Към блога
Регулации на ЕССъответствие

DORA: защо засяга и стартъпите, които не са банки

Регламентът на ЕС за цифрова оперативна устойчивост е в сила от януари 2025 г. Ако продавате софтуер на финансови институции, вие сте „трета страна“ - и това вече е ваш проблем.

NOMELIA6 мин. четене
Сподели

DORA (Digital Operational Resilience Act) е Регламентът на ЕС за цифрова оперативна устойчивост, влязъл в пълна сила на 17 януари 2025 г. Целта му е да гарантира, че финансовите институции могат да издържат на кибератаки и технически сривове, без това да срине икономиката.

На пръв поглед това е закон за банките. На практика засяга всеки стартъп, който им продава.

Петте стълба

Регулацията изисква компаниите да покрият пет основни зони:

  1. Управление на ИКТ риска. Ясна стратегия, политики за сигурност и непрекъснат мониторинг на системите. (ИКТ = информационни и комуникационни технологии.)
  2. Докладване на инциденти. Строги срокове за уведомяване на властите при сериозни кибератаки - често в рамките на часове.
  3. Тестване на устойчивостта. Редовни тестове, включително пенетрейшън тестове, за откриване на пролуки.
  4. Риск от трети страни. Най-важният стълб за стартъпите (виж по-долу).
  5. Споделяне на информация. Насърчава се обменът на данни за заплахи между компаниите в сектора.

Защо четвъртият стълб е за вас

Финансовите институции носят отговорност за сигурността на софтуера, който купуват от външни доставчици. Ако сте стартъп, който продава на банка, вие сте „трета страна” - и банката ще ви третира като риск.

Нещо повече: банката ще гледа и вашите собствени подизпълнители. Това е т.нар. концентрационен риск - ако 100 финтех стартъпа ползват един и същ малък сървър и той падне, цялата система е застрашена едновременно.

Как DORA променя живота на стартъпа

Като B2B доставчик. Ако продавате софтуер, облачни услуги или данни на банки, застрахователи или финтех компании, ставате част от тяхната верига на доставки. Клиентите ви ще изискват драстично по-високи стандарти за сигурност, ще ви инспектират и ще искат специфични клаузи в договорите и доказателства, че системите ви няма да паднат в критичен момент. Ако не сте „DORA-compliant”, просто няма да купят услугата ви.

Като самата финтех компания (B2C). Ако сте необанка, крипто платформа или платформа за разплащания, попадате директно под DORA. Вече не е достатъчно „кодът да работи” - той трябва да е доказано устойчив, а това изисква сериозен ресурс за съответствие.

Принципът на пропорционалност

Добрата новина за малките: DORA признава, че стартъп с 10 души не може да има администрацията на банка с 10 000. Мерките трябва да са съобразени с мащаба и сложността на бизнеса ви. Но внимавайте - „пропорционално” не означава „никакво”.

Глобите

DORA не е препоръка. Санкциите достигат до 1% от средния дневен световен оборот за доставчици на критични услуги, налагани ежедневно до постигане на съответствие. Предвидени са и индивидуални глоби за мениджъри, които не са осигурили устойчивост на системите.

Изводът

Ако продуктът ви докосва финансовия сектор, съответствието с DORA не е опция, а условие за продажба. Започнете рано: документирайте сигурността си, картографирайте собствените си подизпълнители и бъдете готови да отговорите на въпросите на банката, преди тя да ги зададе.

Свързани статии