Обеспечение операционной устойчивости финансовых организаций в последние годы превратилось из узкотехнической задачи в один из центральных приоритетов банковского надзора во всем мире. Участившиеся кибератаки, растущая зависимость банков от внешних поставщиков ИКТ услуг и общая цифровизация финансового сектора заставляют регуляторов искать новые подходы к управлению этими рисками. На этом фоне особый интерес вызывает Регламент Европейского союза о цифровой операционной устойчивости финансового сектора (Digital Operational Resilience Act, DORA) [1], вступивший в полную силу с января 2025 года. Это первый в мировой практике комплексный наднациональный документ, который единообразно регулирует все ключевые аспекты операционной надежности: от классификации ИКТ инцидентов до надзора за критическими поставщиками облачных сервисов.

Параллельно развивается и российская нормативная база. В апреле 2025 года вступило в силу Положение Банка России № 850-П [2], устанавливающее новые требования к операционной надежности кредитных организаций. Формально оба документа решают схожие задачи, однако разрабатывались они в принципиально разных условиях. Российский регулятор вынужден учитывать жесткие санкционные ограничения, курс на технологический суверенитет и необходимость импортозамещения в сфере ИКТ. Прямое заимствование европейских норм в таких обстоятельствах вряд ли возможно и, скорее всего, нецелесообразно. Однако это не отменяет того факта, что отдельные элементы DORA могут быть полезны для дальнейшего совершенствования российского надзора — разумеется, при условии их критического осмысления и адаптации к национальной специфике.

Регламент (ЕС) 2022/2554 о цифровой операционной устойчивости финансового сектора, известный как Digital Operational Resilience Act (DORA), вступил в силу 16 января 2023 года и применяется в полном объёме с 17 января 2025 года. Его появление стало ответом на растущую зависимость финансовых организаций от информационно-коммуникационных технологий (ИКТ) и, как следствие, на возрастающую уязвимость сектора перед кибератаками, техническими сбоями и рисками, исходящими от сторонних поставщиков ИКТ-услуг.

До принятия DORA управление операционными рисками в финансовых учреждениях ЕС регулировалось фрагментарно: разные юрисдикции предъявляли разные требования, а основным инструментом покрытия операционных рисков считалось выделение капитала под потенциальные убытки. Такой подход не охватывал всех аспектов операционной устойчивости, особенно связанных с ИКТ-рисками. Как отмечается в обзоре 10Guards, «Регламент признаёт, что инциденты, связанные с ИКТ, и отсутствие операционной устойчивости могут угрожать стабильности всей финансовой системы, даже если по традиционным категориям рисков выделен «адекватный капитал». DORA устранил этот пробел, заменив фрагментированные национальные подходы единым наднациональным режимом.

Структурно DORA опирается на пять ключевых компонентов, или «опор» (pillars):

– Управление ИКТ-рисками (ICT risk management). Финансовые организации обязаны создать всеобъемлющую систему управления ИКТ-рисками, включающую стратегию цифровой операционной устойчивости, политики, процедуры, протоколы и инструменты, необходимые для надлежащей защиты всех информационных активов и ИКТ-активов. Стратегия должна устанавливать допустимый уровень риска (risk tolerance) и регулярно пересматриваться.

– Управление инцидентами, классификация и отчётность (ICT-related incident management, classification and reporting). DORA вводит унифицированную систему отчётности об инцидентах, которая больше не ограничивается только киберинцидентами, а охватывает любые серьёзные нарушения работы информационно-коммуникационных систем. Финансовые организации обязаны классифицировать инциденты по установленным критериям, регистрировать их и в установленные сроки уведомлять надзорные органы.

– Тестирование цифровой операционной устойчивости (Digital operational resilience testing). Регламент требует от финансовых организаций регулярного проведения тестирования ИКТ-систем, включая тестирование на проникновение (penetration testing) и, для определённых категорий организаций, продвинутое тестирование на основе моделирования угроз (Threat-Led Penetration Testing, TLPT). TLPT представляет собой контролируемую попытку взлома систем с использованием реальных тактик, техник и процедур злоумышленников, что позволяет оценить способность организации противостоять сложным целевым атакам.

