DORA: вимоги та шлях до відповідності для компаній

17.10.2025

Регламент про цифрову операційну стійкість (Digital Operational Resilience Act, DORA), офіційно Регламент (ЄС) 2022/2554, є фундаментальним законодавчим актом Європейського Союзу, що кардинально змінює підхід до управління технологічними ризиками у фінансовому секторі. Його поява — пряма відповідь на виклики, що постали перед фінансовим сектором в епоху цифровізації.
Основною метою DORA є досягнення високого спільного рівня цифрової операційної стійкості у фінансовому секторі ЄС. Регламент покликаний гарантувати, що всі фінансові установи та їхні ключові ІКТ-партнери здатні не лише запобігати, але й ефективно «протистояти різноманітним цифровим загрозам і збоям, реагувати на них і відновлюватися після них». Це передбачає створення такої системи, в якій фінансові послуги залишаються доступними та надійними навіть в умовах серйозних кібератак або технологічних збоїв. Таким чином DORA прагне захистити стабільність та цілісність фінансових ринків ЄС.

Ключові вимоги DORA

Регламент DORA структурує свої вимоги навколо п'яти ключових розділів, які разом створюють комплексну та багатошарову систему забезпечення цифрової операційної стійкості. Кожен з них охоплює критично важливий аспект життєвого циклу управління технологічними ризиками.

Розділ 1. Управління ІКТ-ризиками

Це фундаментальний розділ DORA, який вимагає від організацій системного та проактивного підходу до управління всіма видами ІКТ-ризиків.
Кожна фінансова установа зобов'язана розробити, впровадити та підтримувати комплексну систему управління ІКТ-ризиками з повним документуванням усіх процесів. Вона повинна бути невід'ємною частиною загальної системи управління ризиками організації та регулярно, щонайменше раз на рік, переглядатися та оновлюватися, щоб відповідати мінливому ландшафту загроз. Для менших та менш складних організацій, згідно з принципом пропорційності, DORA передбачає можливість застосування спрощеної системи управління ІКТ-ризиками.
DORA чітко покладає кінцеву відповідальність за управління ІКТ-ризиками на керівний орган організації (наприклад, раду директорів або наглядову раду). Керівництво повинно не лише затверджувати стратегію цифрової операційної стійкості, але й активно контролювати її впровадження, виділяти необхідні ресурси та нести відповідальність за будь-які недоліки.
Система управління ІКТ-ризиками має охоплювати всі етапи їх життєвого циклу, створюючи безперервний процес вдосконалення:
1. Ідентифікація.
2. Захист та запобігання.
3. Виявлення
4. Реагування та відновлення.
Також кожна фінансова установа, крім мікропідприємств, має запровадити регулярні внутрішні аудити системи управління ІКТ-ризиками, відповідно до плану аудиту фінансових установ. Аудитори повинні володіти достатніми знаннями, навичками та досвідом у сфері ІКТ-ризиків, а також мати необхідний рівень незалежності. Частота та фокус аудиту ІКТ повинні відповідати ІКТ-ризикам фінансової установи.

