Новые жесткие правила Европейского Союза, требующие от банков усилить свои системы кибербезопасности, официально вступают в силу в пятницу, но многие компании, предоставляющие финансовые услуги блока, еще не полностью соблюдают правила.

Закон ЕС о цифровой операционной устойчивости (DORA) требует, чтобы как компании, предоставляющие финансовые услуги, так и их поставщики технологий укрепляли свои ИТ-системы, чтобы обеспечить устойчивость отрасли в случае кибератак или любых других форм сбоев. Он вступил в силу 17 января.

Штрафы за нарушение нового законодательства могут быть существенными. Фирмы финансовых услуг, нарушающие новые правила, могут быть оштрафованы на сумму до 2% годового мирового дохода. Отдельные менеджеры также могут быть привлечены к ответственности за нарушения и подвергнуты санкциям в размере до 1 миллиона евро (1 миллион долларов США).

По словам Харви Джанга, директора по конфиденциальности и заместителя генерального юрисконсульта ИТ-гиганта Cisco, пока уровень соблюдения новых правил компаниями, предоставляющими финансовые услуги, неоднозначен.

«Я думаю, мы увидели неоднозначную ситуацию», — сказал Чан в интервью CNBC. «Конечно, более зрелые компании рассматривают этот вопрос как минимум год, если не дольше».

«Мы действительно пытаемся создать эту программу соответствия, но она настолько сложна. Я думаю, что это проблема. Мы видели это также в случае с GDPR и другим широким законодательством, которое подлежит интерпретации — что на самом деле означает соблюдение требований? Это означает другое вещи для разных людей», — сказал он.

Отсутствие общего понимания того, что квалифицируется как строгое соблюдение DORA, в свою очередь, привело к тому, что многие учреждения повысили стандарты безопасности до уровня, который фактически превосходит «базовый уровень» того, что ожидается от большинства фирм, добавил Чан.

В соответствии с DORA финансовые компании будут обязаны осуществлять строгое управление ИТ-рисками и инцидентами, классификацию и отчетность, тестирование операционной устойчивости, обмен разведданными о киберугрозах и уязвимостях, а также меры по управлению рисками третьих сторон.

Фирмы также будут обязаны проводить оценку «риска концентрации», связанного с передачей критических или важных операционных функций внешним компаниям.

Опрос 200 руководителей информационной безопасности Великобритании, проведенный по заказу Orange Cyberdefense, подразделения кибербезопасности французской телекоммуникационной компании. Апельсин показало, что 43% финансовых учреждений в Великобритании еще не полностью соответствуют требованиям DORA.

Это вызывает беспокойство, поскольку, несмотря на то, что Великобритания сейчас выходит за пределы Европейского Союза, DORA применяется ко всем финансовым организациям, действующим в пределах юрисдикции ЕС, даже если они базируются за пределами блока.

«Хотя очевидно, что DORA не имеет юридической силы в Великобритании, организации, базирующиеся здесь и работающие или предоставляющие услуги организациям в ЕС, будут подлежать регулированию», — сказал CNBC Ричард Линдсей, главный консультативный консультант Orange Cyberdefense.

Он добавил, что основной проблемой для многих финансовых учреждений, когда дело доходит до достижения соответствия требованиям DORA, является управление критически важными сторонними ИТ-провайдерами.

«Финансовые учреждения работают в рамках многоуровневой и чрезвычайно сложной цифровой экосистемы», — сказал Линдси. «Отслеживание и обеспечение того, чтобы все части этой системы явно соответствовали соответствующим элементам DORA, потребуют нового мышления, решений и ресурсов».

По словам Джанга, банки также повышают уровень контроля в переговорах по контрактам с поставщиками технологий из-за строгих требований DORA.

Директор по конфиденциальности Cisco заявил CNBC, что, по его мнению, существует согласие, когда дело касается принципов и духа закона. Однако, добавил он, «любое законодательство является продуктом компромисса, и поэтому, поскольку оно становится более предписывающим, оно становится сложным».

«Мы согласны с принципами, но любое законодательство является продуктом компромисса, и поскольку оно становится более предписывающим, оно становится сложным».

Тем не менее, несмотря на проблемы, многие эксперты ожидают, что пройдет немного времени, прежде чем банки и другие финансовые учреждения достигнут соответствия.

«Банки в Европе уже соблюдают важные правила, которые охватывают большинство областей, подпадающих под действие DORA», — сказал CNBC Фабио Коломбо, руководитель службы безопасности финансовых услуг в регионе EMEA компании Accenture.

«В результате учреждения финансовых услуг уже имеют зрелые возможности управления и соблюдения нормативных требований, а также существующие процессы отчетности об инцидентах и ​​надежную систему рисков в сфере ИКТ».

ИТ-провайдеры также могут быть оштрафованы согласно DORA. Правила грозят сбором в размере до 1% от среднего ежедневного дохода по всему миру на срок до шести месяцев.

«Эти санкции необходимы», — сказал CNBC Брайан Фокс, технический директор компании Sonatype, занимающейся управлением цепочками поставок программного обеспечения. «Они являются мощным мотиватором, побуждающим лидеров относиться к соблюдению требований и операционной устойчивости более серьезно, чем когда-либо».

Линдсей из Orange Cyberdefense заявил, что в долгосрочной перспективе существует риск того, что компании, предоставляющие финансовые услуги, в конечном итоге перенесут свои критически важные функции и услуги безопасности внутрь компании.

«Достижения в области технологий могут позволить финансовым учреждениям вернуть услуги внутри компании, упрощая этот аспект и снижая риск несоблюдения требований», — сказал он.

«В любом случае существующие контракты необходимо будет обновить, чтобы гарантировать, что соблюдение договорных обязательств является обязательным и контролируется между организацией и поставщиком», — добавил Линдсей.

Между тем, существует несколько других правил, ориентированных на кибербезопасность, с которыми организациям придется согласиться, например, Директива о сетевой и информационной безопасности 2, или NIS 2, и Закон о киберустойчивости. Первый вступил в силу в октябре.

«Как и в случае с любым новым регулированием, обязательно наступит переходный период, поскольку организации приспосабливаются к новым требованиям и стандартам», — сказал Фокс из Sonatype CNBC. «Это начало долгого пути к улучшению безопасности и отказоустойчивости программного обеспечения».