Введение
DORA — самая comprehensive регуляция EU для operational resilience financial services. Effective с 17 Jan 2025, охватывает 20+ классов financial entities + ICT third-party providers. SwiftPay через bank-partner — прямой scope DORA (PSP / EMI / bank-partner — все в scope DORA). Список CTPP — 19 providers — published 18 Nov 2025 включает hyperscale cloud (AWS и др.) + data-centre + financial-services-specific tech.
Этот урок — фиксация DORA на May 2026; 5 pillars глубоко; тайминги incident reporting — вопрос жизни и смерти; реалии Register of Information после первого цикла подачи; матрица применимости SwiftPay.
Effective + scope
Source: Reg (EU) 2022/2554.
Effective: Вступил в силу 16 Jan 2023; fully applicable 17 January 2025.
Scope: 20+ классов EU financial entities:
- Банки, investment firms.
- PSPs / EMIs / CASPs (crypto-asset service providers).
- Insurers, reinsurers, fund managers.
- CSDs (central securities depositories), CCPs (central counterparties), trading venues.
- Trade repositories, credit rating agencies, crowdfunding service providers.
Плюс: ICT third-party providers (CTPPs).
Пропорциональность: Меньшие entities (micro-enterprises) — сокращённые обязательства. Масштаб SwiftPay = полный.
5 pillars
Каждый pillar = comprehensive набор обязательств. Тултипы раскрывают specifics.
Arts. 5-16Arts. 5-16. Board-approved framework; инвентарь ICT-asset; классификация по criticality; risk-tolerance statements; периодический review.
Arts. 17-23Arts. 17-23. Классификация per RTS. 4 ч. initial; 24 ч. max; 72 ч. intermediate; 1 месяц final. Публичные templates.
Arts. 24-27Arts. 24-27. Ежегодный basic test; TLPT раз в 3 года для significant entities; задокументированные результаты + remediation.
Arts. 28-44Arts. 28-44. Contractual minimums; Register of Information ежегодно; concentration-risk; задокументированные exit strategies.
Art. 45Art. 45. Добровольные соглашения по cyber-threat-intel sharing.
Pillar 1 — ICT risk management (Arts. 5-16)
- Board-approved ICT risk-management framework.
- Инвентарь ICT-asset + классификация по criticality.
- Risk-tolerance statements задокументированы.
- Периодический review + update.
Pillar 2 — ICT-related incident management + reporting (Arts. 17-23)
Классификация инцидента per RTS (Regulatory Technical Standard). Major incident threshold — на основе impact dimensions.
Тайминги reporting:
| Stage | Тайминг | Содержимое |
|---|---|---|
| Initial notification | 4 часа с classification как major; макс. 24 ч. с detection | Краткие факты: когда, что, magnitude impact |
| Intermediate report | 72 часа | Обновлённая info; гипотеза root-cause |
| Final report | 1 месяц | Полный RCA; remediation; lessons learned |
Templates публичны — стандартизированные формы через competent authorities.
Pillar 3 — Digital operational-resilience testing (Arts. 24-27)
- Ежегодное basic testing.
- TLPT (threat-led penetration testing) минимум раз в 3 года для significant entities.
- Задокументированные результаты + tracking remediation.
- TLPT уподобляется методологии TIBER-EU framework.
Pillar 4 — ICT third-party risk (Arts. 28-44)
- Contractual minimums per Art. 30.
- Register of Information подаётся ежегодно (первая подача 30 Apr 2025).
- Assessment concentration-risk.
- Задокументированные exit strategies для каждой критической third party.
Pillar 5 — Information-sharing arrangements (Art. 45)
Добровольный cyber-threat-intel.
Register of Information — реалии после первой подачи
Per ESAs:
- Первый live submission cycle: financial entities подали к 23 April 2025; competent authorities передали ESAs к 30 April 2025.
- Baseline dry-run 2024 (лучшая опубликованная статистика): ~1,000 entities; только 6.5% прошли все data-quality checks; 50% оставшихся провалили меньше 5 из 116 checks (большинство fail на small number механических issues).
