uk %D0%90%D0%BA%D1%82 %D0%BF%D1%80%D0%BE %D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D1%83 %D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%86%D1%96%D0%B9%D0%BD%D1%83 %D1%81%D1%82%D1%96%D0%B9%D0%BA%D1%96%D1%81%D1%82%D1%8C

Регламент (ЄС) № 2022/2554
Регламент Європейського Союзу
Назва	Регламент (ЄС) № 2022/2554 Європейського парламенту та Ради від 14 грудня 2022 року про цифрову операційну стійкість фінансового сектору
Ким прийнятий	Європейським парламентом і Радою Європейського Союзу
Прийнятий під	ст. 114 ДФЄС
Офіційний вісник ЄС	OJ L 333, 27.12.2022, ст. 1–79
Історія
Дата створення	14 грудня 2022
Дата набрання чинности	16 січня 2023
Дата введення в дію	17 січня 2025
Інше законодавство
Виправляє	Регламент (ЄС) № 1060/2009; Регламент (ЄС) № 648/2012; Регламент (ЄС) № 600/2014; Регламент (ЄС) № 909/2014; Регламент (ЄС) 2016/1011
	Чинне законодавство

Акт про цифрову́ операці́йну сті́йкість (АЦОС; англ. Digital Operational Resilience Act, DORA) — нормативно-правовий акт Європейського Союзу^[1]^[2], який вимагає від фінансових установ покращити свою цифрову операційну стійкість.

Мета

DORA має на меті покращити цифрову операційну стійкість фінансових установ у Європейському Союзі та їхніх постачальників ІКТ та створити єдину нормативну базу в Європейському Союзі, щоб зменшити сприйнятливість до кіберзагроз у всьому ланцюжку створення вартості фінансового сектора. Крім того, DORA має намір гармонізувати національні правила щодо безпеки ІТ-систем у фінансовому секторі, таким чином зміцнюючи європейський фінансовий ринок у цілому проти кіберризиків та інцидентів у сфері інформаційно-комунікаційних технологій.

Застосування

Регламент поширюється на фінансові установи та сторонніх постачальників послуг ІКТ. Стаття 2 визначає фінансові установи як:

Постачальники послуг надання інформації про облікові записи
Адміністратори критичних тестів
Центральні контрагенти
Центральні депозитарії цінних паперів
Кредитні установи
Кредитно-рейтингові агентства
Постачальники послуг краудфандингу
Постачальники послуг криптоактивів і емітенти токенів, пов’язаних із активами
Постачальники послуг звітування даних
Установи електронних грошей
Заклади професійного пенсійного забезпечення
Страхові та перестрахові компанії
страхових посередників, посередників у перестрахуванні та посередників у допоміжному страхуванні
Інвестиційні фірми
Керуючі компанії
Керуючі фондами альтернативних інвестицій
Платіжні установи
Сховища сек'юритизації
Торгові сховища
Торгові майданчики

Регламент прямо не поширюється на:

Страхових посередників, посередників з перестрахування та допоміжних страхових посередників, які є мікропідприємствами або малими чи середніми підприємствами;
Страхові та перестрахові компанії, як зазначено у статті 4 Директиви 2009/138/ЄС;
Установи професійного пенсійного забезпечення, які керують пенсійними схемами, які разом не мають більше ніж 15 учасників;
Менеджерів альтернативних інвестиційних фондів, як зазначено в статті 3(2) Директиви 2011/61/ЄС;
Фізичних або юридичних особів, звільнених відповідно до статей 2 і 3 Директиви 2014/65/ЄС;
Поштові установи жиро, як зазначено в пункті (3) частини 5 статті 2 Директиви 2013/36/ЄС.

Принцип пропорційності

Стаття 4 визначає принцип пропорційности, що призводить до деяких винятків для малих підприємств, які потрапляють до сфери дії регулювання, незважаючи на їх розмір. Це дозволяє спростити реалізацію певних вимог відповідно до загального профілю ризику підприємства. Прикладом цього є спрощена структура управління ризиками ІКТ відповідно до статті 16 у поєднанні з нормативним технічним стандартом (RTS).

