Посилення боротьби з кіберзлочинністю: міжнародний та європейський досвід (частина 2)

Однією з особливостей DORA є те, що її дія поширюється також на новий сегмент фінансового ринку – постачальників послуг, пов’язаних з криптоактивами (CASPs). 

Впровадження DORA для криптовалютних компаній (CASP)

Після ухвалення регламенту MiCA (Markets in Crypto-assets Regulation) криптовалютний сектор офіційно визнано частиною фінансової системи, і ключові crypto-бізнеси прирівнюються до фінансових установ у питаннях регулювання. Згідно з DORA, криптовалютні біржі, кастодіальні провайдери гаманців, платформи обігу токенів, компанії з управління криптопортфелями, постачальники послуг обміну та інші CASP повинні виконувати ті самі вимоги цифрової стійкості, що й банки. DORA також поширюється на емітентів так званих токенів, забезпечених активами (asset-referenced tokens) – різновид стейблкоїнів, прив’язаних до вартості інших активів (валют, товарів тощо). Таким чином, основні гравці крипторинку в ЄС зобов’язані запровадити у себе всі механізми, передбачені DORA, нарівні з традиційними фінансовими установами.

Для багатьох CASP виконання DORA стане серйозним викликом, адже вперше запроваджується настільки комплексне регулювання ІТ-ризиків у криптосекторі. Компаніям із криптоактивами необхідно створити фактично з нуля внутрішню систему контролів та політик, аналогічну банківській. Зокрема, CASP повинні розробити рамкову програму управління ІКТ-ризиками – ідентифікувати критичні бізнес-функції та ІТ-системи, запровадити політики інформаційної безпеки, моніторингу і реагування на інциденти, плани забезпечення безперервності ІТ-сервісів, резервне копіювання даних тощо. Також вони мають налагодити процес обов’язкового звітування про серйозні кіберінциденти до відповідних органів і забезпечити регулярне навчання персоналу кібергігієні. DORA висуває до CASP такі самі вимоги щодо тестування ІТ-систем та аудиту сторонніх постачальників, як і до інших фінансових фірм. Таким чином, криптокомпанії, що бажають легально працювати в ЄС, повинні інвестувати в розбудову функцій кібербезпеки і операційної стійкості у відповідності до стандартів DORA.

Регуляторне впровадження DORA для CASP тісно переплітається з процесом отримання ними ліцензій за регламентом MiCA. Стаття 68 MiCA вимагає від заявників-CASP представити високорівневий опис системи управління ризиками, з особливим акцентом на ІКТ-стійкість та залежність від третіх сторін. Фактично MiCA направляє криптовалютні компанії до дотримання стандартів DORA як частини ліцензування. В результаті багато CASP наразі паралельно готуються до отримання ліцензії і до виконання вимог DORA, що вимагає значних координаційних зусиль. Національні регулятори, які будуть видавати ліцензії CASP, перевірятимуть наявність у них усіх необхідних політик і процедур згідно з DORA. Таким чином, DORA стає інтегрованою частиною нормативного поля для криптокомпаній: діяльність CASP в ЄС неможлива без забезпечення цифрової операційної стійкості на рівні, еквівалентному банківському.

Варто зазначити, що деякі особливості криптовалютного бізнесу можуть вплинути на специфіку виконання DORA. Наприклад, децентралізований характер блокчейн-платформ та відсутність централізованих адміністраторів мереж створюють нові ризики, яких немає у традиційних фінансах (вразливості смарт-контрактів, ризики форків тощо). Хоча DORA напряму не регулює протоколи блокчейну, CASP повинні враховувати ці технічні ризики у своїх рамках управління. Так само self-custody (самостійне зберігання криптоактивів клієнтами) не підпадає під прямий контроль регламенту, але CASP як кастодіальні провайдери мають гарантувати безпеку ключів і гаманців, що вони обслуговують. Тож впровадження DORA для криптовалютних компаній потребує адаптації під їх унікальний технологічний ландшафт. З позитивного боку, багато CASP використовують сучасні хмарні інфраструктури і програмні рішення нового покоління, що може полегшити інтеграцію вимог (наприклад, автоматизацію моніторингу, журналювання, аналітику загроз) у порівнянні з банками, обтяженими легасі-системами. Про ці відмінності та відносні переваги/недоліки докладніше – у наступному розділі.

