Регламент (ЕС) 2022/2554 относно оперативната устойчивост на цифровите технологии във финансовия сектор (DORA) и Директива (ЕС) 2022/2555 относно мерки за високо общо ниво на киберсигурност в Съюза (Директива за мрежова и информационна сигурност - МИС 2) влизат в сила на 16 януари 2023 г.
Двата акта са публикувани на 27 декември 2022 г. в Официалния вестник на ЕС. Регламентът DORA ще се прилага от 17 януари 2025 г., а директивата МИС 2 трябва да бъде транспонирана от държавите членки до 18 октомври 2024 г.
DORA е регламент, който се отнася пряко и трябва да се прилага от застрахователите от 17 януари 2025 г, с изключение на тези, които са изключени от приложното поле на „Платежоспособност ІІ“ поради размер.
Целта на DORA е да се гарантира способността на финансовия сектор в Европа да поддържа устойчиви операции в случай на сериозни оперативни смущения. Регламентът определя единни изисквания за сигурността на мрежите и информационните системи на дружествата и организациите, работещи във финансовия, респективно в застрахователния сектор, както и на възлови трети страни, които им предоставят услуги, свързани с ИКТ (информационни и комуникационни технологии), като например платформи за изчисления в облак или услуги за анализ на данни. С DORA се създава регулаторна рамка за оперативна устойчивост на цифровите технологии, като всички дружества трябва да гарантират, че са в състояние да устоят, да реагират и да се възстановят от всякакви видове смущения и заплахи, свързани с ИКТ. Основната цел е предотвратяването и смекчаването на киберзаплахите.
По-конкретно, изискванията към финансовите субекти, в това число и към тези от застрахователния сектор, са във връзка с:
По отношение на възловите доставчици на услуги в областта на ИКТ от трети държави за финансовите субекти в ЕС ще се изисква да създадат дъщерно дружество в ЕС, така че да може да се осъществява подходящ надзор.
Финансовите субекти ще прилагат конкретните правила за управление на риска в областта на ИКТ, в съответствие с принципа на пропорционалност, като вземат предвид своя размер и цялостен рисков профил, както и естеството, мащаба и сложността на своите услуги, дейности и операции.
Конкретно в застрахователния сектор, до края на 2024 г. компаниите предоставящи застрахователни услуги ще трябва да извършат анализ на пропуските, да разработят пътна карта за проектиране и внедряване на подобрена рамка за управление на риска в областта на ИКТ като част от цялостната им система за управление на риска, която да им позволява да се справят бързо, ефикасно и широкообхватно с риска в областта на ИКТ и да поддържат високо равнище на оперативна устойчивост на цифровите технологии.
Рамката за управление на риска в областта на ИКТ включва най-малко стратегии, политики, процедури, протоколи за ИКТ и инструменти, основани на ИКТ, които са необходими за надлежната и подходяща защита на всички информационни активи и активи на ИКТ, включително компютърен софтуер, хардуер, сървъри, както и за защитата на всички относими физически компоненти и инфраструктури, като например помещения, центрове за данни и зони, определени като чувствителни, така че да се гарантира, че всички информационни активи и активи на ИКТ са подходящо защитени от рискове, включително от увреждане и непозволен достъп или използване.
В подготовката за прилагане на DORA, застрахователните компаниите ще трябва да се справят с две сериозни предизвикателства:
Предложението на Комисията за DORA датира от септември 2020 г. и е част от по-голям пакет от актове за цифровите финансови услуги, целящ разработването на европейски подход, който да насърчава технологичното развитие, да гарантира финансовата стабилност, както и защитата на потребителите и инвеститорите. Пакетът съдържа Стратегия за цифровизация на финансовите услуги, предложение относно пазарите на криптоактиви (MiCA) и предложение за регламент относно технологията на разпределения регистър (DLT). Целта на този пакет е да се гарантира, че действащата правна рамка не създава пречки за използването на нови цифрови финансови инструменти, като същевременно дава гаранции, че тези нови технологии и продукти попадат в обхвата на финансовото регулиране.