Самые частые failure modes:
- Ошибки валидации LEI.
- Формат country-code.
- Orphan records (контракты без linked services).
Практический insight: строить валидаторы LEI + country-code + referential-integrity в RoI ETL с первого дня. SwiftPay через bank-partner: bank-partner подаёт RoI, но vendor inventory на стороне SwiftPay должен поддерживать подачу bank-partner.
CTPP — Critical Third-Party Providers
Статус (верифицирован May 2026): Список 19 CTPPs published 18 Nov 2025 от EBA / EIOPA / ESMA — включает hyperscale cloud (AWS и др.) + data-centre + financial-services-specific tech providers. Designated CTPPs:
- Назначают EU legal entity.
- Платят ежегодные oversight fees.
- Принимают ESA inspection.
- Список обновляется ежегодно.
Следствие для SwiftRide: AWS = CTPP-designated; Snowflake / Databricks / Confluent Cloud — могут быть или нет CTPP (верифицируйте по ежегодному списку). Если используется CTPP-designated provider, каскадируют дополнительные контрактные + due-diligence обязательства.
Cross-pillar взаимодействия
DORA не silo’d. Примеры:
- Major incident в tested-system (Pillar 3) — находки TLPT могут раскрыть incident risk → может применяться reporting Pillar 2.
- Third-party incident на CTPP (Pillar 4) — reporting Pillar 2 всё равно применяется (4 ч. initial и т.д.).
- Framework ICT risk-management (Pillar 1) — определяет, как работают Pillars 2–4.
Scope-анализ DORA для SwiftRide
Прямой SwiftRide: обычно не в scope DORA (не financial entity).
SwiftPay через bank-partner: Bank-partner — в scope DORA. Через контрактный каскад:
- Вклад инвентаря ICT-asset SwiftRide в Pillar 1 bank-partner.
- Pipelines SwiftRide feed incident reporting bank-partner (если major incident на стороне SwiftRide влияет на финансовые услуги bank-partner).
- Resilience testing на стороне SwiftRide (ежегодный basic) каскадирует.
- Vendor inventory SwiftPay вносит вклад в Register of Information Pillar 4 bank-partner.
- Exit strategies SwiftRide для критических vendors задокументированы.
SwiftCapital: Если лицензия non-bank lender, может быть вне scope DORA; верифицируйте per Member State (некоторые MS расширяют DORA на non-bank financial institutions).
Anti-patterns
- «DORA не применяется к нам — мы не financial entity» — каскад через partner-channel реален; обязательства DORA bank-partner каскадируют контрактно.
- «SOC 2 от вендора = DORA-compliant» — разные frameworks; DORA имеет specific contractual minimums (Art. 30); SOC 2 не заменяет.
- «4 ч. initial reporting невозможно — слишком агрессивно» — RTS уточняет «4 ч. с classification как major», не с detection; процесс classification может занять время; после classification 4 ч. осуществимы при наличии pre-built templates.
- «Register of Information = одноразовая подача» — ежегодно; апдейты в течение года-по-мере-изменений; ETL должен continuously feed.
Резюме
- DORA Reg (EU) 2022/2554 fully applicable 17 Jan 2025.
- Scope: 20+ классов EU financial entities + ICT third-party providers.
- 5 pillars: (1) ICT risk management; (2) Incident management + reporting; (3) Resilience testing (TLPT раз в 3 года); (4) Third-party risk (Register of Information ежегодно); (5) Info sharing (добровольно).
- Incident reporting: 4 ч. initial / 24 ч. max / 72 ч. intermediate / 1 месяц final.
- Register of Information — первая подача 30 Apr 2025; dry-run 6.5% прошли все checks; валидаторы LEI / country-code / referential-integrity критичны.
- Список CTPP — 19 providers published 18 Nov 2025; включает AWS; ежегодное обновление.
- Каскад SwiftRide через bank-partner SwiftPay — инвентарь asset Pillar 1; тайминги incident-reporting Pillar 2; vendor inventory Pillar 4; exit strategies.