Артем Ляшанов: як стандарт кібербезпеки DORA вплине на фінтех у ЄС та Україні

17 січня 2025 року в ЄС завершилася імплементація нового Закон про цифрову операційну стійкість (Digital Operational Resilience Act) – або скорочено DORA. Нормативний акт встановлює ряд важливих вимог, яких мають дотримуватися фінустанови як в самому Євросоюзі, так і компанії з іншою реєстрацією, але які надають свої послуги на його території. В тому числі – українські. Про основні положення DORA та порівняння з регуляторними ініціативами, які впроваджує Україна, нам розповів фінтех-підприємець Артем Ляшанов.

Про що цей документ

Ми проаналізували основні положення цього документу та виділили п’ять аспектів, на які компаніям варто звертати увагу:

1. Управління індустріальними ризиками. Згідно документу, компанії, що працюють у сфері інформаційно-комунікаційних технологій, повинні розробити, описати та підтримувати систему управління ризиками, що включає: постійний моніторинг, оцінку вразливості, реагування та стабілізацію наслідків.
2. Звітність про інциденти. Доповнюючи минулий пункт: учасники ринку повинні розробити чітку систему оперативної звітності про інциденти порушення цифрової стійкості перед відповідними органами;
3. Тестування та стійкість. Згідно DORA, учасники ринку повинні проводити регулярні стрес-тести з відпрацюванням різноманітних сценаріїв порушень;
4. Управління ризиками третіх сторін. Передбачає регулярну перевірку контрагентів та провайдерів, а також регулярні аудити;
5. Обмін інформацією. На цьому пункті відсутня чітка вимога. Однак DORA активно заохочує обмін інформацією про загрози цифровій стійкості між учасниками ринку та регулятором.

«DORA –  це в першу чергу система запобіжників, які європейський регулятор встановлює для платіжного бізнесу Йдеться про банки, платіжних сервіс провайдерів, а також про технічних операторів інфраструктури. Ця нормативно-правова база з січня 2024 року готувала (а нині вимагає) від учасників ринку фінансових послуг надійності у кібербезпеці. Досягатися вона має через плани заходів, які побудовані навколо ряду вимог» – розповідає Артем Ляшанов.

Наскільки важливим є акт

На думку спікера, будь-яка регулятивна норма виникає не через бажання забюрократизувати чи ускладнити ведення бізнесу, а в першу чергу з метою зниження збитків через кіберзагрози. Це абсолютно логічний крок: згідно прогнозу Lloyds of London, наслідки кібератаки на одну з основних платіжних систем у п’ятирічній перспективі можуть скласти до 3,5 трлн доларів, а щорічний профільний звіт IBM Cost of Data Breach Report стверджує, що одне таке проникнення «коштує» постраждалому бізнесу в середньому 4,45 млн.

Саме тому за недотримання DORA передбачається штраф у розмірі 2% від загального річного обороту (не тільки у ЄС), а в особливих випадках сума може сягати до 5 млн євро.

«Фінтех – це динамічна сфера, що живе за рахунок спрощення фінансових процесів, але при цьому гарантує безпеку фінансів у діджиталі. З розвитком можливостей, звісно ж, зростають і загрози. Кожен негативний сценарій відображається не тільки на одному конкретному бізнесі, а на індустрії вцілому: у компаній виникають проблеми з інвестиціями. Саме тому задача DORA –  уніфікувати та постійно оновлювати єдину систему правил фінмоніторингу на ринку ЄС, яка буде знижувати ризики, а значить – зберігати прибутки», – продовжує Артем Ляшанов.

Чи відбуваються подібні процеси в Україні

Озвучені в рамках DORA аспекти регулюються такими документами:

1. Законом України «Про основні засади забезпечення кібербезпеки в Україні»;
2. Положенням «Про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру»;
3. Положенням «Про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг»;
4. Положенням «Про автентифікацію та застосування посиленої автентифікації на платіжному ринку».

Фінтех-експерт вважає, що українське законодавство досить добре охоплює всі необхідні вимоги європейського, але більш децентралізовано.

«9 з 10 всіх проблем із сек’юрністю стаються через людський фактор. Це правило актуальне майже для всіх ринків світу, лише у різних проявах. Саме тому правила та норми у всіх країнах з розвиненим ринком фінансових технологій будуть майже ідентичними – бо вони всі написані або на основі міжнародного досвіду, або на власних помилках. Важлива лише специфіка роботи регуляторів, яку треба враховувати на кожному з нових ринків», – резюмує Артем Ляшанов.