Розділ 2. Управління та звітність щодо ІКТ-інцидентів

Цей розділ встановлює гармонізовані правила для управління ІКТ-інцидентами та своєчасного повідомлення регуляторам, що є критично важливим для обмеження їх поширення та аналізу загроз на рівні всієї системи.
Кожна організація повинна мати задокументований процес управління ІКТ-інцидентами, який охоплює:
● їх виявлення;● аналіз; ● стримування; ● усунення та аналіз першопричин (root cause analysis) після інциденту.
Метою є не лише відновлення нормальної роботи, а й аналіз першопричин для запобігання повторенню подібних інцидентів у майбутньому.
Для забезпечення єдиного підходу до звітності ESAs розробили детальні Регуляторні технічні стандарти (RTS), зокрема Делегований Регламент Комісії (ЄС) 2024/1772, які встановлюють критерії для класифікації інцидентів.
DORA визначає дуже стислі та чіткі терміни для звітування про значні ІКТ-інциденти компетентним органам. Вони деталізовані в RTS та ITS і передбачають триетапний процес:
1. Початкове повідомлення (Initial Notification). Має бути надіслане якомога швидше, але не пізніше 4 годин після класифікації інциденту як значного, і в будь-якому разі не пізніше 24 годин з моменту, коли організація дізналася про інцидент. Це повідомлення має на меті раннє попередження регулятора.
2. Проміжний звіт (Intermediate Report). Подається не пізніше 72 годин після початкового повідомлення. Містить оновлену інформацію про статус інциденту, його вплив та вжиті заходи.
3. Фінальний звіт (Final Report). Подається не пізніше одного місяця після подання проміжного звіту. Повинен містити детальний аналіз першопричин інциденту, оцінку збитків та опис заходів, вжитих для запобігання подібним інцидентам у майбутньому.
Вимоги до звітності створюють основу для загальноєвропейської системи моніторингу загроз. Дані, зібрані від тисяч фінансових установ за єдиним стандартизованим шаблоном, надходять до національних регуляторів, а потім в анонімізованому вигляді – до ESAs. ESAs, своєю чергою, аналізують цю інформацію для виявлення тенденцій, оцінки системних вразливостей та випуску попереджень для всього сектору.
Цей процес перетворює звітність з простого обов'язку на інструмент колективної розвідки. Щобільше, реальні дані про атаки та збої стають основою для розробки реалістичних сценаріїв атак, які є обов'язковими для проведення розширеного тестування на проникнення (TLPT). Таким чином DORA створює динамічний цикл зворотного зв'язку, керований даними: сьогоднішні інциденти визначають стрес-тести завтрашнього дня, що постійно підвищує планку стійкості для всього фінансового сектору.

Розділ 3. Тестування цифрової операційної стійкості

DORA вимагає, щоб стійкість була не лише задекларована в політиках, а й перевірена на практиці через регулярне та всебічне тестування.
Кожна фінансова установа зобов'язана розробити та впровадити комплексну програму тестування цифрової операційної стійкості, яка відповідає її розміру, бізнес-профілю та ризикам. Ця програма повинна включати різноманітні інструменти та методи:
● оцінка та сканування вразливостей;● аналіз програмного забезпечення з відкритим кодом;● тестування безпеки мережі;● тестування на основі сценаріїв;● тести на сумісність;● тестування на проникнення (penetration testing).
Тестування критичних систем та додатків повинно проводитися щонайменше раз на рік.
Для фінансових установ, які є значними за розміром, системно важливими або мають високий профіль ризику (критерії визначаються національними компетентними органами), DORA встановлює обов'язкову вимогу щодо проведення розширеного тестування на проникнення (TLPT) щонайменше раз на три роки.● Методологія: TLPT має проводитися відповідно до європейської методології TIBER-EU (Threat Intelligence-based Ethical Red Teaming).● Процес: TLPT – це контрольована симуляція кібератаки на критичні функції організації в реальному часі та на реальних системах.

