Фото magnific.com
Кипрская комиссия по ценным бумагам и биржам (CySEC) усиливает контроль за тем, насколько финансовые компании готовы противостоять кибератакам, техническим сбоям и другим цифровым рискам. Новый циркуляр регулятора, опубликованный в июне 2026 года, напоминает лицензированным компаниям о необходимости своевременно отчитываться о технологических рисках, киберинцидентах и взаимодействии с поставщиками ИТ-услуг.
Речь идет не о формальном обновлении отчетности, а о дальнейшем внедрении общеевропейского режима DORA (Digital Operational Resilience Act), который постепенно меняет подход к управлению рисками во всем финансовом секторе ЕС.
Регламент DORA вступил в силу для финансовых организаций Евросоюза 17 января 2025 года. Под действие документа подпадают инвестиционные компании, управляющие фондами, торговые площадки, депозитарии, поставщики криптоуслуг и другие участники финансового рынка.
На Кипре контроль за выполнением требований DORA осуществляет CySEC. За последние два года регулятор выпустил целый ряд циркуляров, посвященных новым обязанностям компаний. Если в 2024–2025 годах основное внимание уделялось подготовке рынка к новым правилам, то в 2026 году акцент сместился на качество исполнения и достоверность отчетности.
CySEC неоднократно указывала, что часть компаний не сообщала о событиях, которые по европейским критериям должны считаться значительными инцидентами. В других случаях организации, наоборот, ошибочно относили обычные технические проблемы к категории крупных происшествий.
Для регулятора это не формальность. В рамках DORA все значительные ИТ-инциденты должны анализироваться по единым критериям, включающим масштаб воздействия на клиентов, продолжительность нарушения работы сервисов, экономические последствия и другие показатели. Это позволяет надзорным органам своевременно выявлять системные угрозы и реагировать на них на общеевропейском уровне.
Показательно, что в июне этого года европейские надзорные органы впервые опубликовали сводный отчет о крупных ИТ-инцидентах в финансовом секторе ЕС. Документ подтвердил растущую взаимосвязанность цифровых рисков и необходимость централизованного мониторинга подобных событий.
Еще одно направление контроля связано с так называемым Register of Information – реестром сведений обо всех внешних поставщиках ИТ-услуг, от облачных платформ до поставщиков программного обеспечения.
Финансовые организации обязаны регулярно предоставлять эту информацию в стандартизированном формате XBRL-CSV через электронный портал CySEC. Регулятор уже отказался от прежнего варианта подачи данных через Excel-файлы и требует использования унифицированного цифрового формата.
Для многих компаний именно эта часть DORA оказалась наиболее трудоемкой. Организациям необходимо детально документировать отношения с поставщиками технологий, включая структуру контрактов, характер оказываемых услуг и степень зависимости бизнеса от конкретного подрядчика. Такие данные затем используются европейскими надзорными органами для определения критически важных ИТ-поставщиков, от которых зависит работа значительной части финансового сектора ЕС.
Для кипрского финансового центра происходящие изменения имеют стратегическое значение. За последние годы остров превратился в один из крупнейших европейских центров для инвестиционных компаний, финтех-проектов и криптовалютного бизнеса. Одновременно растет зависимость этих организаций от облачной инфраструктуры, сторонних платформ и цифровых сервисов.
На этом фоне требования DORA постепенно превращаются из очередной регуляторной обязанности в элемент корпоративного управления. Компании вынуждены инвестировать в системы мониторинга, внутренние процедуры реагирования на инциденты, управление подрядчиками и регулярные проверки цифровой устойчивости.
Для лицензированных финансовых организаций Кипра главный вывод очевиден: цифровая устойчивость становится такой же важной частью регулирования, как требования по капиталу, борьбе с отмыванием денег или защите инвесторов.
Текст подготовлен по материалам CySEC, Cyprus Mail и AGP Law.