– Управление рисками третьих сторон (Managing of ICT third-party risk). Один из наиболее значимых элементов DORA. Финансовые организации обязаны оценивать, мониторить и контролировать риски, связанные с поставщиками ИКТ-услуг. DORA требует от банков пересматривать контракты с третьими сторонами, включать в них чёткие условия по уровню обслуживания и аудиту, а также обеспечивать непрерывность бизнеса в случае сбоев у поставщика.

– Обмен информацией (Information sharing). DORA поощряет обмен информацией о киберугрозах и уязвимостях между финансовыми организациями на добровольной основе при условии соблюдения требований о защите данных и конфиденциальности. [3]

Принципиально важно, что требования DORA применяются пропорционально размеру и профилю риска организации, т. е. малые финансовые учреждения не обязаны соблюдать те же стандарты, что и крупные банки, что отличает DORA от многих других регламентов ЕС.

В Российской Федерации регулирование операционной надежности финансовых организаций развивалось параллельно с европейским, хотя и с опорой на национальную специфику. Ключевым документом в этой сфере на сегодняшний день является Положение Банка России от 13.01.2025 № 850-П «Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надёжности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг». Положение вступило в силу с 22 апреля 2025 года и заменило ранее действовавшее Положение № 787-П от 12.01.2022.

Структурно Положение № 850-П содержит ряд элементов, которые по своему функциональному назначению сопоставимы с требованиями DORA. Среди ключевых положений документа:

– Банки обязаны соблюдать предельно допустимые значения времени простоя и деградации технологических процессов. В документе закреплены понятия «сигнальных» и «контрольных» значений допустимой доли деградации технологических процессов, а превышение порогового уровня допустимого времени простоя (в том числе более пяти минут) подлежит обязательной фиксации.

– Организации должны вести учёт критических элементов информационной инфраструктуры и регулярно тестировать устойчивость к сбоям и кибератакам.

– Установлены требования к взаимодействию с внешними поставщиками ИТуслуг, включая меры по нейтрализации угроз от них.

– Особое внимание уделяется внутренним угрозам: банки обязаны разработать меры по предотвращению несанкционированного доступа и действий со стороны сотрудников и подрядчиков.

– Предусмотрены процедуры регистрации и анализа инцидентов, восстановления технологических процессов, а также обмена информацией об актуальных угрозах с другими участниками рынка.

Помимо Положения № 850-П, регулирование операционной устойчивости в российской юрисдикции обеспечивается также Положением Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» [4] и Положением от 15.11.2021 № 779-П для некредитных финансовых организаций.

Следует отметить, что Банк России при разработке требований по информационной безопасности и операционной надежности учитывает практику международных организаций (ITU, ISO) и иностранных регуляторов, в том числе международные стандарты и рекомендации, что создаёт определённую методологическую основу для сопоставления с DORA.

Сравнительный анализ DORA и российского регулирования операционной устойчивости позволяет выделить как области существенного совпадения подходов, так и принципиальные расхождения, обусловленные разным контекстом.

Совпадающие подходы в обеих юрисдикциях регулирование охватывает следующие функциональные блоки:

– Управление ИКТ-рисками: и DORA, и Положение № 850-П требуют от банков создания всеобъемлющей системы управления ИКТ-рисками с определением допустимого уровня риска и регулярным пересмотром.

– Отчётность об инцидентах: оба режима предусматривают обязательную фиксацию инцидентов и уведомление надзорного органа. Российское регулирование, как и DORA, оперирует понятиями пороговых значений, превышение которых запускает процедуру эскалации.

– Тестирование устойчивости: в обеих системах предусмотрено регулярное тестирование ИКТ-систем на предмет способности противостоять сбоям и кибератакам.

– Управление рисками третьих сторон: и DORA, и Положение № 850-П содержат требования к контролю за поставщиками ИТ-услуг, хотя степень детализации и механизмы реализации этих требований различаются.

– Обмен информацией об угрозах: оба режима признают важность обмена данными о киберугрозах между участниками рынка.

Как отмечает Игорь Бушминский из Unicon Consulting, «схожие подходы к операционной надёжности действуют и в российской юрисдикции» [5]. Это сходство не является случайным: и европейский, и российский регуляторы опираются на общие международные стандарты в области управления ИКТ рисками (в частности, стандарты ISO серии 27000 и рекомендации ITU), что создаёт объективную основу для последующей гармонизации.

