DORA- вимоги, особливості регулювання та практика

Інформація
16 Вер 2025
Дата публікації
Data privacy compliance
Категорія
Автори
Анастасія Полтавцева Legal IT Group
Анастасія Полтавцева
Privacy юристка в Legal IT Group

Ключові вимоги та новації DORA 

Фінансовий сектор є однією з найпривабливіших цілей для кіберзлочинців. Банки, страхові компанії, платіжні установи щодня обробляють величезні обсяги чутливої інформації та фінансових транзакцій. Будь-який серйозний інцидент, від DDoS-атаки до збою в роботі постачальника хмарних сервісів, може призвести до втрати мільйонів євро та підірвати довіру клієнтів і ринку в цілому.

До ухвалення DORA (Digital Operational Resilience Act, Регламент (ЄС) 2022/2554) правила у сфері інформаційної безпеки були фрагментовані: кожна країна ЄС застосовувала власні підходи, а наднаціональні акти (як-от PSD2 чи GDPR) регулювали лише частину питань. DORA створює єдину систему кіберстійкості для всього фінансового сектору ЄС.

Регламент був ухвалений у грудні 2022 року та починає діяти з 17 січня 2025 року.

Його головна мета це гарантувати, що фінансові організації та їхні постачальники Інформаційно-комунікаційних технологій (ІКТ) такі як cloud, SaaS, PaaS дата-центри, здатні витримувати кібератаки, технічні збої та інші ІТ-ризики, мають змогу швидко відновлювати роботу і нести відповідальність.

DORA: вимоги, особливості регулювання та практика

Хто підпадає під дію DORA?  

Регламент має дуже широкий обсяг застосування. Він охоплює понад 20 категорій суб’єктів фінансового ринку, зокрема:

  • банки та кредитні установи;
  • страхові компанії;
  • інвестиційні фірми та біржі;
  • постачальники платіжних послуг і електронних грошей;
  • постачальники криптовалютних послуг та оператори торговельних платформ;
  • центральні депозитарії та клірингові палати;
  • аудитори, рейтингові агентства та постачальники критично важливих фінансових даних.

Окремий акцент зроблено на постачальниках ІКТ-послуг, які обслуговують фінансові компанії. Якщо раніше вони залишалися поза зоною прямого нагляду, то тепер DORA встановлює для них спеціальний режим контролю.

Таким чином, дія DORA поширюється не лише на класичні фінансові організації, а й на ширший цифровий ланцюг постачання у фінансовому секторі.

Читайте більше: Як ми розробляємо політику конфіденційності та політику приватності? 

Ключові вимоги та новації DORA

DORA стоїть на п’яти основних стовпах.

 1. Управління ІТ-ризиками  

Кожна фінансова установа зобов’язана створити інтегровану систему управління ІТ-ризиками, яка охоплює:

  • політики кібербезпеки та управління ризиками;
  • процедури резервування і відновлення після інцидентів;
  • плани безперервності бізнесу (Business Continuity Policy);
  • внутрішні та зовнішні аудити;
  • механізми моніторингу нових загроз.

Вимога звучить просто, але на практиці це означає перебудову внутрішньої архітектури: від оновлення політик до створення нових посад (CISO, operational resilience officer).

2. Звітування про інциденти 

Регламент вводить єдину європейську схему звітування:

  • кожен серйозний ІТ-інцидент потрібно повідомляти до національного регулятора;
  • форма і строки подання уніфіковані для всіх учасників ринку;
  • дані передаються у стандартизованому форматі, щоб їх можна було агрегувати на рівні ЄС.

Це дозволяє створити систему раннього попередження і виявляти кібератаки на ранніх стадіях.

3. Тестування цифрової стійкості 

DORA зобов’язує компанії регулярно перевіряти стійкість до кібер загроз. Мінімальні вимоги:

  • внутрішнє тестування (penetration testing, vulnerability scanning);
  • симуляції кризових ситуацій (table-top exercises);
  • для системно важливих установ – Threat-Led Penetration Testing (TLPT), тобто імітація реальних атак за сценаріями, наближеними до роботи кіберзлочинців.

Це означає, що великі банки та інвесткомпанії фактично повинні будувати внутрішні «червоні команди» або залучати зовнішніх провайдерів.

