Європейський регламент з кібербезпеки DORA: загальний огляд та успішний кейс

Майстер-клас: секрети випікання найсмачніших млинців!

03.10.2025

Що змушує фінансовий сектор Європи прокидатися посеред ночі? За даними Міжнародного валютного фонду, за останні два десятиліття фінансовий сектор зазнав понад 20 тисяч кібератак, а загальні збитки склали $12 мільярдів. В умовах, коли вартість витоку даних сягає мільйонів, операційна стійкість та кібербезпека перестають бути технічним питанням і стають найвищим пріоритетом!
Для вирішення цих викликів Європейський Союз ухвалив Регламент про цифрову операційну стійкість (Digital Operational Resilience Act, DORA, Регламент (EU) 2022/2554). Цей нормативний акт розроблений для зміцнення інформаційно-комунікаційної безпеки (ІКТ) та стійкості фінансового сектору ЄС. Головна мета – забезпечити здатність фінансових установ витримувати операційні цифрові збої та кіберінциденти, ефективно реагувати на них і швидко відновлюватись. Це особливо важливо в умовах щораз більшої залежності фінансового сектору від діджиталізації та постійного збільшення кількості кібератак, що створює системні ризики.

DORA має статус «Lex specialis derogat generali» (з лат. – спеціальний закон, який переважає загальне право), тобто DORA має пріоритет над загальними положеннями Директиви про мережеву та інформаційну безпеку (NIS 2) й окремими розділами Директиви про стійкість критичних об’єктів (CER). Це означає, що фінансові установи, на які поширюється дія DORA, виключаються зі сфери дії NIS 2, оскільки DORA встановлює більш суворі та спеціалізовані вимоги кіберстійкості.

Сфера застосування DORA 

Сфера застосування DORA є надзвичайно широкою і охоплює різні типи фінансових суб'єктів, що діють в ЄС. До них входять:
● банки;● страхові компанії;● інвестиційні компанії;● обробники платежів;● біржі;● суб’єкти ринкової інфраструктури;● кредитні агентства;● постачальників послуг стосовно криптоактивів;● інші фінтех-компанії.
Найбільш важливою зміною є те, що регуляторний нагляд поширюється також на постачальників ІКТ-послуг. DORA запроваджує механізм прямого контролю за критично важливими постачальниками, такими як великі хмарні сервіси та виробники програмного забезпечення, чий збій може загрожувати стабільності всього фінансового сектору. Це підкреслює, що ризики для фінансової стійкості вже не обмежуються внутрішніми системами банків, а залежать від кількох ключових технологічних компаній.

Зміст регламенту та ключові розділи

Розділ 1: Принцип пропорційності (Article 4)

Принцип пропорційності, зазначений у Статті 4 Регламенту DORA, є фундаментальним для його застосування. Він забезпечує необхідну гнучкість, визнаючи, що не всі фінансові установи мають однаковий розмір, профіль ризику чи складність операцій.
Згідно з цим принципом, фінансові установи повинні впроваджувати заходи та контролі, які є пропорційними до:

● розміру організації;● загального профілю ризику;● характеру, масштабу та складності їхніх послуг, діяльності та операцій.
Цей принцип застосовується до всіх основних розділів DORA, включаючи управління ІКТ-ризиками, тестування операційної стійкості та управління ризиками третіх сторін.

Розділ 2: Управління ІКТ-ризиками (ICT Risk Management) (Article 5-16)

Управління ІКТ-ризиками є стандартним елементом усієї системи цифрової операційної стійкості. Його головна мета полягає у перетворенні підходу до ризик-менеджменту з реактивного на превентивний і системний, що забезпечує проактивне виявлення, оцінку та зниження ризиків до прийнятного рівня.
Фінансові організації зобов’язані впровадити систему управління ІКТ-ризиками, яка охоплює:
● ідентифікацію активів і ризиків – створення реєстру ІКТ-активів із визначенням їх критичності; регулярну оцінку ризиків – щонайменше раз на рік або при суттєвих змінах;● стратегію контролю – превентивні та компенсувальні заходи для зменшення ймовірності та впливу ризиків;● безперервний моніторинг – цілодобове виявлення аномалій і швидке інформування;● чіткі ролі та відповідальність – навіть при аутсорсингу остаточна відповідальність лишається на організації; інтеграцію ризиків третіх сторін – зокрема хмарних сервісів;● тестування контролів – внутрішні аудити та незалежні перевірки; зв’язок із BCP та DRP – основний контур стійкості бізнесу;● участь керівництва – затвердження системи та контроль за її реалізацією;● документування і звітність – доказова база для внутрішнього та зовнішнього нагляду.
Для менших суб’єктів відповідно до принципу пропорційності DORA передбачає можливість використання Спрощеної системи управління ІКТ-ризиками (Simplified ICT Risk Management Framework), деталізованої у Статті 16. Це дозволяє малим учасникам ринку дотримуватись ключових стандартів кіберстійкості з меншим адміністративним навантаженням.
Деталізація технічних вимог до формування та реалізації цього розділу визначається у відповідних Регуляторних технічних стандартах (RTS) щодо ICT Risk Management Framework, які розробляються Європейськими наглядовими органами (EBA, EIOPA, ESMA).
Таким чином, управління ІКТ-ризиками за DORA має інтегруватися в загальну систему корпоративного управління, формуючи основу для побудови цифрової стійкості та гарантування безперервності критичних бізнес-процесів. 

