Евросоюз: новые требования к финансовым институтам относительно управления киберрисками
Осенью 2020 года опубликован законопроект Евросоюза, налагающий на банки и прочие финансовые организации, действующие на территории стран Евросоюза, более жесткие требования к работе с рисками и угрозами.
Этот законопроект, получивший название Digital Operational Resilience Act (DORA), рассматривается как часть «Цифровой финансовой стратегии», разрабатываемой Евросоюзом последние два года. Он охватывает абсолютно все финансовые институты – от банков до инвестиционных фондов и покрывает следующие сферы деятельности:
Управление рисками. Компании обязывают: а) устанавливать и эксплуатировать устойчивые информационно-коммуникационные системы и инструменты, способные минимизировать риски на постоянной основе; б) внедрять меры защиты и предупреждения инцидентов кибербезопасности; в) разрабатывать планы выживаемости и восстановления бизнеса в условиях форс-мажора.
Отчетность об инцидентах. Финансовые организации должны разрабатывать и строго следовать четким инструкциям по вопросам мониторинга, классификации и отчетности перед соответствующими компетентными инстанциями о всех значимых инцидентах кибербезопасности.
Тестирование цифровых операционных систем. На компании налагаются обязательства регулярно тестировать возможности и функции, заложенные в цифровых информационно-коммуникационных технологиях, с целью обнаружения уязвимостей, изъянов, пробелов.
Риски третьей стороны. Организациям предписано изучать, отслеживать и документировать риски, связанные с деятельностью партнеров, клиентов, предусматривать в контрактах обязательства третьих сторон соблюдать требования, вытекающие из данного законодательства.
Обмен информацией. Законопроект обязывает финансовые организации обмениваться между собой информацией о киберугрозах.
Комментируя законопроект, Фархад Шаудри, главный информационный директор State Street Corporation (американская холдинговая компания, осуществляющая депозитарную и инвестиционную деятельность), полагает, что новый закон повлияет на финансовый сектор Евросоюза в целом и на отдельные организации в зависимости от их размера и оснащенности системами информзащиты.
Майк Батлер, независимый консультант по стартапам, уверен, что DORA окажет минимальное влияние на большинство крупных банков, стратегия и практика безопасности которых уже совпадает с требованиями законопроекта. Что же касается средних и небольших банков, страховых компаний, различных фондов, то многим из них, считает эксперт, предстоит скорректировать свои стратегии и бюджеты в пользу выделения средств на более совершенные технологии.
Эксперты обращают внимание на раздел документа, относящийся к взаимоотношениям с третьей стороной, с партнерами. Здесь, по их мнению, - наиболее слабое звено в системе информационной защиты. Между тем, актуальность безопасности партнерства возрастает по мере того, как набирают популярность аутсорсинг и облачные вычисления. Все виды взаимодействия с партнерами и клиентами должны охватываться периметром кибербезопасности.
В то же время Антон Коноплев, основатель и глава фирмы Palma Violets Loans, предупреждает, что новый закон, ужесточающий правила цифровой безопасности для финансовых организаций, может внести сумятицу и хаос относительно существующих контрактных обязательств, вызвать рост цен на услуги третьих сторон.
Законопроекту DORA предстоит пройти слушания и утверждение в Европарламенте. Такая процедура занимает обычно от 18 до 24 месяцев.
(по материалам журнала Chief Security Officer)
|
вернуться назад