Вместе с тем, между DORA и российским регулированием существуют и фундаментальные различия, обусловленные несколькими факторами.

Первое различие: масштаб и уровень детализации. DORA представляет собой комплексный законодательный акт, охватывающий все аспекты цифровой операционной устойчивости на уровне первичного права ЕС, дополненный регуляторными техническими стандартами (RTS) второго уровня. Российское регулирование рассредоточено по нескольким нормативным актам разного уровня, что затрудняет его целостное восприятие и применение.

Второе различие: надзор за критическими поставщиками. DORA создал наднациональный надзорный механизм для критических поставщиков ИКТ услуг, охватывающий крупнейшие глобальные компании (Microsoft, Amazon Web Services, Google Cloud и др.). В России аналогичный механизм находится в стадии формирования, причём его развитие осложняется тем, что значительная часть глобальных поставщиков ИКТ-услуг ушла с российского рынка в силу санкционных ограничений.

Третье различие: стандартизация отчётности. DORA вводит единые для всего ЕС шаблоны отчётности об инцидентах и единые критерии их классификации. В России, несмотря на наличие требований к регистрации инцидентов, степень стандартизации отчётности пока ниже.

Четвёртое различие: пропорциональность. DORA прямо закрепляет принцип пропорциональности, позволяя малым финансовым организациям применять упрощённый режим соответствия. В российском регулировании этот принцип также присутствует (для банков с базовой лицензией требования смягчены), однако он менее формализован.

Тем не менее, наиболее перспективными для адаптации в российской практике представляются следующие элементы DORA:

– Унификация требований к тестированию цифровой устойчивости. Концепция TLPT (Threat-Led Penetration Testing), применяемая в DORA для крупных банков, могла бы быть адаптирована для системно значимых российских банков. Это позволило бы перейти от формального тестирования на соответствие стандартам к реальной проверке способности банков противостоять сложным целевым атакам, моделируемым на основе актуальных тактик злоумышленников.

– Формирование реестра критических поставщиков ИКТ-услуг. Хотя глобальные поставщики ушли с российского рынка, зависимость российских банков от отечественных ИТ-компаний также растёт. Создание реестра критических поставщиков и установление надзорных требований к ним позволило бы Банку России более системно управлять рисками концентрации в цепочках поставок, что особенно актуально в условиях тренда на импортозамещение и развитие собственных технологических компетенций.

– Стандартизация классификации и отчётности об инцидентах. Внедрение единых для всего финансового сектора критериев классификации инцидентов (по аналогии с DORA) позволило бы Банку России формировать более полную картину угроз и уязвимостей, а также оперативно выявлять системные тенденции.

– Интеграция разрозненных требований в единый нормативный акт. Как показывает опыт DORA, консолидация требований к операционной устойчивости в одном документе повышает прозрачность регулирования и снижает комплаенс-издержки для банков.

Возможности адаптации DORA в российской надзорной практике ограничены рядом объективных факторов, которые необходимо учитывать при формировании любых рекомендаций.

Санкционные ограничения привели к уходу с российского рынка иностранных поставщиков программного обеспечения, систем управления базами данных, инструментов аналитики и оборудования, включая телекоммуникационные и программно-аппаратные комплексы, системы хранения данных и системы резервного копирования. В этих условиях российский банковский сектор совершает стратегический разворот от ИТ- и ИБ-аутсорсинга к развитию собственных технологических компетенций. Как отмечают эксперты, главными драйверами этого тренда стали «санкции, новые требования Банка России к критичным ИТ-сервисам и осознание рисков в цепочках поставок». По данным исследования «Информзащита», в крупных банках после роста доли аутсорса с 25–35 % в 2022 году до 32–42 % в 2024 году, в 2025 году произошёл резкий откат к показателям трёхлетней давности.

Это означает, что прямое заимствование европейской модели надзора за поставщиками ИКТ-услуг, ориентированной на глобальных провайдеров, в российских условиях вряд ли возможно и, на взгляд автора, нецелесообразно. Вместо этого требуется разработка национальной модели управления рисками цепочек поставок, учитывающей специфику отечественного ИТ-рынка и приоритет технологического суверенитета.

