- Kateřina Kubíková
Nařízení DORA se týká dodavatelů služeb informačních a komunikačních technologií (IKT), což zahrnuje poskytovatele cloudových služeb, softwaru, analýzy dat nebo datového centra. DORA však stanovuje i jednu drobnou výjimku, a tou jsou dodávky tradičních analogových telefonních služeb.
Nové povinnosti dodavatelů IKT služeb ve finančním sektoru dle DORA. V době neustálých kybernetických hrozeb je klíčové zvýšit digitální odolnost finančních institucí. Nařízení DORA (Digital Operational Resilience Act) klade důraz kromě odolnosti finančních institucí i na bezpečnostní opatření jejich dodavatelů služeb IKT. Právě ti totiž hrají významnou roli v kybernetické bezpečnosti celého finančního sektoru.
Na které dodavatele DORA dopadne?
Služby IKT definuje nařízení takto: digitální a datové služby, včetně hardwaru jako služby a hardwarových služeb, které zahrnují poskytování technické podpory prostřednictvím aktualizací softwaru nebo firmwaru poskytovatelem hardwaru. Služby IKT jsou určeny velmi široce a dopadnou tak skoro na každého, kdo do bank, pojišťoven a dalších finančních institucí dodává něco souvisejícího s informační nebo komunikační technologií.
Kontrola dodavatelů finančními institucemi před uzavřením smlouvy
Finanční instituce musí před uzavřením smlouvy s dodavatelem provést důkladnou analýzu, zahrnující posouzení schopnosti dodavatele splnit bezpečnostní normy. Pro klíčové služby musí být hodnocení ještě důkladnější. Kromě pečlivého prověření budou muset finanční instituce vést o svých dodavatelích registr informací se všemi smluvními ujednáními o využívání služeb IKT.
Smlouvu smí pak uzavřít pouze s dodavateli služeb IKT, kteří splňují příslušné normy v oblasti bezpečnosti informací. Pokud se ale jedná o službu IKT, která se týká zásadních nebo důležitých funkcí, finanční instituce bude hodnotit, jestli dodavatelé uplatňují nejaktuálnější a nejkvalitnější normy bezpečnosti informací.
Co musí obsahovat dodavatelské smlouvy?
Na základě nařízení DORA budou smlouvy s dodavateli služeb IKT nově obsahovat povinné regulatorní požadavky. Například ustanovení týkající se:
- dostupnosti (availability),
- hodnověrnosti (authenticity),
- integrity (integrity),
- bezpečnosti a ochraně údajů, včetně osobních údajů (confidentiality).
Povinnost dodavatele služeb IKT poskytnout finanční instituci pomoc bez dodatečných nákladů nebo za náklady stanovené dopředu, pokud dojde k incidentu, který souvisí s poskytovanou službou IKT. Nebo dokonce i podmínky účasti dodavatele na školeních vztahujících se ke kybernetické bezpečnosti.
Pokud se bude jednat o dodavatele služeb IKT, které podporují zásadní nebo důležité funkce, smlouva bude muset obsahovat ještě více nezbytných bodů. Například:
- povinnost dodavatele uplatňovat a testovat plány zachování provozu (tzv. business continuity plány),
- povinnost dodavatele účastnit se penetračního testování na základě hrozeb finanční instituce a plně na něm spolupracovat.
Proč by tyto novinky měly dodavatele IKT služeb zajímat?
S nástupem nařízení DORA se očekává, že finanční instituce budou pečlivěji vybírat své dodavatele služeb IKT a posuzovat jejich schopnost dodržovat nové standardy. Připravenost na tyto změny bude hrát klíčovou roli v udržení důvěry finančních institucí v poskytované služby IKT.
Nedodržování nových povinností může vést až k ukončení smluv s dodavatelem. Ty budou nově dle nařízení DORA obsahovat i důvody, za které je možné smlouvy vypovědět. Jedním z nich bude, že v rámci celkové řízení rizika v oblasti IKT dodavatele služeb IKT jsou zjištěna slabá místa nebo třeba, že dodavatelé služeb IKT zásadním způsobem poruší platné právní předpisy nebo smluvní podmínky.
