Документ «DORA in Control» описывает отраслевой фреймворк, который переводит требования EU Digital Operational Resilience Act (DORA) и связанных RTS/ITS в набор из 95 прикладных контролей, сгруппированных по 8 доменам для финансовых организаций. Цель отчёта NOREA — сделать DORA исполнимой на практике: от стратегического уровня (governance, риск‑аппетит, стратегия цифровой устойчивости) до инженерных решений (SIEM, TLPT, IAM, резервирование, third‑party risk).
От «безопасности» к операционной устойчивости
Авторы фиксируют сдвиг фокуса финсектора: от узкой «кибербезопасности» к широкой цифровой операционной резильентности, где важны не только предотвращение атак, но и способность выдерживать, обнаруживать, восстанавливаться и адаптироваться к сбоям ICT. DORA встроена в более широкий пакет актов ЕС (NIS2, CER, CRA, Cybersecurity Act), но действует как lex specialis для финансового сектора, задавая детальные обязательные правила вместо общих принципов NIS2.
Авторы фиксируют сдвиг фокуса финсектора: от узкой «кибербезопасности» к широкой цифровой операционной резильентности, где важны не только предотвращение атак, но и способность выдерживать, обнаруживать, восстанавливаться и адаптироваться к сбоям ICT. DORA встроена в более широкий пакет актов ЕС (NIS2, CER, CRA, Cybersecurity Act), но действует как lex specialis для финансового сектора, задавая детальные обязательные правила вместо общих принципов NIS2.
Цели и архитектура DORA
Регламент (EU) 2022/2554 консолидирует разрозненные ICT‑требования в пять опорных столпов: управление ICT‑рисками, инцидент‑менеджмент и отчётность, тестирование цифровой устойчивости, управление ICT‑третьими сторонами и обмен информацией об угрозах. Детализация обеспечивается уровнем 2 (7 RTS и 2 ITS), покрывающими классификацию инцидентов, реестр third‑party‑сервисов, TLPT и субподряд критичных функций.
Регламент (EU) 2022/2554 консолидирует разрозненные ICT‑требования в пять опорных столпов: управление ICT‑рисками, инцидент‑менеджмент и отчётность, тестирование цифровой устойчивости, управление ICT‑третьими сторонами и обмен информацией об угрозах. Детализация обеспечивается уровнем 2 (7 RTS и 2 ITS), покрывающими классификацию инцидентов, реестр third‑party‑сервисов, TLPT и субподряд критичных функций.
Принципы, возможности и проблемы внедрения
Подход DORA принципиально пропорционален и принцип‑ориентирован: требования масштабируются по размеру, профилю риска и критичности функций, особенно для микроорганизаций. Это создаёт возможности (рост доверия клиентов, конкурентное преимущество, доказуемая recoverability), но и серьёзные вызовы: необходимость интерпретации норм между юристами, ИТ и бизнесом и риск «чекбокс‑комплаенса» без устранения корневых причин.
Подход DORA принципиально пропорционален и принцип‑ориентирован: требования масштабируются по размеру, профилю риска и критичности функций, особенно для микроорганизаций. Это создаёт возможности (рост доверия клиентов, конкурентное преимущество, доказуемая recoverability), но и серьёзные вызовы: необходимость интерпретации норм между юристами, ИТ и бизнесом и риск «чекбокс‑комплаенса» без устранения корневых причин.
Фреймворк DORA in Control
NOREA формирует практический фреймворк с 8 доменами, 28 поддоменами и 95 контролями, каждый с прямыми ссылками на статьи DORA и RTS/ITS и интегрированной моделью зрелости DNB. Фреймворк спроектирован как «живой» инструмент с версионированием (до v3.2 в 2025 г.), панелью визуализации прогресса и маппингом на Good Practice for Information Security DNB и DNB DORA‑вопросники.
NOREA формирует практический фреймворк с 8 доменами, 28 поддоменами и 95 контролями, каждый с прямыми ссылками на статьи DORA и RTS/ITS и интегрированной моделью зрелости DNB. Фреймворк спроектирован как «живой» инструмент с версионированием (до v3.2 в 2025 г.), панелью визуализации прогресса и маппингом на Good Practice for Information Security DNB и DNB DORA‑вопросники.
Основные домены и акценты
Авторы предлагают встроить DORA в проектный контур через последовательность из четырёх шагов: идентификация критичных/важных функций и поддерживающей ICT‑инфраструктуры, риск‑оценка этой инфраструктуры, gap‑анализ по DORA in Control и разработка дорожной карты по закрытию разрывов и устранению root‑causes. Важный акцент сделан на непосредственной ответственности Management Body за курирование проекта и управлении зависимостями от критичных third‑party‑провайдеров по всей цепочке.
- Governance & Risk Management (GRM): ответственность Management Body, стратегия цифровой устойчивости, ICT‑risk framework, residual risk и внутренняя ICT‑аудит‑функция.
- Operational & Continuity Management (OM/CM): инвентаризация и критичность активов, change management, OTAP/DTAP, BIA, BCP/DRP, тестирование сценариев отказов и провалов провайдеров.
- Incident & Resilience Testing (IM/RT): классификация «major incidents», трёхстадийная отчётность, процессный incident response, risk‑based тестовая программа и TLPT по TIBER‑подобной схеме.
- Third‑Party Risk Management (TPRM): due diligence, стандартные и критичные контракты, реестр договоров, exit‑стратегии и полноценное управление цепочками субподрядчиков.
- Security Management (SM): архитектура сети и сегментация, SIEM и логирование, защита данных и легаси, криптография, IAM/PAM, физическая безопасность, awareness и управление уязвимостями/патчами.
Авторы предлагают встроить DORA в проектный контур через последовательность из четырёх шагов: идентификация критичных/важных функций и поддерживающей ICT‑инфраструктуры, риск‑оценка этой инфраструктуры, gap‑анализ по DORA in Control и разработка дорожной карты по закрытию разрывов и устранению root‑causes. Важный акцент сделан на непосредственной ответственности Management Body за курирование проекта и управлении зависимостями от критичных third‑party‑провайдеров по всей цепочке.
Практическая ценность для финансовых организаций
Фреймворк решает сразу три задачи: делает DORA понятной для широкой аудитории, даёт структуру для gap‑assessment и отчётности супервизорам и вводит инженерную оптику, ориентированную на реальное улучшение ICT‑среды, а не формальный комплаенс. Авторы подчёркивают, что при ожидаемой практике запросов gap‑оценок и дорожных карт со стороны надзорных органов использование DORA in Control станет де‑факто стандартом регуляторного диалога и демонстрации цифровой операционной устойчивости.
Фреймворк решает сразу три задачи: делает DORA понятной для широкой аудитории, даёт структуру для gap‑assessment и отчётности супервизорам и вводит инженерную оптику, ориентированную на реальное улучшение ICT‑среды, а не формальный комплаенс. Авторы подчёркивают, что при ожидаемой практике запросов gap‑оценок и дорожных карт со стороны надзорных органов использование DORA in Control станет де‑факто стандартом регуляторного диалога и демонстрации цифровой операционной устойчивости.
