12 Mar 2026

Що таке DORA (EU) і як фінансовим компаніям підготуватися до вимог управління ICT ризиками

ESKA ITeam

Фінансовий сектор тісно поєднаний з цифровими технологіями: онлайн-банкінг, платіжні сервіси, fintech-платформи, хмарні інфраструктури та мобільні застосунки. Водночас кіберінциденти, збої інфраструктури або проблеми з ІТ-підрядниками можуть зупинити роботу цілих фінансових систем.

Саме для вирішення цієї проблеми Європейський Союз ухвалив Digital Operational Resilience Act (DORA) - регламент, який встановлює єдині правила управління цифровою операційною стійкістю для фінансових установ. Тобто, DORA вимагає, щоб фінансові компанії не лише мали кіберзахист, а й могли запобігати ICT-інцидентам, виявляти їх, реагувати, відновлюватися після них і контролювати ризики від ІТ-підрядників.

Регламент набув чинності у 2023 році, а обов’язкове застосування вимог почалося з 17 січня 2025 року. DORA вводить комплексні вимоги до управління ICT (Information and Communication Technology) ризиками, тестування стійкості систем, звітності про інциденти та контролю ІТ-підрядників.

Що таке ICT?

Перш ніж розглядати вимоги DORA, важливо зрозуміти ключове поняття - ICT.

ICT (Information and Communication Technology) це сукупність технологій, систем і інфраструктури, які використовуються для обробки даних, зберігання інформації, передачі даних, забезпечення цифрових сервісів. 

До ICT у фінансових компаніях належать:

Інфраструктура:

• сервери
• дата-центри
• хмарні платформи
• мережеве обладнання

Програмні системи:

• банківські платформи
• платіжні шлюзи
• CRM та ERP
• мобільні та веб-додатки

Системи безпеки:

• SIEM
• XDR
• системи моніторингу
• IAM (керування доступами)

Комунікаційні технології:

• API
• внутрішні мережі
• VPN
• канали передачі даних

Тобто ICТ це вся технологічна екосистема компанії, від серверів до SaaS-сервісів.

ICT ризики можуть виникнути через кіберінциденти, збої ІТ-систем, помилки конфігурації, залежність від ІТ-постачальників, вразливості програмного забезпечення. 

У фінансовому секторі такі ризики можуть призвести до:

• зупинки платіжних систем
• втрати доступу до клієнтських рахунків
• витоку персональних даних
• фінансових збитків
• регуляторних штрафів.

Що таке DORA (Digital Operational Resilience Act)

DORA це регламент ЄС, який створює єдину систему управління ICT-ризиками для фінансового сектору.

Головна мета регламенту: забезпечити, щоб фінансові організації могли витримувати, реагувати та відновлюватися після ICT-інцидентів.

Регламент охоплює широкий спектр організацій, такиї як: банки, платіжні установи, fintech-компанії, інвестиційні компанії, страхові організації, крипто-провайдери, постачальники фінансових сервісів.

Важливо, що DORA регулює не лише фінансові компанії, а й їхніх ICT-постачальників, включаючи хмарні платформи.

Основні вимоги DORA

Регламент побудований навколо п’яти ключових блоків.

Фінансові компанії повинні створити систему управління ICT-ризиками.

1. ICT Risk Management Framework

Вона включає:

• інвентаризацію ІТ-активів
• оцінку ризиків
• управління доступами
• управління вразливостями
• резервне копіювання
• відновлення після аварій
• моніторинг безпеки.

2. Управління ICT-інцидентами

DORA вводить обов’язкові вимоги до:

• виявлення інцидентів
• їх класифікації
• внутрішнього реагування
• повідомлення регулятору.

Компанії повинні повідомляти про major ICT incidents за встановленими процедурами. Major ICT incident це інцидент, який суттєво впливає на ІТ-системи, бізнес або клієнтів і підлягає обов’язковому повідомленню регулятору згідно з вимогами DORA. Наприклад, платіжна система недоступна 3 години і клієнти не можуть провести транзакції - такий інцидент має значний вплив на роботу компанії та її клієнтів.