4. Контроль постачальників ІКТ-послуг

Один із найбільш важливих елементів DORA це контроль за постачальниками ІКТ-послуг. Фінансові установи більше не можуть покладатися лише на добросовісність провайдерів. Тепер вони мають:

  • укладати договори з чітко прописаними SLA, безпековими вимогами і правом на аудит;
  • проводити регулярні оцінки ризиків залежності від конкретного постачальника;
  • передбачати механізми exit strategy (перехід на іншого провайдера без збоїв у бізнесі);
  • повідомляти регуляторів про використання критичних провайдерів.

Для критичних ІКТ-постачальників (наприклад, великих cloud-сервісів) діятиме окремий режим нагляду з боку європейських органів.

 5. Інформаційний обмін 

DORA заохочує створення платформ для обміну інформацією між фінансовими організаціями. Ідея в тому, щоб швидко поширювати дані про нові види атак і тактики зловмисників, підвищуючи загальну стійкість ринку.

DORA: вимоги, особливості регулювання та практика

Практичні наслідки для бізнесу

DORA змінює щоденну роботу компаній у кількох напрямах:

  • Організаційні зміни. Компанії повинні створити нові підрозділи/ролі для управління цифровою стійкістю, інтегрувати кіберризики у корпоративне управління.
  • Фінансові витрати. Витрати на тестування, аудит та нові договори з провайдерами значно зростуть.
  • Юридичні зобов’язання. Договори з ІКТ-постачальниками доведеться оновлювати відповідно до стандартів DORA.
  • Ризики санкцій. За невиконання обов’язків можливі великі штрафи та навіть обмеження діяльності.
  • Конкурентна перевага. Компанії, які рано впровадять DORA, отримають перевагу в очах клієнтів та партнерів, адже доведуть свою надійність.

Читайте більше: Data Act: що потрібно знати ІТ-бізнесу?

DORA та інші акти ЄС: як вони співвідносяться

Фінансовим компаніям важливо розуміти, що DORA не існує у вакуумі. Він взаємодіє з іншими ключовими актами:

  • GDPR. Якщо інцидент торкається персональних даних, запускається паралельний процес за GDPR (повідомлення наглядовому органу/суб’єктам). DORA не підміняє GDPR, але накладає додаткові вимоги до технічної і організаційної готовності.
  • NIS2. DORA є lex specialis для фінансового сектору у сфері кібербезпеки (правила DORA більш специфічні та суворі для фінансових організацій, ніж загальні вимоги NIS2). 
  • MiCA/PSD2/секторальні правила. DORA утворює надбудову щодо операційної стійкості: вимоги з ІКТ-ризиків і звітності діють разом із уже існуючими режимами.

Таким чином, DORA не замінює їх, а створює надбудову у сфері цифрової стійкості саме для фінансових установ. Це означає, що компанії мають враховувати комплекс усіх регуляторних вимог.

Обов’язки бізнесу: що робити, щоб бути в комплаєнсі 

Щоб виконати DORA, для початку компаніям потрібно:

  • провести gap assessment і визначити, які процеси не відповідають вимогам;
  • оновити політики кібербезпеки, включаючи інцидент-менеджмент і BCP;
  • створити систему звітування про інциденти та відповідальних осіб;
  • налаштувати регулярне тестування стійкості (включаючи penetration testing і crisis simulation);
  • провести ревізію контрактів з ІКТ-провайдерами, прописати SLA та права на аудит;
  • підготувати персонал (тренінги, awareness campaigns).
DORA: вимоги, особливості регулювання та практика

Контроль і санкції 

DORA вводить новий рівень регуляторного контролю.

  • За виконання регламенту відповідальні національні компетентні органи (NCA) у кожній державі-члені.
  • Для критичних ІКТ-постачальників діє спеціальний Європейський механізм нагляду, координований трьома європейськими наглядовими органами (EBA, ESMA, EIOPA).
  • Санкції включають:
    • штрафи до 1 % середньодобового світового обороту для ІКТ-постачальників за попередній фінансовий рік;
    • обмеження надання послуг;
    • відкликання ліцензій фінансових установ.

Таким чином, порушення DORA може коштувати бізнесу не лише грошей, а й присутності на ринку. 

