DORA (Акт ЄС про цифрову операційну стійкість): що це і як він впливає на користувачів CoinW
DORA (Акт ЄС про цифрову операційну стійкість): що це і як він впливає на користувачів CoinW
Коротко: DORA — Регламент (ЄС) 2022/2554 — застосовується з 17 січня 2025 року по всьому ЄС. Він зобов’язує фінансові установи (включно з постачальниками послуг із криптоактивами (CASP) за MiCA) впровадити керування ІКТ-ризиками, проводити тестування стійкості, повідомляти про значні інциденти та контролювати критичних ІКТ-постачальників. Для користувачів CoinW це означає вищу безпеку, прозорішу комунікацію та стабільніший сервіс.
1) Що таке DORA
Акт про цифрову операційну стійкість (DORA) встановлює єдині правила управління ризиками інформаційних і комунікаційних технологій (ІКТ) у фінансовому секторі ЄС: попереджати інциденти, витримувати збої та швидко відновлюватися. Регламент застосовується безпосередньо в усіх державах-членах і гармонізує управління технологіями, тестування критичних можливостей та нагляд за ІКТ-постачальниками.
Правова довідка: Регламент (ЄС) 2022/2554 (DORA). Див. також сторінку EIOPA про DORA.
2) Ключові дати та сфера застосування
| Дата | Подія |
|---|---|
| 14 грудня 2022 | DORA ухвалено законодавцями ЄС. |
| 27 грудня 2022 | Опубліковано в Офіційному журналі ЄС (OJEU L 333). |
| 17 січня 2025 | DORA набирає чинності у всіх державах-членах. |
Кому застосовується
- Банки, страхові компанії, інвестиційні фірми, торговельні майданчики, платіжні установи, установи електронних грошей тощо.
- Постачальники послуг із криптоактивами (CASP) за MiCA та емітенти токенів, прив’язаних до активів (ART).
- Критично важливі ІКТ-провайдери під наглядом органів ЄС.
Ключові визначення
“ІКТ” охоплює хмарні сервіси, програмне забезпечення, центри обробки даних, мережі та засоби кібербезпеки, що використовуються для надання фінансових послуг.
3) Основні вимоги DORA
Управління ІКТ-ризиками
- Відповідальність керівництва та чіткий розподіл ролей.
- Контролі: реєстр активів, оновлення/патчі, безпечні конфігурації, резервне копіювання та відновлення.
- Плани безперервності бізнесу та відновлення (BCP/DRP).
Звітність про інциденти
- Класифікація та повідомлення нагляду про значні ІКТ-інциденти у встановлені строки.
- Ведення журналів і післяінцидентний аналіз для запобігання повторенню.
Тестування та навчання
- Регулярні оцінки, керування вразливостями та загрозоорієнтоване пентестування (TLPT) для суттєвих організацій.
- Навчальні та практичні вправи для перевірки відновлення й комунікацій.
Нагляд за третіми сторонами
- Договори з правами аудиту, вимогами до розміщення даних, метриками стійкості та планами виходу.
- Оцінка концентрації ризиків і посилений нагляд за критичними провайдерами.
4) Як це впливає на користувачів CoinW
Краща безперервність сервісу
Вищі цілі доступності, резервування та швидше відновлення після інцидентів.
Прозоріші повідомлення
У разі значних ІКТ-інцидентів очікуйте своєчасні повідомлення та підсумки після інциденту.
Посилена безпека акаунтів
MFA, захист сесій і моніторинг шахрайства допоможуть запобігати компрометації.
Безпечніший ланцюг постачальників
Хмарні та інші ІКТ-постачальники проходять ретельніший аудит і нагляд ЄС.
5) Зв’язок із MiCA, GDPR та NIS2
- MiCA регулює ринкову поведінку та авторизацію криптосервісів; DORA встановлює правила ІКТ-стійкості. Разом підвищують стандарти для криптоплатформ у ЄС.
- GDPR і далі регулює персональні дані; DORA доповнює його вимогами до стійкості та інцидент-менеджменту.
- NIS2 — ширша директива з кібербезпеки; для фінансового сектору DORA виступає lex specialis у питаннях ІКТ-стійкості.
6) Поширені запитання (FAQ)
Чи поширюється DORA на CoinW за межами ЄС?
DORA застосовується до діяльності в ЄС або послуг для користувачів у ЄС. Якщо CoinW обслуговує європейських користувачів, вимоги DORA будуть релевантними.
Чи можливі перерви через тестування DORA?
Окремі перевірки стійкості можуть вимагати планових вікон техобслуговування. Про них повідомлятимуть заздалегідь.
Як DORA контролює зовнішніх провайдерів?
Передбачені договірні права аудиту, вимоги до зберігання даних, показники стійкості та плани виходу; критичних провайдерів наглядають органи ЄС.
Чи охоплює DORA захист персональних даних?
DORA фокусується на операційній стійкості; захист персональних даних регулюється GDPR.
7) Офіційні джерела та корисні посилання
- EUR-Lex: Регламент (ЄС) 2022/2554 (DORA)
- EIOPA: Сторінка EIOPA щодо DORA
- Іспанія (DGSFP): Інформація про DORA
- INCIBE: Що таке Регламент DORA
- IMF: Технічна записка щодо кіберризиків і операційної стійкості
- Рада ЄС: Пресреліз про MiCA
- IBM Think: Тема DORA на IBM Think