Регуляторні особливості та нагляд за виконанням DORA

Регламент DORA істотно змінює підходи до регуляторного нагляду за цифровою стійкістю, запроваджуючи багаторівневу структуру контролю:

• Роль європейських наглядових органів (ESA): EBA, ESMA та EIOPA виступають головними суб’єктами у впровадженні DORA на рівні ЄС. Вони спільно розробляють технічні стандарти і настанови, координують політику та, головне, виконують функцію Lead Overseer для критичних постачальників ІКТ-послуг. Згідно DORA, кожен критичний провайдер закріплюється за однією з ESA, яка здійснює його постійний нагляд. Lead Overseer має право запитувати будь-яку інформацію у такого провайдера, проводити розслідування офісно і виїзні інспекції, вимагати виправлення недоліків та застосовувати адміністративні штрафи за невиконання рекомендацій. Для підтримки цього нагляду ESA будуть співпрацювати з експертами ENISA (Європейського агентства кібербезпеки) та національними органами. На практиці вже створено окремий підрозділ для нагляду за критичними ІТ-постачальниками на рівні ЄС – приблизно 30 спеціалістів під керівництвом новопризначеного директора, відповідального за DORA-нагляд, координуватимуть перевірки і моніторинг таких провайдерів по всьому ЄС.
• Процедура визначення критичних провайдерів: DORA встановлює чіткий процес відбору, які саме ІТ-постачальники підлягатимуть європейському нагляду. На початку 2025 року всі фінансові установи мають подати своїм національним регуляторам реєстр (перелік) сторонніх ІКТ-постачальників, з якими вони співпрацюють eba.europa.eu. Національні компетентні органи аналізують ці списки та до 30 квітня 2025 року передають їх консолідовано до ESA. Далі європейські наглядові органи на основі критеріїв (масштаб послуг провайдера, кількість охоплених фінансових установ, залежність системного значення тощо) ухвалять рішення, кого з постачальників визнати «Critical Third-Party Provider (CTPP)». Статус CTPP означає включення до спеціального реєстру і застосування згаданого посиленого нагляду з боку Lead Overseer. Таким чином, DORA запроваджує пропорційний підхід: під прямий нагляд потраплять лише найбільш значущі ІТ-компанії (наприклад, глобальні хмарні сервіси чи основні провайдери платіжної інфраструктури), тоді як дрібні ІТ-фірми залишаться під контролем національних регуляторів у межах звичайного нагляду за банками чи іншими установами.
• Національний нагляд та виконання: Нагляд за дотриманням DORA фінансовими установами (банками, страховыми, CASP тощо) здійснюватиметься національними компетентними органами (НКО) в кожній країні ЄС. DORA вимагає, щоб держави призначили відповідальні органи (або кілька, залежно від сектора) для контролю за виконанням регламенту. У банківській сфері це, як правило, центральні банки або органи пруденційного нагляду; в сфері ринків цінних паперів – комісії з фінансових ринків; для CASP – швидше за все, новопризначені регулятори, відповідальні за видачу ліцензій згідно MiCA. На практиці в деяких країнах (наприклад, Нідерланди) нагляд за різними типами фінансових компаній здійснюють різні установи, тож і контроль DORA буде розподілено: наприклад, центральний банк слідкуватиме за банками та страховиками, а комісія з фінансових ринків – за інвестиційними фірмами і CASP. Координація між всіма наглядовими органами забезпечуватиметься через Спільний комітет ESA, аби гарантувати єдність підходів. DORA надає наглядовцям повноваження застосовувати адміністративні штрафи та заходи до піднаглядових установ за порушення регламенту (максимальні розміри штрафів визначаються державами-членами). Таким чином, виконання DORA підтримуватиметься звичними для фінансового сектора механізмами нагляду та примусу, але в оновленій цифровій площині.
• Технічні стандарти і керівництва: Як згадувалося, ESA розробляють цілу низку регуляторних технічних стандартів (RTS/ITS) та керівних документів на виконання DORA. У 2024 році вже було опубліковано два пакети таких проектів від спільного комітету ESA – вони охоплюють вимоги до ІКТ-ризик менеджменту, класифікації та звітності інцидентів, вимоги до аутсорсингових контрактів тощо. Після офіційного затвердження Єврокомісією ці стандарти стануть обов’язковими для фінансових установ. Крім того, регулятори випускають роз’яснення і публічні звернення. Наприклад, у грудні 2024 року ESA опублікували спільну заяву, наголосивши на відсутності перехідного періоду та необхідності всім учасникам завершити підготовку до строку застосування DORA. В цьому повідомленні окремо відзначено, що тим компаніям, які раніше не мали жорстких вимог щодо ІТ-стійкості, буде складніше, і регулятори готові надавати підтримку та рекомендації для плавного впровадження.

Отже, DORA створює новий ландшафт регуляторного нагляду, де цифрова операційна стійкість стоїть у центрі уваги на рівні з фінансовими показниками. Європейські та національні органи тісно співпрацюють, аби забезпечити ефективне впровадження регламенту, а фінансові установи мусять звітувати не лише про фінансові ризики, а й про кіберінциденти та надійність своїх ІТ-вузлів. Такий підхід відображає усвідомлення, що в сучасному цифровому середовищі операційний збій чи кібератака можуть спричинити системні наслідки не менші, ніж фінансова криза. DORA покликана мінімізувати ці ризики шляхом превентивного регулювання та спільного нагляду.

Порівняння підходів та викликів: банки vs криптокомпанії

Впровадження DORA висуває вимоги до всіх фінансових гравців, але вихідні умови банківського сектора і криптовалютних компаній (CASP) помітно відрізняються. Нижче наведено порівняння підходів і основних викликів для цих двох груп:

• Регуляторний досвід і базові практики: Традиційні банки мають давню історію регулювання операційних ризиків та ІТ-безпеки. Вони вже впроваджували політики інформаційної безпеки, плани відновлення, регулярні ІТ-аудити відповідно до попередніх настанов регуляторів. Для них DORA є продовженням еволюції вимог, і багато процесів (управління ризиками, звітність про інциденти) вже існували. Натомість для більшості CASP такий рівень регуляції – новинка. До ухвалення DORA криптокомпанії не підпадали під детальні обов’язкові стандарти кіберстійкості, тому їм доводиться освоювати весь комплекс вимог з нуля. Регулятори визнають, що зусилля, необхідні для досягнення відповідності, значно більші для фірм, які раніше мали менше вимог у цій сфері (сюди належать нові fintech- та crypto-гравці).
• Технологічна інфраструктура та «технічний борг»: Банки часто обтяжені легасі-системами – застарілими ІТ-платформами, які важче модернізувати під нові стандарти безпеки. У протилежність цьому, багато CASP від початку побудовані на сучасній хмарній інфраструктурі та передових технологіях (розподілені реєстри, мікросервіси тощо). Це означає, що рівень технічного боргу у CASP значно нижчий, і їм легше запровадити нові засоби захисту без необхідності підтримувати застарілий код чи обладнання. Децентралізовані архітектури і використання блокчейну можуть забезпечити криптофірмам гнучкіші рішення для масштабування, які одночасно підвищують стійкість (наприклад, розподілене зберігання даних). Для банків же модернізація інфраструктури – довготривалий процес, і впровадження інструментів на кшталт хмарного моніторингу чи автоматизованого аналізу загроз потребує подолання сумісності з існуючими системами.
• Автоматизація та інновації: Криптовалютні компанії здатні широко використовувати автоматизацію і нові технології у забезпеченні відповідності DORA. Наприклад, вони можуть розгорнути моніторингові системи з машинним навчанням для виявлення аномалій, AI-алгоритми для запобігання шахрайству, автоматизовані сканери смарт-контрактів на вразливості тощо. Це підвищує ефективність і зменшує фактор людської помилки при контролі ризиків. Традиційні банки також інвестують в FinTech-рішення, але часто стикаються з необхідністю інтеграції нових технологій у складні організаційні процеси, що уповільнює впровадження. Таким чином, гнучкість CASP у прийнятті інновацій може стати конкурентною перевагою у досягненні відповідності DORA. Банкам же, ймовірно, доведеться поступово автоматизувати багато ручних процесів (наприклад, збір даних про інциденти чи аналіз логів) аби відповідати новим вимогам регуляторів щодо швидкості реагування.
• Репутація та довіра клієнтів: Відомо, що великі банки користуються відносно високим рівнем суспільної довіри, напрацьованим роками надійної роботи і регуляторного нагляду. Криптокомпанії такої авансованої довіри ще не мають, а подекуди навпаки – стикаються з упередженнями щодо надійності. Через це наслідки операційного збою чи успішної кібератаки для CASP можуть бути більш руйнівними з репутаційної точки зору. Клієнти можуть швидше втратити довіру до криптоплатформи у разі інциденту (крадіжки коштів, зламу системи), тоді як банк, що став жертвою кібернападу, ймовірніше збереже клієнтів за умови прозорого врегулювання. Таким чином, CASP несуть вищий репутаційний ризик, і DORA особливо наголошує на необхідності прозорості: оперативне розкриття інформації про інциденти та комунікація з користувачами є критично важливими для них. Банки теж зобов’язані повідомляти про інциденти, але їх репутаційна «подушка безпеки» дещо більша, що, втім, не зменшує регуляторних вимог.
• Залежність від сторонніх сервісів: Обидва сектори широко покладаються на зовнішні технологічні рішення, але характер цієї залежності різний. Великі банки часто мають змогу розгортати ключові системи на власній інфраструктурі або резервувати альтернативних провайдерів. Вони інколи навіть розробляють критичне програмне забезпечення in-house. У той же час багато CASP майже повністю покладаються на зовнішні ІТ-сервіси – хмарні платформи, провайдерів безпеки, блокчейн-інфраструктуру, якою опікуються треті сторони. Інноваційність та децентралізація криптосектору означає, що CASP часто мають менше можливостей реінтегрувати послуги назад у свою внутрішню інфраструктуру. Це робить управління ризиками постачальників життєво важливою сферою для них. Якщо банк у разі проблем з підрядником може перенести функцію на резервного або внутрішнього провайдера, то криптокомпанія може не мати такої опції (особливо якщо мова про специфічний блокчейн-сервіс). DORA ставить високі вимоги до контролю постачальників для всіх, але для CASP ця сфера є, по суті, питанням виживання їх бізнес-моделі. Вони повинні надзвичайно ретельно відбирати партнерів, впроваджувати постійний моніторинг безпеки аутсорсерів і готувати плани екстрених дій на випадок збою постачальника.
• Ресурси та експертиза: Великі банки мають суттєві штатні ресурси – цілі департаменти з інформаційної безпеки, ризик-менеджменту, аудиту. Вони можуть дозволити собі залучати консалтинг, дорогі рішення на зразок платформ Security Information and Event Management (SIEM), послуги кіберрозвідки тощо. Багато CASP є відносно невеликими стартапами, для яких витрати на дотримання регуляторних вимог – відчутне навантаження. DORA, з її детальними вимогами, може виявитися складною для малих компаній, що не мають досвіду регуляторної відповідності. З іншого боку, DORA передбачає принцип пропорційності: для невеликих суб’єктів (мікро- і малих підприємств) можуть застосовуватися спрощені режими виконання окремих вимог (наприклад, спрощена рамка управління ІКТ-ризиками згідно статті 16 DORA). Це покликано запобігти надмірному тиску на найменші компанії. Проте середні CASP, які не підпадають під звільнення, все одно стикаються з необхідністю наймати фахівців, перебудовувати ІТ-процеси і вкладати значні кошти у безпеку, що може вести до консолідації ринку (дрібні гравці шукатимуть об’єднання з більшими для розподілу витрат). Банківський сектор більш зрілий у плані ресурсів, але і для банків витрати на виконання DORA (нові інструменти моніторингу, тестування, резервні рішення) теж істотні – це додає до їхньої й так немалої регуляторної вартості бізнесу.
• Обізнаність та культура безпеки: Як вже зазначалося, банки заздалегідь готувалися до DORA завдяки комунікації регуляторів. Натомість серед деяких некласичних фінансових фірм (наприклад, компаній децентралізованого фінансування) спостерігається низька обізнаність про те, що DORA взагалі на них поширюється. Експерти відзначають, що регуляторна комунікація фокусувалася переважно на банках та великих постачальниках, тож у частини криптофірм може не бути повного розуміння майбутніх зобов’язань. Це не звільняє їх від відповідальності, і у 2024 році ми бачили зростання активності консалтингових компаній, семінарів для CASP щодо DORA. Формування належної культури кібербезпеки – спільний виклик для банків і криптокомпаній. DORA вимагає, щоб керівництво і персонал були залучені до питань цифрової стійкості, тож і там, і там потрібне навчання та внутрішні комунікації щодо нових правил. Банки мають перевагу у вигляді вже існуючих програм тренінгів з кібербезпеки, тоді як молодим криптостартапам доведеться швидко виховувати культуру безпеки з нуля.
• Часові рамки та готовність до дедлайнів: Обидві групи зобов’язані повністю відповідати DORA з середини січня 2025 року, причому жодного перехідного періоду не передбачено. Це ставить жорсткий дедлайн, і станом на кінець 2024 року багато компаній (особливо поза банківським сектором) відчували значний тиск часу. Як зазначалося в публікаціях, якщо організація досі не розпочала перегляд контрактів з провайдерами чи оновлення ІТ-стратегій, то часу лишилося обмаль. Банки переважно стартували проекти з імплементації DORA ще у 2023 році, тоді як частина CASP, зайняті процесом ліцензування за MiCA, могли недооцінити обсяг роботи. В результаті у період до січня 2025 року можна очікувати гонку за відповідністю: компанії спішно впроваджують нові контролі, регулятори публікують фінальні стандарти, проводяться навчання і тестування “на сухо”. Ключовим викликом є встигнути завершити підготовку до набрання чинності вимог – адже з 17.01.2025 регулятори можуть почати запитувати підтвердження відповідності і реагувати на її відсутність.

Підсумовуючи порівняння, слід відзначити, що мета DORA однакова для всіх – підвищити стійкість фінансової екосистеми до ІТ-загроз, але стартові позиції і шлях до цієї мети різняться. Банки входять у новий режим з суттєвим багажем досвіду і усталеними процесами, тоді як криптовалютні компанії – з інноваційними технологіями, але значно меншою регуляторною зрілістю. Врешті, і тим, і іншим доведеться досягти однакового кінцевого результату: спроможності протистояти сучасним кіберризикам та мінімізувати операційні збої на благо стабільності фінансового ринку ЄС.

Висновки

Регламент DORA представляє собою нову еру регулювання операційної стійкості у фінансовому секторі Європейського Союзу. Його впровадження відбувається в контексті зростання кіберзагроз і цифровізації фінансових послуг, що робить актуальним комплексний підхід до ICT-ризик менеджменту, кібербезпеки та наглядових практик. DORA встановлює єдині стандарти для банків, страховиків, інвестиційних компаній, а також для ринку криптоактивів, вперше підводячи криптокомпанії під вимоги, еквівалентні традиційним фінансам. Це сприяє вирівнюванню умов конкуренції та закриває регуляторні прогалини, адже всі гравці повинні дотримуватися однакових правил цифрової стійкості.

На момент запуску DORA (початок 2025 року) фінансовий сектор ЄС увійде з різним рівнем готовності: банки – добре підготовлені, з огляду на їхній попередній досвід, криптогравці – з більшим обсягом нового впровадження. У короткостроковій перспективі можливі труднощі і витрати, пов’язані з досягненням повної відповідності (оновлення систем, навчання персоналу, перебудова процесів). Проте середньо- та довгострокова віддача від DORA очікується значною: зменшення кількості і тяжкості кіберінцидентів, швидше відновлення після збоїв, покращення захищеності клієнтів і ринків. Крім того, створення європейського наглядового механізму за критичною цифровою інфраструктурою фінансового ринку (хмарними та ІТ-провайдерами) має знизити системні ризики, забезпечивши, що навіть вразливості зовнішніх сервісів не дестабілізують фінансову систему.

Для України, яка прагне імплементувати європейські норми у своє законодавство в рамках гармонізації з ЕС, DORA також може стати дороговказом у підвищенні кіберстійкості фінансового сектору. Хоча пряме застосування регламенту поки обмежене ЄС, українським банкам і фінкомпаніям варто брати до уваги ці стандарти як найкращі практики. Глобальні фінансові групи, присутні в Україні, ймовірно, розповсюдять внутрішні політики DORA на свої українські дочірні компанії.

На завершення, DORA в фінансовому секторі – це проактивний крок Європейського Союзу, який відображає усвідомлення критичної залежності фінансів від інформаційних технологій. Його успішне впровадження в банках і криптокомпаніях підвищить стійкість та довіру до фінансової екосистеми в епоху цифрових трансформацій. Водночас, воно ставить високу планку для всіх учасників ринку, стимулюючи інвестиції в кібербезпеку та вдосконалення операційних процесів задля колективної безпеки і стабільності. DORA може слугувати моделлю для інших юрисдикцій, як підходити до регулювання кіберризиків у фінансах, встановлюючи новий глобальний стандарт цифрової операційної резильєнтності.

Водночас прийняття Конвенції на рівні ООН стимулюватиме розбудову національного законодавства у країнах, які ще не мають розвинених кіберзаконів. Її ефективність буде залежати від реального приєднання ключових країн та імплементації положень у внутрішнє право. Тому перевага на боці DORA.