3. Digital Operational Resilience Testing

Фінансові організації повинні регулярно тестувати стійкість своїх систем.

Це може включати:

• сканування на наявність вразливостей (vulnerability scanning)
• disaster recovery testing
• threat-led penetration testing (TLPT).

4. ICT Third-Party Risk Management

DORA приділяє особливу увагу ризикам від ІТ-підрядників. 

Фінансові компанії повинні:

• вести реєстр ICT-постачальників
• оцінювати їхні ризики
• контролювати субпідрядників
• мати план заміни постачальника.

Особливо це стосується cloud-провайдерів.

5. Обмін інформацією про кіберзагрози

У межах Digital Operational Resilience Act (DORA) обмін інформацією про кіберзагрози є не обов’язком, а рекомендованою практикою, яка суттєво підвищує рівень кіберстійкості фінансового сектору.

DORA заохочує фінансові компанії об’єднуватися та ділитися інформацією про кіберзагрози, замість того щоб боротися з ними ізольовано.

Йдеться про обмін такими типами даних:

• індикатори компрометації (IoC)
• тактики, техніки та процедури атак (TTPs)
• інформація про нові вразливості
• сценарії атак (attack patterns)
• ознаки фішингових кампаній
• дані про активні кіберзагрози

Це дозволяє компаніям швидше виявляти атаки та реагувати на них, ще до того, як вони спричинять значний вплив.

DORA заохочує фінансові компанії:

• обмінюватися інформацією про кіберзагрози
• співпрацювати у боротьбі з кіберзлочинністю
• підвищувати загальну стійкість фінансового сектору.

Як фінансовим компаніям підготуватися до DORA

1. Gap Assessment

Підготовка до DORA зазвичай складається з кількох етапів і починається з gap assessment - визначення, яких процесів і контролів не вистачає для відповідності DORA. Тобто це “діагностика кібербезпеки” компанії перед впровадженням DORA, яка дозволяє визначити:

• наскільки компанія вже відповідає вимогам DORA
• які контролі вже впроваджені
• які процеси відсутні або працюють частково
• де існують критичні ризики

2. Інвентаризація ICT-активів

Фінансова компанія повинна мати повний і актуальний реєстр усіх ICT-активів, включаючи:

• сервери та інфраструктуру
• хмарні сервіси (AWS, Azure, SaaS)
• бізнес-додатки
• бази даних
• API та інтеграції

Важливо не просто перелічити активи, а визначити їх власників, зрозуміти, які бізнес-функції вони підтримують та оцінити їх критичність. Без повної картини ІТ-активів неможливо ні оцінити ризики, ні побудувати захист.

3. Визначення критичних функцій

DORA вимагає чітко визначити так звані critical or important functions, тобто процеси, від яких залежить робота бізнесу.

Це можуть бути:

• обробка платежів
• доступ до клієнтських рахунків
• core banking системи
• API для партнерів

Для кожної функції потрібно визначити, які ІТ-системи її забезпечують, оцінити вплив її відмови, зрозуміти залежність від підрядників. Це дозволяє сфокусувати ресурси на захисті найважливішого.

4. Оновлення політик кібербезпеки

Компанія повинна мати формалізовані та актуальні політики, які відповідають вимогам DORA.

Ключові документи:

• ICT Risk Management Policy
• Incident Response Plan
• Business Continuity Plan (BCP)
• Disaster Recovery Plan (DRP)
• Third-Party Risk Management Policy

Важливо, щоб ці політики реально використовувалися, відповідали реальній інфраструктурі, були зрозумілі команді.

Регулятор перевіряє не лише наявність документів, а і їхню ефективність.

5. Посилення моніторингу безпеки

Компанія повинна мати можливість вчасно виявляти та аналізувати загрози.

Для цього впроваджується:

• централізоване логування
• SIEM або XDR
• SOC (внутрішній або аутсорс)
• threat intelligence

Це дозволяє швидко виявляти підозрілу активність, реагувати на інциденти, зменшувати час простою.

Без моніторингу більшість атак залишаються непоміченими.

