Регламент (ЕС) 2022/2554 относно цифровата оперативна устойчивост на финансовия сектор – Digital Operational Resilience Act (DORA) – Установява единни правила за сигурността на мрежовите и информационните системи на финансовите институции, като банки, застрахователни компании и инвестиционни компании. Което се отнася конкретно за:

1. кредитните институции, платежните институции, институциите за електронни пари и институциите за професионално пенсионно осигуряване;
2. доставчиците на услуги за информация за сметки, криптоактиви, докладване на данни, групово финансиране и трети страни в областта на ИКТ;
3. инвестиционни посредници, алтернативни инвестиционни фондове, управляващи дружества, агенции за кредитен рейтинг и администратори на критични бенчмаркове;
4. регистрите за търговия и секюритизация, централните депозитари на ценни книжа, централните контрагенти и местата за търговия;
5. застрахователи, застрахователни посредници и презастрахователни предприятия;

Финансовите субекти, различни от микропредприятията:

• имат въведени мерки за вътрешно управление и контрол, които гарантират ефективно и разумно управление на риска, свързан с ИКТ;
• гарантират, че техният управителен орган определя, одобрява, контролира и отговаря за всички съответни мерки;
• разполагат с надеждна, всеобхватна и добре документирана рамка за управление на риска в областта на ИКТ с необходимите стратегии, политики, процедури, протоколи и инструменти за бърза и ефективна реакция;
• използват и поддържат актуализирани ИКТ системи, протоколи и инструменти, които са подходящи, надеждни, технологично устойчиви и с достатъчен капацитет;
• идентифицират, класифицират и адекватно документират всички бизнес функции, роли и отговорности, поддържани от ИКТ, и правят преглед на рисковите сценарии;
• непрекъснато следят за сигурността и функционирането на ИКТ системите и инструментите, за да сведат до минимум въздействието на всеки риск в областта на ИКТ;
• своевременно откриват аномалии и идентифицират потенциални точки на срив;
• въвеждат цялостна политика за непрекъснатост на дейността на ИКТ с подходящи планове, процедури и механизми;
• разработват и документират политики за архивиране и процедури за възстановяване на информацията;
• разполагат с ресурси и персонал за оценка на уязвимостите и киберзаплахите, инцидентите, свързани с ИКТ, особено кибератаките, и анализират потенциалното им въздействие върху цифровата оперативна устойчивост на структурата;
• разработват планове за кризисна комуникация, за да разкриват поне основните инциденти или уязвимости, свързани с ИКТ, на клиентите, партньорите и обществеността;

Конкретни парични санкции не са посочени в DORA, но ще има значителни финансови последици за субекти в ЕИП, които не спазват изискванията. Европейските надзорни органи (известни също като надзорни органи) във всяка от държавите-членки имат свободата да налагат дневна глоба (до шест месеца), съответстваща на 1% от средния дневен световен оборот от предходната финансова година. Въпреки че някои източници може да докладват данни от конкретни държави и да включват прогнози или сравнения с наказания съгласно подобни разпоредби, като GDPR, те са анекдотични и подлежат на голяма променливост.

В много сериозни или постоянни случаи на несъответствие регулаторните органи могат дори да наложат оперативни ограничения. Това може да включва спиране на определени бизнес дейности или услуги, които се считат за силно уязвими към заплахи за киберсигурността, или спиране на лицензи, ако се установи, че субектите постоянно нарушават стандартите на DORA. Тези мерки гарантират, че несъответстващите субекти не могат да работят по начини, които застрашават по-широката финансова или цифрова екосистема или подкопават доверието във финансовата инфраструктура на ЕС.

Освен глобите и оперативните последствия, компаниите, които не спазват DORA, също са изправени пред значителни щети на репутацията си. Инцидентите на киберсигурността, дължащи се на слаба дигитална устойчивост, съчетани със санкции за неспазване, могат да подкопаят доверието на клиентите и партньорите. В силно взаимосвързан пазар, репутационните щети могат да имат сериозно дългосрочно въздействие върху жизнеспособността на компанията.

Прилагането на изискванията на DORA ще бъде постоянно предизвикателство. Както дълбочината, така и обхватът на изискванията във всички аспекти на мандата, като докладване на инциденти и управление на риска от трети страни, изискват постоянни действия и внимателно планиране. Въпреки това, разбирането, че основната киберхигиена и силното удостоверяване са в основата на всичко това, не само ще насърчи култура на силна киберсигурност, но и ще вдигне летвата за това как бизнесът гледа на риска и устойчивостта.

YubiKeys може да подкрепи бизнеси от всякакъв размер в продължаващото им пътуване към съответствие с DORA – златният стандарт за хардуерни ключове за сигурност и MFA, устойчиви на фишинг – за защита на служителите, веригата за доставки и клиентите. Нашата автентификация с най-висока степен на сигурност ще помогне за укрепване на защитите на бизнеса срещу кибератаки и инциденти, освобождавайки ресурси, за да се съсредоточим върху другите стълбове на DORA и, разбира се, върху основните бизнес ценности.