Розділ 3: Управління Інцидентами та Звітування (ICT Incident Reporting) (Article 17-23)

Цей розділ має фундаментальне значення для створення прозорого та ефективного процесу управління інцидентами інформаційної безпеки у фінансовому секторі ЄС. DORA запроваджує гармонізований підхід, завдяки якому всі фінансові установи зобов’язані дотримуватися уніфікованих правил класифікації та звітності про інциденти. Це дозволяє забезпечити зіставність даних, оперативний обмін інформацією між учасниками ринку та регуляторами, а також більш швидке реагування на інциденти, що можуть мати транскордонний ефект.
Фінансові організації повинні розробити та впровадити внутрішні структуровані процедури управління інцидентами, які включають:

● своєчасне виявлення та реєстрацію інцидентів у централізованій системі;● класифікацію, що базується на рівні серйозності та впливі;● документування операційних та бізнес-наслідків, включно з фінансовими втратами та впливом на клієнтів;● оперативне повідомлення компетентних органів у встановлених форматах і строках.
DORA вимагає інтегрованого підходу: інформація має збиратись централізовано, класифікація – проводитися за єдиною методологією, а відповідальність – бути чітко розподіленою.
Регламент визначає часові рамки звітування про серйозні ІКТ-інциденти (major ICT-related incidents):

● початкове повідомлення – якнайшвидше, але не пізніше 4 годин після класифікації як «major» та не більше 24 годин від моменту виявлення інциденту;● проміжний звіт – подається протягом 72 годин із деталями впливу та заходів реагування;● остаточний звіт – протягом одного місяця з повним аналізом причин, наслідків і коригувальних дій.
Технічні стандарти – ITS on ICT incidents reporting та RTS on ICT incidents classification – встановлюють уніфікований формат подання звітів, критерії для визначення рівня серйозності інцидентів. Це унеможливлює довільне трактування та сприяє підвищенню узгодженості між державами-членами ЄС.
Для вимірювання ефективності процесу управління інцидентами DORA вимагає використання ключових метрик стійкості, зокрема:

● кількість клієнтів/контрагентів, на яких це вплинуло;incident response time – час від моменту виявлення інциденту до початку реагування; system downtime – загальна тривалість простою критичних систем.
Крім того, DORA наголошує на важливості кризової комунікації. Фінансові установи повинні розробити та підтримувати плани інформування як внутрішніх (керівництво, співробітники), так і зовнішніх стейкхолдерів (регулятори, клієнти, партнери, медіа). Важливим є й аспект відповідальності керівного органу: рада директорів та вищий менеджмент несуть кінцеву відповідальність за створення ефективної системи управління інцидентами.

Вимоги DORA у сфері управління інцидентами спрямовані на перехід від реактивного до проактивного та системного підходу, де інциденти не лише фіксуються, а й аналізуються для постійного вдосконалення стійкості установи та фінансової екосистеми загалом.

Розділ 4: Тестування цифрової операційної стійкості (Testing) (Article 24-27)

Метою цього розділу є забезпечення того, щоб фінансові установи не лише документально декларували свою готовність, але й фактично були здатними протистояти кіберзагрозам та швидко відновлюватися після інцидентів. Тестування виступає ключовим інструментом перевірки практичної стійкості ІКТ-систем та процесів.
DORA передбачає два типи тестування:

1. Базова програма тестування (basic testing) – обов’язкова для всіх фінансових установ. Вона включає регулярне тестування систем безпеки, планів відновлення та процедур реагування.
2. Поглиблене тестування (advanced testing) – застосовується до значних фінансових суб’єктів, які мають системну важливість, високий рівень ризику чи значний ІКТ-ландшафт.