Държавите членки имат на разположение 2 години, за да създадат нужните условия в националните законодателства, така че регламентът DORA да може да се прилага. От своя страна, Европейските надзорни органи трябва съвместно да разработят регулаторни технически стандарти, които следва да бъдат представени на Европейската комисия в рамките на 12 или 18 месеца, и които съответните финансови институции ще трябва да спазват. Релевантните национални компетентни органи ще поемат ролята на надзор по прилагането и ще наложат регулиране, ако е необходимо, като в България по отношение на застрахователните и презастрахователни предприятия, застрахователни посредници, презастрахователни посредници и посредници, предлагащи застрахователни продукти като допълнителна дейност това ще е Комисията за финансов надзор.
Някои финансови субекти ще се ползват от освобождаване или за тях ще се прилага много по-облекчена регулаторна рамка съгласно приложимото специфично секторно законодателство на Съюза. Освен това регламентът отчита специфичните особености на пазарната структура на застрахователното посредничество, в резултат на което застрахователните посредници, презастрахователните посредници и посредниците, предлагащи застрахователни продукти като допълнителна дейност, квалифицирани като микропредприятия, или като малки или средни предприятия, също не следва да бъдат подчинени на регламента DORA.
Директивата МИС 2 определя основата за мерките за управление на риска в областта на киберсигурността и задълженията за докладване във всички сектори, обхванати от директивата, като енергетика, транспорт, здравеопазване и цифрова инфраструктура. Тя има за цел да хармонизира изискванията за киберсигурност и прилагането на мерки за киберсигурност в различните държави членки. За да се постигне това, в нея се определят минимални правила за регулаторна рамка и механизми за ефективно сътрудничество между компетентните органи във всяка държава членка.
Що се отнася до взаимодействието на Регламента DORA с Директивата МИС 2, МИС 2 е приведена в съответствие със специфичното секторно законодателство, за да се осигури правна яснота и съгласуваност между МИС 2 и тези актове. В този смисъл, регламентът DORA се счита за специфичен за сектора правен акт на Съюза във връзка с директива МИС 2 с оглед на финансовите субекти. Разпоредбите на DORA във връзка с управлението на риска в областта на ИКТ, управлението на инцидентите при ИКТ и по-специално докладването за съществени инциденти с ИКТ, както и тези относно тестването на оперативната устойчивост на цифровите технологии, споразуменията за обмен на информация и риска в областта на ИКТ, пораждан от участието на трети страни, следва да се прилагат вместо предвидените в директивата МИС 2. Затова държавите членки не следва да прилагат разпоредбите на директивата относно управлението на риска в областта на киберсигурността и задълженията за докладване и надзор и правоприлагането по отношение финансови субекти, обхванати от регламента DORA. Същевременно е от значение да се поддържат тясна връзка и обмен на информация с финансовия сектор съгласно директивата МИС 2. За тази цел регламентът DORA позволява на Европейските надзорни органи и компетентните национални органи съгласно регламента, а именно Комисията за финансов надзор, да участват в дейностите на групата за сътрудничество, както и да обменят информация и да сътрудничат с единните звена за контакт, както и с Екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС) и компетентните органи съгласно директивата МИС 2. Освен това държавите членки следва да продължат да включват финансовия сектор в своите стратегии за киберсигурност, а дейностите на ЕРИКС могат да обхващат и него.
С пълния текст на двата нови нормативни акта можете да се запознаете на следните линкове:
DORA: https://eur-lex.europa.eu/legal-content/BG/TXT/PDF/?uri=CELEX:32022R2554&from=EN
Директивата МИС 2:https://eur-lex.europa.eu/legal-content/BG/TXT/PDF/?uri=CELEX:32022L2555&from=EN
