С января 2025 года DORA (Digital Operational Resilience Act) полноценно применяется в ЕС и меняет подход к ИБ в финансовом секторе. Это не просто ещё один регламент: DORA требует, чтобы банки, страховые, финтех-компании и их IT-подрядчики умели предотвращать, выдерживать и быстро восстанавливаться после киберинцидентов.
Что такое DORA простыми словами
DORA — это единые правила киберустойчивости для финансовых организаций ЕС. Цель — снизить риски сбоев, атак и зависимости от внешних IT-поставщиков. Регламент охватывает не только сами компании, но и критически важных провайдеров: облака, SaaS, дата-центры, MSP и другие сервисы. ☁️
Кого касается DORA
- банки
- платёжные системы и финтех
- страховые компании
- инвестиционные фирмы
- криптосервисы в регулируемом контуре
- внешние ICT-поставщики, работающие с финансами
Ключевые требования DORA
- Управление ICT-рисками — нужен формализованный подход к защите систем, активов, данных и сервисов
- Учёт и классификация инцидентов — компании обязаны фиксировать события, оценивать их серьёзность и сообщать регуляторам
- Тестирование устойчивости — от базовых проверок до продвинутого threat-led testing для критичных организаций
- Контроль подрядчиков — договоры с IT-поставщиками должны включать требования по безопасности, доступности, аудиту и выходу из зависимости
- Обмен информацией об угрозах — поощряется участие в trusted-сообществах и sharing-механизмах 📡
Почему DORA важен для бизнеса
Раньше многие компании фокусировались на соответствии локальным требованиям, а теперь ЕС делает акцент на операционной устойчивости. Важно не только “не допустить взлом”, но и показать:
- как компания обнаруживает атаку
- как продолжает критичные операции
- как восстанавливает сервисы
- как управляет рисками цепочки поставок
Что проверить уже сейчас
- есть ли единая карта ICT-рисков
- настроены ли процессы incident reporting
- описаны ли роли, эскалации и recovery-планы
- проведена ли оценка всех критичных поставщиков
- соответствуют ли контракты требованиям DORA
- есть ли регулярные тесты отказоустойчивости и ИБ 🛡️
Чем DORA отличается от NIS2 и GDPR
- DORA — про устойчивость финансового сектора
- NIS2 — про кибербезопасность критически важных и важных организаций в разных отраслях
- GDPR — про защиту персональных данных
На практике эти акты пересекаются, но DORA глубже уходит именно в финансовые ICT-риски и контроль поставщиков.
Главный вывод
DORA делает киберустойчивость частью бизнес-модели финансовых компаний, а не только задачей отдела ИБ. Для IT-команд это означает больше требований к мониторингу, логированию, резервированию, управлению подрядчиками и кризисным сценариям. Для вендоров — необходимость доказывать зрелость процессов, а не только качество продукта. ⚙️📈
Для тех, кто следит за трендами ИБ, compliance и инфраструктуры, стоит посмотреть подборку каналов про IT.