Розділ 4. Управління ризиками третіх сторін

DORA приділяє безпрецедентну увагу управлінню ризиками, що походять від сторонніх постачальників ІКТ-послуг, визнаючи, що цифровий ланцюг постачання є одним із найслабших місць у системі безпеки.
Фінансові установи зобов'язані розробити та впровадити комплексну стратегію управління ризиками, пов'язаними з третіми сторонами. Вона повинна включати регулярну оцінку та моніторинг усіх ІКТ-постачальників, а також аналіз ризику концентрації. Організації мають активно уникати надмірної залежності від одного постачальника або невеликої групи постачальників для своїх критичних функцій, оскільки це створює єдину точку відмови (single point of failure).
Регламент встановлює жорсткі та деталізовані вимоги до змісту договорів з ІКТ-постачальниками. Кожен такий договір повинен містити чіткі положення, що регулюють:
● Опис послуг: повний та чіткий опис послуг, що надаються, та рівнів обслуговування (SLA).● Безпека та доступність: вимоги до безпеки, доступності, цілісності та конфіденційності даних.● Права на аудит та інспекцію: безперешкодне право фінансової установи, а також її регуляторних органів проводити аудит та інспекції, включаючи фізичний доступ до приміщень постачальника.● Звітність про інциденти: зобов'язання постачальника негайно повідомляти про будь-які інциденти, що можуть вплинути на надання послуг.● Тестування стійкості: вимоги до участі постачальника в програмах тестування стійкості фінансової установи, включаючи TLPT.● Стратегії виходу (Exit Strategies): чітко визначені процедури для припинення співпраці та плавної передачі даних і функцій іншому постачальнику або повернення їх в організацію без порушення безперервності бізнесу.
Ці деталізовані договірні вимоги створюють потужний регуляторний тиск, який поширюється далеко за межі ЄС. Будь-яка технологічна компанія у світі, яка бажає надавати послуги фінансовому сектору ЄС, змушена буде адаптувати свої стандартні контракти та операційні процеси до цих жорстких стандартів. Для глобальних провайдерів часто є більш ефективним прийняти найвищий стандарт для всіх своїх операцій, аніж підтримувати різні рівні відповідності для різних регіонів. Українські ІКТ-компанії, що працюють або планують працювати з клієнтами з ЄС, повинні проактивно впроваджувати ці стандарти, щоб залишатися конкурентоспроможними.

Розділ 5. Обмін інформацією про кіберзагрози

Останній розділ DORA спрямований на посилення колективної стійкості сектору через співпрацю та обмін інформацією.
DORA заохочує, але не робить обов'язковим, добровільний обмін між фінансовими установами інформацією та розвідданими (threat intelligence) про кіберзагрози, вразливості, індикатори компрометації, тактики та процедури зловмисників.
Обмін інформацією повинен відбуватися в рамках довірених спільнот для забезпечення конфіденційності та безпеки. Для цього можуть використовуватися спеціалізовані платформи, такі як Галузеві центри обміну та аналізу інформацією (ISACs) або Платформа для обміну інформацією про шкідливе програмне забезпечення (MISP).
Основна мета такого обміну – підвищити колективну обізнаність про загрози в режимі, близькому до реального часу. Це дозволяє організаціям швидше виявляти атаки, розробляти більш ефективні захисні техніки та проактивно зміцнювати свою оборону, перетворюючи ізольований захист кожної окремої компанії на спільну, скоординовану оборону всього сектору.

Необхідні кроки до відповідності регламенту ЄС

Досягнення відповідності DORA вимагає структурованого та методичного підходу. Наведений нижче покроковий план дій, заснований на найкращих практиках, допоможе організаціям систематизувати цей процес.

Етап 1: діагностика та планування (Gap Analysis)

Першим кроком є глибоке розуміння поточного стану організації порівняно з вимогами регламенту DORA.
Необхідно провести детальний аналіз невідповідностей (gap analysis), систематично порівнюючи чинні політики, процедури, договори та технічні засоби з кожною вимогою DORA за п'ятьма ключовими розділами. Аналіз має бути ретельно задокументованим і стати основою для подальшого планування. Необхідні ключові дії:
● Залучення керівництва та формування команди. Забезпечити підтримку з боку вищого керівництва та сформувати міжфункціональну проектну команду, до якої увійдуть представники відділів ІТ, кібербезпеки, ризик-менеджменту, юридичного департаменту, комплаєнсу та бізнес-підрозділів. ● Інвентаризація та класифікація: провести повну інвентаризацію ІКТ-активів, систем та процесів. Класифікувати їх за ступенем критичності для бізнес-операцій. ● Аналіз договорів з третіми сторонами: створити та підтримувати детальний «Реєстр інформації» про всі договірні відносини з ІКТ-постачальниками, як того вимагає стаття 28(3) DORA. Проаналізувати кожен договір на відповідність обов'язковим положенням Регламенту.
Для структурування цього процесу можна використовувати наступний чекліст:

