GDPR vs DORA: в чому різниця і як підготувати бізнес

Два європейські регламенти: GDPR (General Data Protection Regulation) та DORA (Digital Operational Resilience Act). Обидва спрямовані на підвищення довіри до цифрового середовища, але їхні цілі, вимоги та наслідки для бізнесу — зовсім різні. 

В цій статті розглянемо і порівняємо дві ключові європейські регулювання — General Data Protection Regulation (GDPR) та Digital Operational Resilience Act (DORA) — з особливим акцентом на відмінностях, перетинах і практичному значенні для бізнесу.

GDPR — основа захисту персональних даних

Регламент GDPR (Регламент ЄС № 2016/679) набув чинності ще у 2018 році. Його головна мета — захист персональних даних громадян ЄС і забезпечення прозорості того, як ці дані збираються, обробляються, зберігаються та передаються.

Простими словами: якщо ви працюєте з персональними даними європейців — ви маєте поводитися з ними відповідально. Користувач має знати, для чого ви збираєте інформацію, як довго її зберігаєте і як може вимагати видалення чи виправлення.

Основні принципи GDPR:

• законна підстава для обробки даних;
• мінімізація даних і обмеження цілей використання;
• принципи «privacy by design» і «privacy by default»;
• призначення Data Protection Officer (DPO), якщо це потрібно;
• повідомлення про витік даних упродовж 72 годин;
• дія поза межами ЄС — навіть якщо компанія зареєстрована за його межами, але працює з європейськими даними.

В чому головні зобов’язання для організацій:

• Вести карту/реєстр обробки персональних даних.
• Оцінювати вплив обробки на права суб’єктів (DPIA) там, де це необхідно.
• Забезпечувати належні технічні та організаційні заходи безпеки.
• Укласти договори з процесорами, які гарантують дотримання GDPR.

Ігнорування GDPR може коштувати бізнесу до 20 мільйонів євро або 4% від річного обороту — не кажучи вже про втрату довіри клієнтів.

DORA — нова епоха цифрової стійкості

DORA, або Digital Operational Resilience Act, — це новий європейський регламент, який фактично змінює підхід до кібербезпеки у фінансовому секторі. Його головна мета — зробити так, щоб банки, страхові компанії, платіжні провайдери, криптобіржі та навіть їхні ІТ-постачальники могли продовжувати роботу навіть тоді, коли стається серйозний кіберінцидент або технічний збій.

Регламент було ухвалено 14 грудня 2022 року, а з січня 2025 він став обов’язковим для виконання. 

DORA став відповіддю на реальність, у якій більшість фінансових операцій уже давно відбуваються онлайн. Банківські системи, біржі, провайдери платіжних послуг, компанії з управління активами — усі вони залежать від складної ІТ-інфраструктури та зовнішніх сервісів. І кожен збій, від хакерської атаки до помилки оновлення, може паралізувати бізнес або поставити під загрозу кошти тисяч клієнтів.

Саме тому DORA запроваджує єдині для всього ЄС правила, які вимагають не просто “мати антивірус”, а повністю перебудувати підхід до управління ІТ-ризиками. Організації повинні навчитися розуміти, які системи критичні, хто з постачальників має доступ до даних або ключових процесів, як швидко вони можуть відновитися після інциденту і — найважливіше — як запобігти подібним подіям у майбутньому.

Фактично DORA ставить ІТ-безпеку на один рівень із фінансовою стабільністю: тепер недоліки в кіберзахисті розглядаються як такі ж серйозні ризики, як і порушення капітальних вимог чи звітності. Це великий крок уперед — від реактивної безпеки до проактивної операційної стійкості.

Хоча регламент орієнтований передусім на фінансові компанії, він також стосується постачальників ІТ-послуг — тобто будь-яка компанія, яка працює з фінансовими установами (наприклад, хмарні сервіси, SOC-провайдери чи розробники), може підпадати під дію DORA. І для таких компаній це не лише виклик, а й можливість — адже сертифікація відповідності DORA стане своєрідним знаком довіри на ринку ЄС.

Якщо GDPR захищає права людини на конфіденційність, то DORA захищає стійкість бізнесу — його здатність продовжувати роботу навіть після атаки чи збоїв у системах.

DORA охоплює:

• управління ризиками у сфері ІТ;
• звітування про кіберінциденти;
• регулярне тестування стійкості (включно з threat-led penetration testing);
• контроль і аудит ІТ-постачальників;
• обмін інформацією про кіберзагрози між учасниками ринку.

