- Kateřina Kubíková
V době, kdy kyberhrozby stále více ohrožují finanční sektor, přichází DORA – regulace, která má změnit způsob, jakým finanční instituce řídí především digitální rizika.
Digital Operational Resilience Act, neboli DORA), představuje závazný a komplexní rámec pro řízení hlavně digitálních rizik ve finančním sektoru.
V platnost vstoupilo na začátku roku 2023, subjekty se jím budou muset řídit od 17. ledna 2025.
Na koho se DORA vztahuje?
Jednotnými pravidly se bude muset řídit široká škála finančních institucí, jako jsou banky, investiční podniky, pojišťovny nebo poskytovatele služeb souvisejících s kryptoaktivy. Nařízení se však významně dotkne i jejich dodavatelů služeb informačních technologií, kterými jsou třeba poskytovatelé cloudových služeb nebo vývoje softwaru apod.
Předpokládá se, že se bude jednat o více než 22 000 finančních subjektů v EU.
Na které finanční instituce DORA dopadne?
Nařízení od ledna 2025 přinese nové povinnosti pro širokou škálu finančních institucí. Povinnosti budou muset plnit například banky, poskytovatele služeb souvisejících s kryptoaktivy (které bude regulovat nařízení o trzích s kryptoaktivy), pojišťovny, zprostředkovatelé pojištění a centrální depozitáře cenných papírů. Toto je však jen základní výčet z více než dvaceti různých druhů finančních subjektů, které budou podléhat povinnostem dle nařízení DORA.
Nařízení uvádí i několik výjimek. Mezi ty patří třeba zprostředkovatelé pojištění, zprostředkovatelé zajištění nebo zprostředkovatelé doplňkového pojištění, kteří jsou mikropodniky nebo malými či středními podniky. Nařízení se nebude vztahovat ani na instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků.
Jaké povinnosti DORA stanoví?
- řízení rizik v oblasti informačních a komunikačních technologií (IKT)
- řízení, klasifikace a hlášení incidentů souvisejících s IKT
- testování digitální provozní odolnosti (kontrola toho, jak dobře je finanční subjekt připraven na řešení potenciálních problémů v oblasti IKT)
- řízení rizik v oblasti IKT spojeného s třetími stranami (nejen dodavatelé služeb IKT zmínění výše, ale i jejich subdodavatelé)
- sdílení informací
V testování digitální provozní odolnosti se pak zavádějí nové přísnější požadavky. A nesmíme zapomenout ani na požadavky na smlouvy s dodavateli finančních subjektů. To je však jen nepatrný výčet povinností, které ustanovuje nařízení DORA.
Zvýšení odpovědnosti vedení finančních institucí
DORA přináší i zvýšenou odpovědnost pro vrcholové vedení těchto subjektů. Ti budou mít klíčovou a aktivní úlohu při řízení rizika v oblasti informačních a komunikačních technologií (IKT) a celkové strategie digitální provozní odolnosti. Co přesně nová odpovědnost vrcholového vedení finančních institucí znamená?
Odpovědnost vrcholového vedení
Nařízení DORA zdůrazňuje, že vrcholové vedení nese odpovědnost za stanovení a schválení všech opatření souvisejících s rámcem řízení rizika v oblasti IKT. Vedoucí orgán se také musí neustále angažovat při kontrole sledování řízení rizik v oblasti IKT a má povinnost aktivně přispívat k celkové strategii digitální provozní odolnosti.
Přístup vrcholového vedení by měl přesahovat pouhé zajištění odolnosti systémů IKT. Prostřednictvím vnitřních politik se má pak zaměřit i na zaměstnance a procesy ve společnosti. Cílem je totiž také zajistit silné povědomí o kybernetických rizicích pro všechny zaměstnance finančního subjektu.
- Strategie digitální provozní odolnosti společnosti.
- Politiky týkajících se dodavatelů služeb IKT (neboli služeb IKT z řad třetích stran).
- Úrovně tolerance rizik v IKT.
- Politiky kontinuity služeb finančního subjektu a tzv. disaster recovery plánů.
- Plánů interních auditů IKT.
- Zavést postupy a strategie zajišťující zachování norem v oblasti dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů.
- Stanovit jasné úlohy a povinnost pro všechny funkce související s IKT.
- Zavést vhodné mechanismy řízení s cílem zajistit účinnou a včasnou komunikaci, spolupráci a koordinaci funkcí IKT.
- Přidělovat a pravidelně přezkoumávat odpovídající rozpočtové prostředky na pokrytí potřeb v oblasti digitální provozní odolnosti včetně rozpočtu zajišťující zvyšování povědomí o kybernetické bezpečnosti pro všechny zaměstnance.
Nařízení DORA nezapomíná ani na vzdělávání samotného vrcholového vedení. Stanovuje totiž aktivní snahu členů vedoucího orgánu o získání dostatečných a aktuálních znalostí nezbytných pro kvalifikované posuzování rizik v oblasti IKT a jejich dopadů na chod společnosti.
Toto vzdělávání nemá být pouze formální záležitostí, je vyžadováno pravidelné absolvování specifického školení, které odpovídá konkrétním rizikům v oblasti IKT v dané společnosti. Tímto způsobem se DORA snaží zajistit, že vedoucí orgán bude vždy schopný efektivně reagovat na nové výzvy a hrozby v oblasti kybernetické bezpečnosti.
DORA stanovuje finančním institucím a jejich dodavatelům nové povinnosti. V oblasti kybernetické bezpečnosti to však není jediný právní akt EU. Kybernetická bezpečnost nejen pro finanční trhy je řešena i směrnicí označovanou jako NIS2. Ta bude v českém právním řádu zohledněna v připravovaném novém zákoně o kybernetické bezpečnosti a v jeho vyhláškách, kdy upravuje i další tzv. regulované služby (např. v oblasti energetiky nebo potravinářském průmyslu). V případě rozporu v povinnostech bude mít pro finanční instituce nařízení DORA přednost.
V roce 2024 Evropské orgány dohledu předloží návrhy prováděcích aktů Evropské komisi. Ty poskytnou technické specifikace a návody, jak konkrétně požadavky DORA uvést do praxe. Například bude řečeno, jak hodnotit výši ztráty způsobené incidentem, nebo jaká budou pravidla pro kontrolu dodavatelů/subdodavatelů podporujících zásadní nebo důležité funkce. Těchto prováděcích aktů by mělo být celkem 13.