Threat-Led Penetration Testing (TLPT) – ключовий інструмент поглибленого тестування відповідно до методології TIBER-EU, який зосереджується на критичних бізнес-функціях (CIFs) та проводиться щонайменше раз на три роки. У лютому 2025 року методологія була оновлена для повної відповідності DORA та RTS. Серед основних вимог:

● залучення незалежного постачальника Threat Intelligence для формування актуальних сценаріїв;● використання Purple Teaming для підвищення ефективності та навчання;● кваліфікація й сертифікація тестувальників, наявність страховки відповідальності;● детальний звіт із планом усунення вразливостей та строками.
DORA наголошує на принципі пропорційності: базові перевірки достатні для малих установ, тоді як системно важливі суб’єкти мають проходити повноцінне TLPT. Відповідальність за якість тестів і впровадження результатів лежить на керівництві. Обов’язковий follow-up гарантує усунення вразливостей у визначені строки.

DORA переводить тестування з формальності на реалістичні сценарії атак, забезпечуючи практичну готовність фінансових організацій до кіберзагроз і підвищуючи довіру до стабільності фінансового сектору ЄС.

Розділ 5: Управління Ризиками Третіх Сторін (Third-Party Risk Management) (Article 28-37)

DORA встановлює суворі вимоги до управління ризиками ІКТ-третіх сторін, зокрема хмарних сервісів. Перед укладенням договорів фінансові установи мають перевіряти постачальників на відповідність стандартам безпеки та оцінювати ризики концентрації, аби уникати надмірної залежності від окремих критично важливих вендорів.
Обов’язковим є ведення актуального реєстру постачальників, а контракти повинні передбачати право на аудит, звітування про інциденти та наявність exit-планів. Ризики переглядаються регулярно з урахуванням змін, перевіряється надійність і здатність постачальників до відновлення. Також враховуються ризики від субпідрядників, які контролюються через KPIs та SLAs.

Усі ці вимоги інтегруються у систему управління ІКТ-ризиками, формуючи системний і превентивний підхід до взаємодії з третіми сторонами.

Розділ 6: Обмін Інформацією (Information Sharing) (Article 45)

Цей розділ спрямований на підвищення загальної обізнаності та колективної стійкості фінансового сектору до кіберзагроз. DORA заохочує фінансові установи до добровільного обміну розвідувальною інформацією про кіберзагрози, інциденти та вразливості у безпечних і довірених спільнотах. Такий обмін дозволяє організаціям швидко реагувати на нові загрози, запроваджувати перевірені заходи захисту та зменшувати ймовірність повторення подібних інцидентів.
Крім того, активний обмін інформацією сприяє формуванню єдиного розуміння поточного кіберландшафту серед учасників фінансового сектору, допомагає виявляти тренди та системні ризики, а також підвищує ефективність колективних заходів щодо стійкості ІКТ. Важливим є створення чітких політик і процедур щодо конфіденційності та безпеки переданої інформації, щоб забезпечити її захист та дотримання нормативних вимог.

Обмін інформацією стає не лише механізмом оперативного реагування, але й інструментом стратегічного управління ІКТ-ризиками, що дозволяє фінансовим установам підвищувати власну стійкість і одночасно зміцнювати безпеку всього сектора.

Успішний кейс: досвід IT Specialist

До команди «IT Specialist» звернулась фінансова Компанія, що здійснює операції з обміну крипто- і фіатних активів та готувалась до отримання регуляторної ліцензії для виходу на європейський ринок у контексті імплементації вимог DORA. Основною метою були демонстрація комплексної цифрової операційної стійкості, сумісної з п’ятьма ключовими розділами Регламенту, і підготовка повного пакета доказів для регулятора в обмежені строки.
Проєкт розпочався з попереднього аудиту, який включав аналіз внутрішніх політик, процедур, контрактів із постачальниками ІКТ-послуг та ІТ-інфраструктури, а також серію структурованих інтерв’ю з C-level представниками та ключовими співробітниками Компанії. За необхідності було проведено вибіркові технічні перевірки й огляд інформаційних систем для верифікації заявлених механізмів відновлення та контролів безпеки. У процесі діагностики виявлено невідповідності, що становили ризик для ліцензування.
На підставі результатів аудиту команда «IT Specialist» підготувала звіт з практичними рекомендаціями щодо усунення виявлених невідповідностей. Остаточні зміни в політиках, процедурах та контрактах були розроблені та затверджені безпосередньо Компанією на основі цих рекомендацій; за потреби IT Specialist надавав консультаційний супровід і допомогу в інтерпретації вимог регулятора.
Ключовий висновок проєкту: виконано незалежний аудит з чіткими, практичними рекомендаціями, що дало змогу Компанії самостійно (або з консультаційною підтримкою) впровадити необхідні зміни, досягти відповідності вимогам та відновити/розширити бізнес-операції у регульованому середовищі. Команда «IT Specialist» підтвердила експертні компетенції у проведенні незалежних аудитів відповідності DORA.

IT Specialist — безпечна інтеграція в майбутнє!

Автор статті: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)