DORA — чеклист самооцінки

Розділ DORA	Питання для самооцінки	Поточний статус (Так/Ні/Частково)
1. Управління ІКТ-ризиками	Чи існує формалізована та затверджена керівництвом система управління ІКТ-ризиками?
	Чи ідентифіковані та задокументовані всі критичні бізнес-функції та ІКТ-активи, що їх підтримують?
	Чи існують та регулярно тестуються плани безперервності бізнесу (BCP) та аварійного відновлення (DRP)?
2. Управління інцидентами	Чи задокументовано процес класифікації ІКТ-інцидентів відповідно до критеріїв DORA?
	Чи відповідають внутрішні процедури звітування жорстким термінам DORA (4/24 год, 72 год, 1 міс)?
	Чи проводиться аналіз першопричини після кожного значного інциденту?
3. Тестування стійкості	Чи проводяться щорічне тестування на проникнення та оцінка вразливостей для критичних систем?
3. Тестування стійкості	Чи проведено оцінку щодо віднесення організації до суб’єктів, для яких TLPT є обов’язковим?
4. Ризики третіх сторін	Чи ведеться повний та актуальний реєстр усіх договорів з ІКТ-постачальниками?
	Чи містять договори з критичними постачальниками всі обов’язкові положення DORA (право на аудит, стратегії виходу тощо)?
	Чи проводиться регулярна оцінка ризику концентрації постачальників?
5. Обмін інформацією	Чи бере організація участь у платформах обміну інформацією про кіберзагрози (напр., ISAC)?
5. Обмін інформацією	Чи існують процедури для безпечного обміну та використання отриманої інформації?

Етап 2: розробка та впровадження (Remediation Roadmap)

На основі результатів аналізу невідповідностей розробляється детальний план дій. Рекомендується створити дорожню карту усунення виявлених невідповідностей. Цей документ повинен містити конкретні завдання, пріоритети (відповідно до рівня ризику), чіткі терміни виконання, перелік відповідальних осіб та необхідні ресурси (бюджет, персонал).
Переглянути та оновити всю релевантну внутрішню документацію: політики, процедури, стандарти та інструкції. Особливу увагу слід приділити оновленню договорів з ІКТ-постачальниками для відповідності вимогам DORA.
За необхідності, впровадити або модернізувати технічні засоби контролю. Це може включати інструменти для моніторингу безпеки (SIEM), управління ідентифікацією та доступом (IAM), запобігання витоку даних (DLP) та інші технології, що посилюють захист та стійкість.

Етап 3: тестування та валідація

Після впровадження змін необхідно перевірити їхню ефективність на практиці, включити нові та оновлені системи і процедури до щорічного плану тестування операційної стійкості. Це дозволить переконатися, що впроваджені заходи працюють належним чином.
Якщо організація підпадає під вимоги щодо проведення TLPT, необхідно завчасно розпочати підготовку до першого трирічного циклу. Це включає вибір сертифікованих постачальників послуг з тестування (які відповідають TIBER-EU), визначення обсягу тестування (які критичні функції будуть перевірятися) та взаємодію з національним регулятором для узгодження плану тестування.

Етап 4: постійний моніторинг та вдосконалення

Відповідність DORA – це не одноразовий проект, а безперервний процес.
Необхідно впровадити процеси для постійного моніторингу ІКТ-систем на наявність вразливостей, ризиків, пов'язаних з третіми сторонами, та змін у ландшафті кіберзагроз. Результати моніторингу повинні регулярно аналізуватися для своєчасного коригування заходів захисту.
Крім того, необхідно розробити та регулярно проводити програми навчання та підвищення обізнаності з питань кібербезпеки та вимог DORA для всього персоналу: від рядових співробітників до вищого керівництва. Це є ключовим фактором для формування культури безпеки в організації.
Для забезпечення відповідності вимогам DORA необхідно проводити регулярні внутрішні аудити. Залучення як власних фахівців, так і зовнішніх експертів дозволить своєчасно виявляти приховані недоліки та підтримувати постійне дотримання вимог.