 Як забезпечити відповідність DORA?

DORA вимагає не стільки окремого проєкту, скільки стабільної системи управління цифровою стійкістю. На практиці це означає, що у фінансової організації мають бути:

  • Стратегія та управління. Визначена роль керівного органу у нагляді за ІКТ-ризиками, затверджені політики та зрозуміла відповідальність бізнес-власників процесів.
  • Оцінка й контроль ІКТ-ризиків. Регулярна інвентаризація критичних функцій, ризик-метрики та заходи контролю, що відповідають масштабу та складності діяльності.
  • Готовність до інцидентів. Процедури класифікації та ескалації подій, внутрішні канали взаємодії, здатність своєчасно повідомляти регулятора й клієнтів у передбачених випадках.
  • Перевірка стійкості. Планові технічні та організаційні тести, що підтверджують працездатність резервування та відновлення.
  • Керування ІКТ-постачальниками. Прозорий облік договорів і залежностей, ключові умови безпеки в контрактах, правила суб-аутсорсингу та наявність реалістичної exit-стратегії.
  • Документування й доказовість. Журнали, звіти, метрики та матеріали навчань, які демонструють фактичне функціонування процесів.
  • Культура та навчання. Регулярне підвищення обізнаності для керівництва і команд, включно з відпрацюванням кризових сценаріїв.
  • Безперервне вдосконалення. Періодичний перегляд підходів з урахуванням змін у бізнесі, технологіях та регуляторних очікуваннях.

Хто може допомогти з DORA

Підготовка до DORA зазвичай поєднує роботу внутрішніх команд (безпека, ІТ, юридичний підрозділ) і, за потреби, залучення зовнішніх фахівців для методичної підтримки, оцінки готовності, оновлення політик та договорів, організації навчань і узгодження вимог DORA з іншими правовими актами, наприклад, GDPR чи NIS2. Лігал Айті Груп (Legal IT Group) супроводжує фінансові компанії та їхніх ІКТ-постачальників на всіх етапах впровадження DORA. Legal IT Group працює так, щоб ваш бізнес відповідав новим вимогам і при цьому залишався гнучким та конкурентним.

Є запитання до юристів?
до 500 символів
Сталася помилка
Запит надіслано Дякуємо за ваше повідомлення! Ми обробимо його якнайшвидше.

Статті по темі

Data privacy compliance
Особливості створення Privacy Policy та Cookie Policy
Legal IT Group
12 Вересня, 13:53
Data privacy compliance
Як ми розробляємо політику конфіденційності та політику приватності? 
Legal IT Group
12 Вересня, 12:57
Data privacy compliance
Медичні персональні дані за GDPR: розбираємо датасети
Антон Демчук Legal IT Group
Антон Демчук
10 Вересня, 16:56
Data privacy compliance
Data Act: що потрібно знати ІТ-бізнесу?
Антон Демчук Legal IT Group
Антон Демчук
4 Вересня, 11:03
Data privacy compliance
«GDPR для водолазів: основи поведінки в океані даних» — що треба знати бізнесу
Legal IT Group
19 Серпня, 13:43

Топ публікацій

Контракти
5 пунктів, які мають бути в кожних Terms of Use
Data privacy compliance
GDPR Compliance: від теорії до практики
Intellectual property
IP-документація для ІТ: як убезпечити свій бізнес
Спори та суди
NDA працює? ІТ-адвокати відповідають. Судова практика
Intellectual property
Дія. Сіті: алгоритм реєстрації та вимоги до компанії
Data privacy compliance
MiCA та DORA compliance: ваш ключ до європейського фінансового ринку
Legal IT Group
12 Серпня, 11:47
Data privacy compliance
Правові аспекти EdTech проектів
Legal IT Group
8 Серпня, 14:23
Data privacy compliance
Залучення інвестицій у стартап на різних стадіях. Правові аспекти
Legal IT Group
8 Серпня, 14:07
Data privacy compliance
Необхідні документи для відповідності GDPR
Legal IT Group
23 Липня, 10:48
Data privacy compliance
GDPR тренінг для вашої компанії. Як провести?
Дмитро Нефьодов Legal IT Group
Дмитро Нефьодов
16 Липня, 11:27
Перейти до блогу