Порівняння: GDPR vs DORA

Нижче — таблиця для швидкого порівняння, що допомагає розуміти, де ці регламенти співпадають, а де — радикально різняться.

Ключові відмінності між GDPR та DORA:

Тематика регулювання: GDPR — сфера даних/конфіденційності; DORA — сфера операційної стійкості й ІТ-ризиків.

Кому адресовано: GDPR — будь-яка організація з обробкою персональних даних ЄС; DORA — переважно фінансові установи та їх ІТ-постачальники.

Основний «прецедент» обов’язку: GDPR — обробка персональних даних; DORA — забезпечення, щоб ІТ-сервіси/постачальники не створювали ризиків збою/втручання.

Підхід до третьої сторони: обидва мають вимоги до контролю третіх сторін, але фокус різний: GDPR — процесор даних; DORA — ІТ-постачальник (особливо критичний ICT-сервіс).

Де перетинаються: У випадках, коли фінансова установа обробляє персональні дані + має ІТ-інцидент, можуть застосовуватися обидва регламенти.

Основні точки перетину:

1. Обидва регламенти мають на меті гарантувати конфіденційність, цілісність та доступність (confidentiality, integrity, availability — CIA) інформації. 
2. Контроль над третіми сторонами: організація має враховувати ризики постачальників — чи то обробка персональних даних (GDPR), чи то ІТ-послуги (DORA). 
3. Інциденти: інцидент у фінансовій установі може одночасно бути порушенням безпеки ІТ-систем (DORA) і, якщо це порушення призвело до витоку персональних даних — порушенням GDPR. 

Що варто зробити компаніям уже зараз

В ESKA ми бачимо, що багато компаній сприймають комплаєнс як формальність — доки не відбувається перший інцидент. Щоб бути справді готовими до вимог GDPR і DORA, радимо діяти системно.

1. Зрозумійте свої дані та системи

Почніть із прозорості. Визначте, де зберігаються дані, хто має доступ і які системи критично важливі для бізнесу. GDPR вимагає контролю за персональними даними, DORA — за ІТ-інфраструктурою та залежностями від постачальників.

2. Проведіть аудит відповідності та стійкості

Перевірте, чи відповідають ваші процеси ключовим принципам GDPR, а також чи маєте ви політики з управління ІТ-ризиками, реагування на інциденти та контролю постачальників відповідно до DORA. Ми в ESKA допомагаємо провести об’єднаний аудит GDPR–DORA, щоб визначити прогалини й розставити пріоритети.

3. Перегляньте контракти з ІТ-постачальниками

Більшість ризиків походять від підрядників. GDPR вимагає, щоб ваші процесори виконували вимоги безпеки, а DORA додає обов’язок щодо тестування стійкості, резервних стратегій, аудиту та права на розірвання договору.

4. Створіть інтегрований план реагування на інциденти

Кіберінциденти не запитують, під який регламент вони підпадають. План має охоплювати як витоки даних (GDPR), так і збої у роботі ІТ-систем (DORA). Регулярно тестуйте його ефективність через сценарні тренування.

5. Посильте технічний захист і перевіряйте його

Захист має бути не лише на папері. Реалізуйте контроль доступу, шифрування, журнали подій, резервне копіювання. Проводьте пентести та оцінку вразливостей, аби підтвердити реальну стійкість систем.

6. Формуйте культуру відповідальності

Комплаєнс починається не з політик, а з людей. Навчайте команди розпізнавати ризики, повідомляти про інциденти й розуміти свій внесок у безпеку компанії.

7. Слідкуйте за оновленнями

Обидва регламенти постійно розвиваються. GDPR — через нові тлумачення судів і рішень регуляторів, DORA — через технічні стандарти, які продовжать виходити після 2025 року. ESKA відстежує зміни та допомагає клієнтам своєчасно адаптувати процеси.

GDPR — це про захист даних, а DORA — про захист цифрової стійкості. Разом вони створюють новий стандарт кіберзахисту в ЄС.

Для українських компаній, які працюють із європейськими фінансовими установами, відповідність цим вимогам — це не лише юридичний обов’язок, а й конкурентна перевага.

Як ESKA допомагає

Ми допомагаємо компаніям інтегрувати вимоги GDPR і DORA у бізнес-процеси — від початкового аудиту до впровадження політик, реагування на інциденти та навчання персоналу. Комплаєнс може стати не витратами, а інструментом довіри, який відкриває двері на європейський ринок.