Kritický dodavatel podle nařízení DORA
DORA zavádí novou kategorii dodavatelů, které označuje jako kritické poskytovatele služeb IKT z řad třetích stran. Pod tímto označením se skrývá výběr klíčových dodavatelů IKT služeb pro finanční instituce, na něž se vztahují povinnosti podobné těm, které mají dle DORA plnit samotné finanční subjekty.
Kdo může být kritickým dodavatelem služeb IKT?
Určení kritického dodavatele závisí na rozhodnutí evropských orgánů dohledu:
Jednomu z těchto orgánů bude pak přidělen status hlavního dohledového orgánu pro každého určeného kritického dodavatele. Není tak rozhodující, že finanční instituce sama označí dodavatele za kritického; klíčové je určení orgánem evropského dohledu. Kritický dodavatel služeb IKT bude poté informován o datu, od něhož se na něj začnou vztahovat nové povinnosti. Toto bude stanoveno do jednoho měsíce od oznámení o určení kritickým dodavatelem.
Kritéria pro určení kritického dodavatele služeb IKT
Evropské orgány dohledu budou posuzovat několik klíčových kritérií:
- Systémový dopad: jaký bude dopad na stabilitu, kontinuitu nebo kvalitu poskytování finančních služeb, pokud bude dodavatel čelit výpadku? Zohledňovat se bude počet finančních institucí, kterým jsou služby dodávány a hodnota jejich aktiv.
- Systémová významnost finančních institucí
- Koncentrace: kolik finančních subjektů spoléhá na tyto služby IKT v souvislosti s jejich zásadními nebo důležitými funkcemi?
- Nahraditelnost: existují alternativní dodavatelé IKT služeb, kteří by mohli převzít roli daného dodavatele?
Povinnosti kritických dodavatelů IKT služeb
Na dodavatele služeb IKT, kteří budou určení jako kritičtí dopadne přímý dohled finančních regulátorů, a dokonce i povinnost za tento dohled platit poplatky. Možností, jak se podrobit dohledu, mají však i ti dodavatelé služeb IKT, kteří nebyli označeni jako kritičtí. Může to pro ně totiž být i konkurenční výhoda.
Pod dohled budou spadat tyto oblasti, které bude kritický dodavatel muset plnit:
- Zajištění bezpečnosti, dostupnosti, kontinuity, škálovatelnosti a kvality služeb.
- Schopnost nepřetržitě dodržovat vysoké standardy pro dostupnost, hodnověrnost, integritu a důvěrnost údajů.
- Fyzická bezpečnost – včetně zabezpečení prostor, zařízení a datových center.
- Procesy řízení rizika – včetně politik pro řízení rizika, politiky zachování provozu IKT a plánů reakce a obnovy v oblasti IKT.
- Systémy správy a řízení – včetně organizační struktury s jasným, transparentním a konzistentním rozdělením odpovědnosti a pravidly odpovědnosti umožňující účinné řízení rizika.
- Identifikace, sledování a rychlé hlášení významných incidentů souvisejících s IKT finančním subjektům a řízení a řešení těchto incidentů (zejména kybernetických útoků).
- Mechanismus pro přenositelnost dat a přenositelnost a interoperabilitu aplikací.
- Testování systémů, infrastruktury a kontrol v oblasti IKT.
- Audity v oblasti IKT.
Orgán dohledu pak pro každého kritického dodavatele vypracuje podrobný a odůvodněný individuální plán dohledu. Tento plán bude obsahovat roční cíle a hlavní opatření plánovaná pro daného dodavatele. Hlavní dohledový orgán bude mít možnost ukládat penále, a to až do výše 1 % průměrného denního celosvětového obratu dodavatele za předchozí účetní období (penále se má ukládat na denním základě, dokud nejsou opatření splněna). Penále tak má motivovat kritické dodavatele služeb IKT k dodržování nových povinností a standardů.