6. Регулярне тестування кіберстійкості

Регулярне тестування кіберстійкості - це процес перевірки того, наскільки ефективно працюють заходи кібербезпеки та чи здатна компанія протистояти реальним загрозам.

У межах DORA це не разова активність, а системна процедура, яка має виконуватися на постійній основі та бути інтегрованою в управління ризиками.

Фактично мова йде про те, що компанія повинна не просто впровадити контроль безпеки, а регулярно підтверджувати, що:

• системи захищені від актуальних атак
• вразливості своєчасно виявляються
• команда здатна реагувати на інциденти
• процеси відновлення дійсно працюють

Таку перевірку забезпечують різні процедури, зокрема тестування на проникнення, сканування вразливостей, перевірка сценаріїв відновлення після збоїв (disaster recovery testing), а також моделювання інцидентів у форматі тренувань для команди (tabletop exercises). У випадку більш критичних організацій можуть застосовуватися також складніші сценарії тестування, які імітують реальні атаки - threat-led penetration testing (TLPT).

Ці заходи дозволяють не лише виявити технічні вразливості, а й оцінити, наскільки ефективно працюють внутрішні процеси, комунікація та реагування на інциденти.

Нижче наведена спрощена карта того, як вимоги Digital Operational Resilience Act (DORA) трансформуються у конкретні технічні та організаційні заходи безпеки.

Вимоги DORA та відповідні заходи кібербезпеки

Головна мета DORA - зробити фінансові системи стійкими до цифрових ризиків, забезпечивши:

• ефективне управління ICT-ризиками
• прозорість інцидентів
• контроль ІТ-постачальників
• регулярне тестування кіберстійкості.

Підготовка до DORA це складний процес, який потребує не лише технічної експертизи, а й глибокого розуміння регуляторних вимог.

Наша GRC-команда допомагає фінансовим компаніям пройти цей шлях швидко та без зайвих ризиків. Зв’яжіться з нами, щоб обговорити деталі.

FAQ: поширені питання про DORA та ICT risk

Що означає ICT risk у DORA?

ICT risk це ризик порушення роботи фінансової організації через проблеми з інформаційно-комунікаційними технологіями (ICT).

Це можуть бути:

• кібератаки
• збої ІТ-систем
• помилки конфігурації
• залежність від хмарних сервісів
• вразливості програмного забезпечення.

DORA вимагає, щоб фінансові організації мали формалізовану систему управління такими ризиками.

Чи стосується DORA лише банків?

Ні.

DORA застосовується до широкого спектра фінансових організацій, включаючи:

• банки
• платіжні установи
• fintech-компанії
• інвестиційні компанії
• страхові компанії
• крипто-сервіси
• постачальників фінансових технологій.

Також під регуляцію можуть підпадати ICT-постачальники, які надають критичні технологічні послуги фінансовому сектору.

Коли DORA почав застосовуватися?

Регламент був прийнятий у 2022 році та набув повної сили 17 січня 2025 року.

З цього моменту фінансові компанії повинні відповідати вимогам щодо:

• управління ICT-ризиками
• повідомлення про інциденти
• тестування кіберстійкості
• контролю ІТ-постачальників.

Чим DORA відрізняється від інших стандартів безпеки?

DORA не є просто стандартом кібербезпеки.

Його ключова відмінність — фокус на операційній стійкості фінансового сектору.

Регламент поєднує:

• кібербезпеку
• управління ризиками
• управління ІТ-постачальниками
• регуляторну звітність
• тестування стійкості інфраструктури.

Чи достатньо мати ISO 27001 або SOC 2 для відповідності DORA?

Ні повністю.

Наявність ISO/IEC 27001 або SOC 2 значно допомагає, але не гарантує повної відповідності DORA.

DORA вводить додаткові вимоги, зокрема:

• ICT incident reporting
• oversight ICT providers
• threat-led penetration testing
• реєстр ІТ-постачальників.

Який перший крок для підготовки до DORA?

Перший і найважливіший крок — DORA gap assessment.

Це аналіз, який показує:

• які вимоги регламенту вже виконуються
• які процеси потрібно створити
• які технічні контролі відсутні.

Після цього створюється roadmap впровадження DORA controls.