Российская банковская система характеризуется доминированием банков с государственным участием и высокой концентрацией активов на крупнейших игроках. Список системно значимых кредитных организаций на 2025 год включает всего 13 позиций, однако на них приходится почти 79 % всех активов банковской системы. Это накладывает отпечаток на приоритеты надзора: основное внимание регулятора сосредоточено на системно значимых банках, в то время как для малых и средних банков требования могут быть избыточными. В этом контексте адаптация принципа пропорциональности DORA могла бы способствовать более точной настройке регуляторной нагрузки.

В отличие от европейских банков, которые могут полагаться на широкий спектр глобальных ИКТ-поставщиков, российские банки вынуждены переходить на отечественное программное обеспечение и оборудование, что само по себе создаёт дополнительные операционные риски, связанные с миграцией и совместимостью систем. В этой ситуации требования к операционной устойчивости должны учитывать переходный характер текущего этапа и не создавать избыточных барьеров для импортозамещения.

Несмотря на указанные ограничения, автор полагает, что определённое сближение российского и европейского регулирования операционной устойчивости в среднесрочной перспективе возможно, но оно будет носить не формальный (через прямое заимствование норм), а содержательный характер — через внедрение схожих принципов и механизмов, адаптированных к национальным условиям. Банк России уже движется в этом направлении: в частности, реализуется дорожная карта по развитию технологий SupTech и RegTech, предусматривающая внедрение единых форматов отчётности, автоматизацию сбора данных и развитие экосистемы личных кабинетов поднадзорных организаций. Эти меры, в сочетании с новыми требованиями Положения № 850-П, создают основу для постепенной гармонизации российской практики надзора за операционной устойчивостью с лучшими мировыми стандартами, включая те, что заложены в DORA.

Разумеется, любая адаптация зарубежного опыта должна проводиться с оглядкой на национальные приоритеты и объективные ограничения. Автор далёк от мысли, что предложенные рекомендации носят исчерпывающий характер, — ограниченность доступных данных, особенно в части санкционной проблематики, не позволяет претендовать на полноту анализа. Однако даже в этих рамках сопоставление двух моделей регулирования операционной устойчивости представляется полезным: оно не только проясняет логику развития российского надзора, но и указывает на те направления, где избирательное заимствование лучших практик способно принести практическую пользу без ущерба для национальной безопасности.

Литература:

1. Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector (Digital Operational Resilience Act, DORA) // Official Journal of the European Union. — 2022.
2. Положение Банка России от 13.01.2025 N 850-П «Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (Зарегистрировано в Минюсте России 15.04.2025 N 81853). — Текст: электронный // consultant.ru: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/ (дата обращения: 11.05.2026).
3. Directive (EU) 2022/2556 of the European Parliament and of the Council of 14 December 2022 amending Directives 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 and (EU) 2016/2341 as regards digital operational resilience for the financial sector // Official Journal of the European Union. — 2022.
4. Положение Банка России от 08.04.2020 N 716-П (ред. от 22.10.2024) «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Зарегистрировано в Минюсте России 03.06.2020 N 58577). — Текст: электронный // consultant.ru: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_355380/ (дата обращения: 12.05.2026).
5. Цифровая устойчивость банковского сектора: комментарий Игоря Бушминского. — Текст: электронный // unicon-consulting.ru: [сайт]. — URL: https://www.unicon-consulting.ru/press-center/publishing/tsifrovaya-ustoychivost-bankovskogo-sektora-kommentariy-igorya-bushminskogo/ (дата обращения: 11.05.2026).
6. Основные направления развития финансового рынка Российской Федерации на 2025 год и период 2026 и 2027 годов (разработаны Банком России). — Текст: электронный // consultant.ru: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_494030/ (дата обращения: 12.05.2026).
7. Влияние санкционной политики на трансформацию банковских стратегий в России / Кривошапова С. В., Рязанова В. А. // Вестник Астраханского государственного технического университета. — 2025. — № 2. — С. 94–101.
8. Российские банки резко сократили IT и IB аутсорс. — Текст: электронный // ru-bezh.ru: [сайт]. — URL: https://ru-bezh.ru/kompanii-i-ryinki/news/26/01/29/rossiyskie-banki-rezko-sokratili-it-i-ib-autsors (дата обращения: 11.05.2026).