DORA встановлює правила, але чи готові фінансові системи до управління цифровими ризиками?
Фінансовий сектор змінюється швидше, ніж будь-коли раніше. Те, що ще десять років тому здавалося технологічною інновацією, сьогодні стало базовою інфраструктурою: хмарні сервіси, цифрові активи, API-економіка, платформи фінансових послуг. Але разом із цією трансформацією змінюється і сама природа ризику. І саме тут ЄС робить стратегічний крок, запроваджуючи регламент Європейського Союзу про операційну стійкість (Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector DORA), який вперше системно визначає, що означає бути «стійким» у цифрову епоху.
Втім, головне питання полягає не в тому, чи потрібні нові правила. Питання в іншому: чи достатньо самих правил?
Державні регулятори встановлюють рамку, але реальна ефективність залежить від здатності організацій побудувати управління. І саме тут починається найцікавіше.
Традиційно фінансові установи звикли мислити категоріями ризиків, які можна виміряти: кредитний, ринковий, ліквідності. Навіть операційний ризик, до якого зазвичай відносили кіберзагрози, довгий час залишався «додатком» до основної системи управління. Але цифрова економіка змінює саму логіку. Кіберризики більше не є допоміжними — вони стають системотворчими.
DORA фактично визнає це на рівні регуляторної політики. Він не просто вводить нові вимоги, а змінює фокус: від управління окремими ризиками до забезпечення безперервності функціонування всієї цифрової екосистеми. Це означає, що мова йде вже не про комплаєнс у класичному розумінні, а про здатність організації виживати в умовах постійної технологічної нестабільності.
Але саме тут виникає ключова проблема. У новій реальності відповідальність за цифрову стійкість більше не може залишатися на рівні ІТ-департаментів. Вона переходить на рівень керівництва, стратегічного управління, наглядових рад. Це означає, що фінансові установи повинні змінити саму культуру прийняття рішень. Кіберризик стає не технічним питанням, а управлінським.
Ще один важливий аспект — це дані. Сучасні ризики не проявляються миттєво, вони накопичуються у вигляді слабких сигналів: аномалій у транзакціях, нестандартної поведінки систем, залежності від окремих постачальників технологій. Без аналітики ці сигнали залишаються непомітними. А без їх розуміння — будь-яка регуляція втрачає сенс.
DORA, по суті, змушує фінансові установи перейти від реактивної моделі до проактивної. Від питання «що сталося?» до питання «що може статися і як цього уникнути?». Це інша логіка, інший рівень складності, інша відповідальність.
Особливо складною є тема залежності від третіх сторін. У сучасному фінансовому світі банки і платіжні системи все більше покладаються на зовнішніх провайдерів — хмарні сервіси, дата-центри, програмні платформи. І саме тут виникає парадокс: чим більш технологічною стає система, тим менше вона контролює власну інфраструктуру.
DORA намагається вирішити цю проблему через регулювання ризику третіх учасників. Але фактично це означає спробу управляти ризиками, які знаходяться за межами прямого контролю. І це один із найбільших викликів сучасного фінансового регулювання.
Для України ця тема має особливе значення. В умовах війни, кіберзагроз і гібридних атак питання цифрової стійкості виходить далеко за межі фінансового сектору. Воно стає питанням національної безпеки. І в цьому контексті DORA може розглядатися не лише як елемент євроінтеграції, а як стратегічний інструмент підвищення стійкості держави.
Однак імплементація DORA — це не просто гармонізація законодавства. Це трансформація мислення. Це перехід від формального виконання вимог до побудови систем, які здатні адаптуватися до невизначеності.
Сьогодні фінансові установи опинилися в ситуації, коли кількість правил зростає, але складність середовища зростає ще швидше. І це створює розрив між комплаєнсом і реальною стійкістю. Саме цей розрив і намагається подолати DORA.
Тому головний висновок виглядає доволі просто, але водночас принципово: правила можна написати, але стійкість потрібно побудувати. І якщо DORA дійсно встановлює правила гри, то питання полягає в тому, хто і як навчиться в них грати.
