DORA

Evropské nařízení DORA (Digital Operational Resilience Act) sjednocuje pravidla pro digitální odolnost ve finančním sektoru. Zvyšuje bezpečnost IT systémů a řízení rizik u bank i jejich dodavatelů.

 

 

Co je to DORA?

DORA (Digital Operational Resilience Act) je evropské nařízení, které zavádí jednotný rámec pro řízení kybernetických a IKT rizik ve finančním sektoru. Jeho cílem je zajistit, aby banky, pojišťovny, investiční společnosti i jejich dodavatelé dokázali odolávat kybernetickým incidentům, reagovat na ně a obnovit provoz bez závažných dopadů. Nařízení se vztahuje nejen na samotné finanční instituce, ale i na poskytovatele IT služeb, včetně cloudových.

 

Co DORA znamená v praxi

  • Povinné testování digitální odolnosti – firmy musí pravidelně testovat své schopnosti čelit útokům.
  • Evidence a hlášení incidentů – kybernetické incidenty se musí dokumentovat a hlásit regulátorům.
  • Posuzování rizik dodavatelského řetězce – firmy musí řídit rizika i u externích poskytovatelů IT služeb.
  • Jasně definovaná odpovědnost vedení – vedení společnosti je přímo odpovědné za IKT rizika.
  • Zvýšený dohled nad kritickými dodavateli – některé IT firmy mohou být pod přímým dohledem evropských orgánů.

 

DORA tedy neřeší jen bezpečnost technologií, ale také odpovědnost, procesy a vztahy se třetími stranami.

 

Jaký je rozdíl mezi DORA a dalšími předpisy?

  • DORA vs. NIS2
    • DORA: zaměřená čistě na finanční sektor.
    • NIS2: širší záběr – kritická infrastruktura, energetika, zdravotnictví, atd.
  • DORA vs. GDPR
    • DORA: řeší odolnost systémů a kontinuitu služeb.
    • GDPR: zaměřený na ochranu osobních údajů.

 

DORA je jedinečná v tom, že dává digitální odolnosti stejné postavení jako finančnímu riziku. Přináší konkrétní a měřitelné požadavky, které jdou dál než obecná doporučení.

 

Jak ve firmě zavést požadavky nařízení DORA

Kroky pro firmy ve finančním sektoru (nebo jejich dodavatele):

  1. Zmapujte, zda a jak se na vás DORA vztahuje.
  2. Zaveďte formální rámec pro řízení IKT rizik.
  3. Nastavte procesy pro detekci a hlášení incidentů.
  4. Zkontrolujte smlouvy a řízení rizik u svých dodavatelů.
  5. Plánujte a provádějte testování odolnosti (např. penetrační testy).
  6. Školte vedení i zaměstnance – zodpovědnost za odolnost je kolektivní.

 

Mnoho firem podceňuje rozsah dopadu DORA, zejména v oblasti dodavatelského řetězce a povinností vedení. Přitom sankce za nesplnění mohou být citelné – nejen finančně, ale i reputačně. Proto se vyplatí začít s přípravou co nejdřív.

zpět do slovníku