Довірте свої цілі IT Specialist

Компанія IT Specialist має доведений досвід успішного супроводу клієнтів на шляху до повної відповідності DORA. Наш нещодавній кейс з аудиту та підготовки замовника до відповідності вимогам DORA яскраво підтверджує нашу глибоку експертизу та практичне розуміння всіх нюансів цього складного законодавства (див. статтю Європейський регламент з кібербезпеки DORA: загальний огляд та успішний кейс).
Ми пропонуємо не окремі послуги, а комплексний та стратегічний підхід до підвищення цифрової стійкості вашої організації. Наші рішення охоплюють весь життєвий цикл управління інформаційною безпекою – від аудиту до впровадження сучасних ІТ/ІБ-рішень та технічної підтримки.В контексті DORA компанія IT Specialist пропонує:
● Аудит поточного стану ІТ/ІБ та Gap-аналіз: глибокий аналіз інфраструктури та процесів, щоб чітко визначити невідповідності вимогам DORA та розробити пріоритетну дорожню карту для їх усунення.● Стратегічний консалтинг: наші експерти допоможуть вам розробити та впровадити надійну систему управління ІКТ/ІБ/КБ-ризиками, включаючи необхідні політики, процедури реагування на інциденти та організацію управління сторонніми постачальниками.● Віртуальний аудитор (VAuditor): наші аудитори допоможуть вашій компанії проводити регулярні внутрішні аудити для відповідності вимогам DORA.● Тестування на проникнення (Penetration Testing): імітація реальних кібератак на ваші системи (Threat-Led Penetration Testing), щоб виявити вразливості до того, як це зроблять зловмисники, та забезпечити виконання однієї з ключових вимог DORA.● Впровадження рішень для захисту ІТ-систем, додатків, сервісіві та API: це захистить вашу інфраструктуру, дані, канали зв’язку від кіберзагроз.● Впровадження SOC та SIEM-рішень: побудова власного (або використання готового сервісу) центру моніторингу інформаційної безпеки для проактивного виявлення, аналізу та реагування на кіберінциденти в режимі 24/7.● Впровадження MFA та інших технічних рішень: посилення захисту інформаційних систем за допомогою багатофакторної автентифікації (MFA), систем управління доступом (PAM) та інших передових технологій кібербезпеки.

Висновок

Регламент DORA – це не просто черговий комплаєнс-проєкт, це стратегічний напрям, що змушує фінансові установи та їхніх технологічних партнерів докорінно переосмислити підхід до управління ризиками ІБ. Він вимагає глибоких організаційних змін, підвищення цифрової грамотності на всіх рівнях та побудови нової, прозорої та підзвітної моделі взаємодії з ІКТ-постачальниками.
Для українських фінансових компаній, що працюють з ринком ЄС, DORA є одночасно і викликом, і можливістю. Проактивна адаптація до нових вимог, перегляд стандартних договорів та інвестиції у підтвердження своєї стійкості через міжнародні сертифікації (напр., ISO/IEC 27001) можуть стати потужною конкурентною перевагою. В новій реальності, яку створює DORA, цифрова стійкість перетворюється з технічної характеристики на ключовий бізнес-актив, який визначатиме лідерів фінансового ринку майбутнього. Компанія IT Specialist має досвід проведення проєктів, пов’язаних з DORA, та допоможе вам з адаптацією процесів до реалій сьогодення.

IT Specialist — безпечна інтеграція в майбутнє!

Автор статті: Дмитро Чуб (директор напряму автоматизації, інтеграції та аудиту бізнес- процесів)

Безпечна інтеграція в майбутнє

Безпечна інтеграція в майбутнє

DORA: ключові вимоги та необхідні кроки до відповідності регламенту ЄС

Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву