Майкл Пелосианд Эмилиос Хараламбус
В условиях быстрого технологического прогресса законодатели ЕС активно пытаются поддерживать и совершенствовать нормативные положения в области кибербезопасности. В верхней части заголовков находится Закон о цифровой операционной устойчивости (DORA) в соответствии с Регламентом (ЕС) 2022/2554, который вступил в силу 16 января 2023 года и будет применяться с 17 января 2025 года.
DORA была создана с целью удовлетворения требований устойчивости и безопасности финансовых организаций и их систем ИКТ с двумя ключевыми целями:
Хотя DORA имеет различные основы, включая принципы и требования к системам управления рисками в сфере ИКТ, базовое и расширенное тестирование, а также информирование компетентных органов о крупных инцидентах, связанных с ИКТ, он также уделяет особое внимание ключевым положениям контрактов – соображениям, которые следует принять во внимание. Прежде чем заключать договор на использование услуг ИКТ, необходимо учитывать обстоятельства, при которых он может быть расторгнут, стратегии выхода, которые следует внедрить, и общие положения, которые следует включить.
К кому это относится?
DORA применяется ко всем финансовым учреждениям в ЕС, включая традиционные организации, такие как банки, инвестиционные фирмы и кредитные учреждения, а также нетрадиционные организации, такие как поставщики услуг криптоактивов и платформы краудфандинга.
Важно отметить, что DORA также распространяется на определенные организации, которые обычно выходят за рамки финансового регулирования. Например, сторонние поставщики услуг, которые предлагают системы и услуги ИКТ финансовым фирмам, например поставщики облачных услуг и центры обработки данных, должны соблюдать требования DORA. Кроме того, DORA распространяется на фирмы, которые предоставляют важные сторонние информационные услуги, включая агентства кредитного рейтинга и поставщиков аналитики данных.
Почему стоит обратить внимание?
В отличие от многих законов, которые требуют от компаний действовать без противодействия, DORA отдает приоритет штрафам, чтобы обеспечить соблюдение своих положений.
Компании, нарушающие требования, могут быть подвергнуты финансовым штрафам в размере до 2% от их общего годового мирового оборота или, для физических лиц, максимальному штрафу в размере 1 000 000 евро. Точный размер штрафа будет определен в зависимости от серьезности нарушения и уровня сотрудничества финансовой организации с властями.
Аналогичным образом, финансовые организации, которые не сообщают о крупных инцидентах, связанных с ИКТ, или о серьезных киберугрозах, как того требует DORA, могут быть оштрафованы. Сторонние поставщики услуг ИКТ, классифицированные Европейскими надзорными органами (ESA) как «критические», могут быть подвергнуты штрафам в размере до 5 000 000 евро, а в случае физических лиц — максимальному штрафу в размере 500 000 евро за несоблюдение требований Регламента. ESAs будет иметь право обеспечивать соблюдение этих штрафов.
Соображения перед заключением договоров на использование услуг ИКТ:
В соответствии со статьей 28(4) DORA финансовые организации должны:
Целью, конечно же, является обеспечение того, чтобы компании знали, с кем они вступают в договорные отношения и каковы связанные с этим риски – как и в случае с каждым надлежащим контрактом, технологическим или нет.
Завершение и выход из контрактов:
В соответствии со статьей 28(7) DORA финансовые организации должны иметь положения, позволяющие им расторгать свои контракты на оказание ИКТ-услуг в случаях, когда:
В то время как в соответствии со статьей 28(8) финансовым организациям рекомендуется разрабатывать стратегии выхода, которые должны учитывать риски, которые могут возникнуть в результате сбоя, ухудшения качества услуг или любых других сбоев в работе стороннего поставщика. Такие стратегии выхода должны позволять финансовым организациям выходить из своих договорных соглашений, не нарушая свою коммерческую деятельность и не ограничивая соблюдение нормативных требований, а также без какого-либо ущерба для непрерывности и качества их услуг.
Положения, которые должны включать:
Согласно статье 30 DORA, договорные соглашения должны включать различные аспекты, учитывающие, поддерживает ли использование услуг ИКТ критические или важные функции. В качестве краткого обзора можно отметить некоторые ключевые положения:
В целом, при обсуждении договорных соглашений финансовые организации и сторонние поставщики услуг ИКТ должны рассмотреть возможность использования стандартных договорных положений, разработанных государственными органами для конкретных услуг.
Поскольку DORA является одним из многих нормативных актов в области кибербезопасности в Европейском Союзе, финансовые компании должны стараться быть в курсе последних обновлений и соблюдать последние положения, чтобы обеспечить бесперебойную и долгосрочную работу в рамках нормативного технологического ландшафта.
Майкл Пелоси и Эмилиос Хараламбус — юристы компании Elias Neocleous & Co LLC.