Імплементація DORA в українських банках: між євроінтеграцією, кіберризиками та реальністю фінансового сектору
Для України імплементація принципів DORA має подвійне значення. З одного боку, це частина зобов’язань у рамках євроінтеграції та гармонізації з acquis ЄС. З іншого — це відповідь на безпрецедентний рівень кіберзагроз, з якими країна стикається в умовах війни. Водночас практичний досвід українських банків показує, що перехід до моделі цифрової операційної стійкості супроводжується низкою системних проблем.
Передусім, йдеться про фрагментованість ІТ-архітектури. Більшість банків функціонують на основі поєднання застарілих (legacy) систем і нових цифрових рішень, що ускладнює побудову цілісної моделі управління ІКТ-ризиками. Національний банк України у своїх нормативних актах щодо організації систем управління ризиками та інформаційної безпеки вже неодноразово звертав увагу на необхідність інтегрованого підходу до управління технологічною інфраструктурою, однак на практиці така інтеграція часто залишається частковою (Національний банк України, Положення про організацію системи управління ризиками в банках України, 2018; НБУ, Положення про організацію заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг, 2025).
Не менш важливою є проблема інституційного сприйняття кіберризиків. У багатьох українських банках вони досі розглядаються як підкатегорія операційного ризику та залишаються у сфері відповідальності ІТ-підрозділів. Водночас DORA прямо встановлює відповідальність керівних органів за управління ІКТ-ризиками, що означає необхідність інтеграції цих питань у стратегічний рівень.
Ще одним суттєвим викликом є недостатній розвиток data-driven підходів. Хоча українські банки активно інвестують у цифрові сервіси, системи аналітики ризиків часто залишаються розрізненими та неінтегрованими у процеси стратегічного прийняття рішень. Це створює ситуацію, коли управління ризиками залишається реактивним, тоді як DORA орієнтує на проактивне виявлення загроз через постійний моніторинг, аналіз інцидентів і прогнозування.
В проблемі управління ризиками третіх сторін механізми контролю таких залежностей залишаються недостатньо розвиненими. DORA вводить жорсткі вимоги до управління ризику третіх сторін, включно з обов’язковим моніторингом критичних постачальників та проведення регулярних оцінок їхньої надійності, що суттєво підвищує вимоги до зрілості систем управління (European Supervisory Authorities, Joint Committee Advice on ICT Third-Party Risk, 2021).
Не менш важливою є проблема дефіциту експертизи. Ефективна імплементація DORA потребує фахівців, які одночасно володіють знаннями у сфері фінансових ризиків, кібербезпеки, ІТ-архітектури та європейського регулювання. Український ринок поки що демонструє фрагментацію цих компетенцій, що ускладнює побудову комплексних систем управління.
Водночас український банківський сектор має і суттєві переваги. Насамперед це досвід функціонування в умовах постійних кібератак. За оцінками Державної служби спеціального зв’язку та захисту інформації України, фінансовий сектор є одним із ключових об’єктів кіберзагроз, що змусило банки розвивати ефективні механізми реагування на інциденти (ДССЗЗІ України, Звіт про стан кіберзахисту державних інформаційних ресурсів, 2023). Це сприяло формуванню високого рівня операційної готовності, який у деяких аспектах перевищує середньоєвропейські показники.
Крім того, Національний банк України демонструє проактивну позицію щодо гармонізації регуляторної бази з європейськими стандартами, включно з вимогами до кіберстійкості та управління ІТ-ризиками. Розвиток цифрових фінансових сервісів також створює сприятливе середовище для впровадження принципів DORA, оскільки українські банки вже мають значний досвід роботи з цифровими платформами та інтегрованими сервісами.
