащи критични или важни функции, предоставяни от трети страни – доставчици на услуги от областта на ИКТ;
- РТС, определящи инструментите, методите, процесите и политиките за управление на риска в областта на ИКТ и опростената рамка за управление на риска в областта на ИКТ;
- определяне на размера на надзорните такси, които водещият надзорен орган ще събира от третите страни доставчици на услуги от областта на ИКТ, извършващи критични дейности, и начина на плащане на тези такси;
- определяне на критериите за определяне на доставчиците на ИКТ услуги от трети страни като критични за финансовите предприятия.
Тези регулации ще влязат в сила след публикуването им в Официален вестник на ЕС.
Следващи стъпки
Прилагането на DORA започва от 17 януари 2025 г. Надзорните дейности също започват от началото на 2025 г., което означава, че институциите ще следят активно дали новите правила се спазват.
Как можем да ви подкрепим?
YNG legal е тук, за да ви подкрепи в процеса на преминаване към пълно съответствие със Регламента за дигитална оперативна устойчивост.
- Ще ви преведем през целия процес на изпълнение на новите регулаторни изисквания: анализ на настоящата ситуация, набелязване на следващите стъпки, създаване на ключови документи и работа с институциите;
- Ще си сътрудничим отблизо с Вашия вътрешен IT екип: нашите юристи са на „Ти“ с технологиите и имат опит в работата с IT специалисти в различни области и от различен мащаб: от стартиращи предприятия до глобални корпорации;
- Може да ви свързваме с високоспециализирани ИТ компании, които да ви консултират допълнително, независимо колко голям или малък е вътрешният ви IT отдел.
Не чакайте повече! Свържете се с нас още сега, за да уредим вашето съответствие!
Експертизата на адвокат Иван Генчев е секторът на иновациите и технологиите. Той работи както с мултинационални технологични компании, така и със стъртъпи.
