Форма заказа консультации по регулированию финансового рынка ЕС
user icon
mail icon
phone icon
comment icon

Европейскими правительственными органами были предприняты шаги по совершенствованию правил регулирования рынка финансовых услуг в ЕС. 10 ноября 2022 года Европейский парламент утвердил два законодательных акта, которые устраняют фрагментации в рамках управления рисками, связанными с информационными и коммуникационными технологиями (ИКТ) в финансовом секторе, путем создания согласованной нормативно-правовой базы по цифровой устойчивости и кибербезопасности. 

В то время, когда цифровые финансы, данные и финтех в ЕС, такие как облачные вычисления, открывают обширные возможности для финансовых услуг и поставщиков таких услуг, Директива NIS2 (Директива по сетевой и информационной безопасности) и Закон DORA (Закон об устойчивости к цифровым операциям) будут иметь важное значение для поставщиков и пользователей финансовых технологий.

В статье представлено краткое введение в новое законодательство, сроки его реализации и какие предприятия будут затронуты. 

DORA: требования к цифровой устойчивости для поставщиков финансовых технологий

Как мы уже сказали, регулирование финтех-рынка в ЕС может быть трансформировано посредством принятия Закона о цифровой операционной устойчивости, известного как DORA. DORA представляет собой новый регламент для общего набора правил и стандартов для снижения рисков информационно-коммуникационных технологий в секторе финансовых услуг (FS) путем гармонизации существующих разрозненных правил для управления рисками в сфере ИКТ. Первоначально предложенный в сентябре 2020 года, DORA будет иметь серьезные последствия для фирм ЕС FS и их поставщиков ИКТ.

Если вас интересует регистрация финтех компании в Европе, то рекомендуем ознакомиться с ключевыми моментами предстоящих изменений согласно DORA:

  • Широкая сфера применения. В сферу охвата входит широкий круг «финансовых организаций» ЕС, в том числе кредитные и платежные учреждения, поставщики услуг информации об учетных записях (AISP), учреждения электронных денег, инвестиционные фирмы, поставщики услуг виртуальных активов и эмитенты токенов, привязанных к активам, некоторые поставщики инфраструктуры финансового рынка (FMI), менеджеры AIF, определенные страховые компании и посредники, а также другие фирмы, подпадающие под действие законодательства ЕС о финансовых услугах. Есть некоторые исключения, в том числе для малых и средних предприятий. 
  • Обширные требования к фирмам. Финансовые организации, входящие в сферу охвата, должны будут устранить уязвимости кибербезопасности, в том числе путем внедрения рамок управления рисками в области ИКТ, процедур идентификации, классификации и отчетности об определенных инцидентах, связанных с ИКТ, а также расширенного тестирования (включая расширенное тестирование на проникновение для определенных организаций). DORA также фокусируется на механизмах внутреннего управления.
  • ИКТ-риск третьей стороны. Управление ИКТ-рисками третьих сторон является важной частью DORA, основанной на требованиях существующих руководств, таких как Руководство EBA по аутсорсингу, и закрепляет эти требования на законодательной основе, включая договорные условия.
  • «Важнейшие» поставщики ИКТ. Для поставщиков ИКТ в секторе ЕС FS (включая поставщиков программного обеспечения, услуг по анализу данных и облачных вычислений) DORA может иметь еще большее значение. Помимо обработки растущих запросов от своих клиентов FS на обеспечение соблюдения DORA (например, условия контракта, тестирование и отчеты об инцидентах), DORA уполномочивает органы FS ЕС назначать определенных поставщиков услуг ИКТ в качестве «критических сторонних поставщиков ИКТ». Затем эти предприятия впервые будут находиться под непосредственным строгим надзором уполномоченных органов ЕС.

Евросоюз согласовал новый закон о кибербезопасности для критически важных организаций

Проблемы кибербезопасности не ограничиваются сектором FS. Перед лицом растущих киберугроз и кибератак Директива NIS2 обновляет существующую Директиву (ЕС) 2016/1148 о сетевой и информационной безопасности (NIS).