Українська регуляторна архітектура для банків і платежів уже містить суттєві елементи, які «функціонально перекривають» частину DORA‑логіки. По‑перше, базовий каркас ризик‑менеджменту задає положення НБУ про систему управління ризиками в банках (постанова №64 від 11.06.2018). По‑друге, спеціалізований каркас кіберзахисту в банківській системі визначено постановою №178 від 12.08.2022. По‑третє, НБУ формалізував інструменти контролю за дотриманням банками вимог з інформаційної безпеки, кіберзахисту та електронних довірчих послуг (постанова №4 від 16.01.2021). У 2025 році НБУ додатково уточнив вимоги до інформування банками про значні кіберінциденти й прив’язав шаблони/порядки до порталу Центру кіберзахисту (постанова № 24 від 25.02.2025).
Важливо, що галузевий контур реагування в банківській системі не є «абстракцією»: команда CSIRT‑NBU функціонує у складі Центру кіберзахисту НБУ і має задекларовану мету підтримки банків та небанківських фінустанов у реалізації заходів кіберзахисту й протидії актуальним загрозам.
Паралельно НБУ посилює регулювання нових сегментів платіжного ринку. Постанова №73 від 02.07.2025 визначає вимоги до системи управління ризиками надавачів нефінансових платіжних послуг (зокрема сервісів ініціювання платежів та надання відомостей з рахунків) і, за повідомленням НБУ, набирає чинності з 01.08.2025. Постанова №143 від 09.12.2025 вводить єдині вимоги до організації заходів із забезпечення інформаційної безпеки та кіберзахисту для небанківських надавачів фінансових послуг; НБУ прямо надає 12 місяців на приведення діяльності у відповідність.
Операційна «поверхня атаки» українського фінансового сектору визначається не лише нормативами, а й структурою інфраструктури. У Звіті з оверсайту інфраструктури фінансового ринку за 2024 рік НБУ вказує, що єдиною системно важливою платіжною системою залишається СЕП, яка забезпечує 99% міжбанківських платежів у національній валюті. У цьому ж звіті показано концентрацію карткового ринку: у «важливих» платіжних системах фігурують дві міжнародні карткові схеми — Mastercard і Visa.
На рівні «важливих технологічних операторів платіжних послуг» НБУ визначає трійку процесингових провайдерів, які обробляють значні частки операцій: ТОВ "ЕЙСІ ДІСІ ПРОЦЕССІНГ", ПрАТ "Український процесінговий центр" та ТОВ "ТАС ЛІНК". Для управління ризиками третіх сторін це означає, що «концентраційний ризик» в Україні має не теоретичний, а вимірюваний характер, і механічно збігається з філософією DORA щодо системних ризиків залежності від обмеженої кількості провайдерів.
З прикладних операційних змін у 2024 році НБУ фіксує запуск нової версії СЕП 4.1 з функціональністю миттєвих кредитових переказів, де граничний час виконання вимірюється секундами (не більше 10 секунд). Це підсилює вимогу до операційної стійкості: що швидшим і «безперервнішим» стає платіжний сервіс, то менше часу система має на відновлення, а отже, тим вищими є вимоги до безперервності бізнесу (BCP) та аварійного відновлення (DRP/DR), моніторингу, резервування та вправляння сценаріїв кіберподій.
Кіберландшафт підтверджує постійний тиск. У звіті Держспецзв’язку про кіберінциденти за друге півріччя 2024 року показано загальне зростання інцидентів, а структура пріоритетних цілей у 2023–2024 роках включає фінансовий сектор на рівні 6%. Офіційна довідкова сторінка Держспецзв’язку про огляд кіберзагроз у 2025 році прямо вказує на середню інтенсивність близько 15 кіберінцидентів на день та понад 150 кластерів загроз.
На цьому фоні «побутовий» і водночас масовий ризик обману користувачів у платіжних каналах набуває макророзміру. НБУ у травні 2025 року оприлюднив статистику за 2024 рік: сума збитків від шахрайських операцій з картками — 1,1 млрд грн (+37% до 2023 року), середня сума однієї незаконної операції — 4247 грн (проти 3065 грн у 2023), 83% випадків за кількістю сталися в інтернеті, а 84% суми збитків спричинено соціальною інженерією.
Наведені дані важливі для DORA‑подібної моделі не як «статистика шахрайства сама по собі», а як індикатор того, що операційний ризик у фінсекторі є тісно пов’язаним із цифровими каналами, поведінкою користувачів і здатністю організацій швидко виявляти, класифікувати та «упаковувати» інциденти для регулятора і для ринку.