Структура

Регламент складається з 64 статей, які розділені на 9 розділів:

Загальні положення (ст. 1–4)
Управління ризиками ІКТ (ст. 5–16)
Управління інцидентами, пов’язаними з ІКТ, класифікація та звітність (ст. 17–23)
Тестування цифрової операційної стійкости (ст. 24–27)
Управління ризиком третьої сторони ІКТ (ст. 28–44)
Механізми обміну інформацією (ст. 45)
Компетентні органи (ст. 46–56)
Делеговані акти (ст. 57)
Перехідні та прикінцеві положення (ст. 58–64)

Крім того, європейські наглядові органи^[en] розробляють нормативні та імплементаційні технічні стандарти (RTS та ITS), які після публікації в Офіційному віснику Європейського Союзу також стають юридично обов’язковими:

Тип	Суб'єкт	Примітка DORA	Імплементовано	Статус
RTS	Структура управління ризиками ІКТ	Ст. 15	Делегований регламент Комісії (ЄС) № 2024/1774	Чинно
RTS	Спрощена структура управління ризиками ІКТ	Ст. 16 (3)	Делегований регламент Комісії (ЄС) № 2024/1774	Чинно
RTS	Класифікація інцидентів та кіберзагроз, пов’язаних з ІКТ	Ст. 18 (3)	Делегований регламент Комісії (ЄС) № 2024/1772	Чинно
RTS	Зміст звітів про серйозні інциденти, пов’язані з ІКТ	Ст. 20 (a)		Прийнято 23 жовтня 2024 р.
ITS	Стандартні форми, шаблони та процедури для звітування фінансовими установами про великий інцидент, пов’язаний з ІКТ	Ст. 20 (b)		Остаточний проєкт опубліковано 17 липня 2024 р.
RTS	Тестування на проникнення на основі загроз	Ст. 26 (11)		Остаточний проєкт опубліковано 17 липня 2024 р.
ITS	Типові шаблони для цілей реєстру інформації	Ст. 28 (9)		Проєкт відхилено Комісією 3 вересня 2024 року
RTS	Політика щодо використання послуг ІКТ, що підтримують критичні або важливі функції, що надаються сторонніми постачальниками послуг ІКТ (політика щодо третіх сторін)	Ст. 28 (10)	Делегований регламент Комісії (ЄС) № 2024/1773	Чинно
RTS	Специфікація елементів під час надання субпідрядних послуг ІКТ, що підтримують критичні або важливі функції	Ст. 30 (5)		Остаточний проєкт опубліковано 26 липня 2024 р.
Guidelines	Співпраця між ESA та компетентними органами щодо структури системи нагляду	Ст. 32 (7)		Опубліковано 6 листопада 2024 р.
RTS	Узгодження умов здійснення наглядової діяльности	Ст. 41		Прийнято 24 жовтня 2024 р.

Вплив

DORA матиме вплив на пенсійні схеми. Пенсійні схеми, які нараховують більше ніж 15, але менше ніж 100 учасників, підлягатимуть спрощеній системі управління ризиками ІКТ.^[3]

Примітки

↑ Pattison, Andrew. A Guide to the EU Digital Operational Resilience Act. Walter de Gruyter. ISBN 9781787784536.
↑ Rodenburg-Luitse, Willemijn (25 січня 2023). EU neemt met Dora baanbrekende it-wetgeving aan. Computable.nl (nl-NL) . Процитовано 21 травня 2024.
↑ Exploring DORA's Impact on Pension Schemes. Mason Hayes Curran (англ.). Процитовано 12 грудня 2024.

Посилання

Офіційний сайт

[1] Pattison, Andrew. A Guide to the EU Digital Operational Resilience Act. Walter de Gruyter. ISBN 9781787784536.

[2] Rodenburg-Luitse, Willemijn (25 січня 2023). EU neemt met Dora baanbrekende it-wetgeving aan. Computable.nl (nl-NL) . Процитовано 21 травня 2024.

[3] Exploring DORA's Impact on Pension Schemes. Mason Hayes Curran (англ.). Процитовано 12 грудня 2024.

[1]

[2]

[3]

Акт про цифрову операційну стійкість