Европарламент принял новое регулирование финансовой деятельности в Европе, чтобы установить более жесткие обязательства по кибербезопасности для управления киберрисками и ​​обмена информацией между широким спектром секторов, в том числе это касается финтех компаний в ЕС. Ключевые моменты Директивы, о которых следует знать:

  • Более строгие требования: требования NIS2 являются более строгими, чем в режиме 2016 года, и включают такие области, как безопасность цепочки поставок, шифрование, управление уязвимостями и внедрение соответствующих технических, операционных и организационных мер. 
  • Более широкое применение: NIS2 будет применяться к широкому кругу субъектов, охватывая определенные «основные» субъекты (в сфере энергетики, транспортных, банковских услуг, здравоохранения, цифровой инфраструктуры, управления ИКТ-услугами, государственного управления и т.п.) и «важные» организации в других приоритетных секторах (включая торговые площадки и др.). Какие «основные» и «важные» объекты входят в сферу действия, определяется соответствующими пороговыми значениями, при этом у отдельных государств-членов остается меньше свободы действий, чем при первоначальном режиме NIS.
  • Взаимодействие с DORA: финансовые организации, входящие в сферу действия DORA, не должны будут соблюдать требования кибербезопасности NIS2. Однако некоторые важные сторонние поставщики ИКТ в соответствии с DORA (например, поставщики облачных вычислений, назначенные в соответствии с DORA) могут подпадать под действие как DORA, так и NIS2, хотя законодатели стремились свести к минимуму влияние несоответствий и дублирования между двумя режимами. 
  • Юрисдикция надзора: организации, входящие в сферу охвата, как правило, подпадают под юрисдикцию государства-члена, в котором они учреждены, и поэтому им необходимо знать, как Директива NIS2 реализуется в этой стране. Учитывая трансграничный характер некоторых поставщиков цифровой инфраструктуры (включая поставщиков облачных вычислений, управляемых услуг и онлайн-рынков), юрисдикция будет определяться местонахождением их «основного учреждения», как правило, там, где решения, касающиеся мер по управлению рисками кибербезопасности, принимаются «преимущественно».
  • Сотрудничество и стандартизация: Директива NIS2 также включает механизмы для содействия более тесному сотрудничеству и стандартизации в области кибербезопасности в ЕС, включая сотрудничество между органами власти, использование стандартов и технических спецификаций, реестров для определенных поставщиков услуг.

Основные тенденции на финтех рынке ЕС в 2022 году: сроки реализации законодательных актов

И DORA, и NIS2 теперь ожидают утверждения Советом ЕС, прежде чем пройти официальную процедуру принятия. Если вы планируете открыть финтех компанию в ЕС, то важно помнить, что DORA и NIS2 вступят в силу после публикации в Официальном журнале, после чего сроки реализации будут следующими:

  1. Регламент DORA: 24-месячный период реализации для финансовых организаций и режима в отношении критически важных сторонних поставщиков услуг.
  2. Директива NIS2: у государств-членов будет 21 месяц, чтобы принять и опубликовать соответствующие меры по реализации, после чего новые правила станут обязательными для предприятий.

Однако организациям, входящим в сферу охвата, не следует ждать до тех пор, чтобы реализовать требования и операционные изменения. В соответствии с DORA многие требования потребуют значительных ресурсов для расширения существующих возможностей, а другие аспекты, такие как механизмы управления, потребуют времени для интеграции между предприятиями и группами. Фирмы, которые откладывают подготовку, могут столкнуться с трудностями, чтобы вовремя добиться соответствия.

Важно!

Обратите внимание, что и DORA, и Директива NIS2 требуют принятия дополнительного законодательства, чтобы конкретизировать многие детали применения требований. 

Безопасность цепочки поставок и косвенное влияние на поставщиков услуг

И DORA, и NIS2 нацелены на повышение устойчивости и кибербезопасности всей цепочки поставок. В результате даже те предприятия, которые не входят в сферу действия, могут косвенно ощутить влияние, поскольку клиенты, входящие в сферу действия, запрашивают соответствующие договорные условия или нормы соответствия требованиям безопасности. Таким образом, поставщики технологий и управляемых услуг, которые опережают требования, могут получить конкурентное преимущество.

Заключение

Там, где исторически цифровые проекты организаций в основном были сосредоточены на соблюдении требований к защите данных, регулирование «устойчивости», вероятно, будет играть важную роль в будущем. Больше информации о ближайших законодательных перспективах на Fintech рынке ЕС можете узнать на консультации с нашими экспертами.