Частина вкладених матеріалів акцентує також на планах відновлення діяльності банків. Цей сюжет підтверджується НБУ у Звіті про фінансову стабільність (червень 2025): у 2024 році банки вперше від початку повномасштабного вторгнення подали плани відновлення; НБУ визнав прийнятними плани 35 банків, а плани решти 25 мали суттєві недоліки, що потребували усунення. На практиці це цінний «канал даних» для побудови DORA‑сумісної стійкості, бо аналогічна логіка планування та сценарного тестування потрібна і для цифрових/ІКТ‑збоїв.
Нижче це зіставлено з вимогами DORA та українськими нормативними аналогами.
Контур DORA | Що є «суттю» вимог (спрощено) | Український регуляторний еквівалент/аналог | Типові прогалини, які треба верифікувати даними |
|---|---|---|---|
Управління та відповідальність | Кінцева відповідальність керівного органу за ІКТ‑ризик, стратегія цифрової стійкості, ролі, толерантність до ризику | Ризик‑менеджмент банків (постанова №64) + кіберзахист у банківській системі (№178) | Формальне існування політик без інтеграції у стратегічні рішення; «ІКТ‑ризик як ІТ‑питання», а не як бізнес‑ризик; слабка управлінська аналітика показників стійкості |
Інцидент‑менеджмент та звітність | Жорсткі «годинні» дедлайни для первинного повідомлення; стандартизовані шаблони й повнота даних | Посилення правил інформування НБУ про значні кіберінциденти та прив’язка до порядків/шаблонів порталу | Невідпрацьована здатність «класифікувати → зібрати мінімально достатні дані → подати повідомлення» за години; неузгодженість каналів між провайдерами, банком і регулятором у випадку інциденту в третіх сторін; недостатня якість даних у перші години інциденту |
Тестування цифрової стійкості | Регулярне тестування, включно з поглибленими тестами для окремої частини установ; акцент на реальній готовності, а не «чек‑листі» | Вимоги НБУ щодо кіберзахисту (№178) та практика BCP/планів відновлення | Відсутність єдиного тест‑периметру «критичних функцій»; недостатній рівень сценарного тестування саме цифрових/ІКТ‑відмов на критичних сервісах (платежі, процесинг, дистанційні канали) із залученням провайдерів та бізнесу |
Управління ризиком третіх сторін та концентраційним ризиком | Реєстр залежностей, оцінка критичності функцій, контрактні вимоги, контроль субпідрядників, стратегії виходу, концентраційні ризики | Нагляд НБУ за платіжною інфраструктурою і виділення «важливих» технологічних операторів | Високий концентраційний ризик на рівні карткових схем і процесингу; недостатньо формалізовані плани виходу й «план міграції» без деградації сервісу; обмежені права на аудит та доступ до артефактів безпеки від провайдерів; складність агрегованої звітності, коли інцидент у провайдера зачіпає багато установ |
Інформаційний обмін і координація | Стандартні формати обміну, координація з наглядом і відповідними структурами | CSIRT‑NBU та національні структури реагування й звітності CERT‑UA | Неповне включення небанківських учасників у контури обміну; різний рівень зрілості організацій у використанні індикаторів компрометації, тактик/технік загроз і спільних репозиторіїв; бар’єри довіри і небажання відкривати дані про інциденти (про що прямо говорить держзвіт для комерційного сектору) |
З погляду «системної» прогалини, найважливішим виглядає те, що DORA переводить управління цифровою стійкістю в режим постійного циклу: інвентаризація → моніторинг → тестування → звітність і навчання → корекція контрактів і контролів. Це вимагає узгоджених даних і процесів у межах однієї організації та між організаціями (банк ↔ процесинг ↔ платіжна система ↔ хмарні/телеком‑провайдери ↔ регулятор).
Нижче наведено перелік даних, яких бракує для строгої «оцінки прогалин» на рівні конкретної установи або підсектору, та практичні способи їх отримання.
