DORA: Povinnosti dodavatelů služeb ve finančním sektoru

Co je nařízení DORA?

Nařízení DORA se týká dodavatelů služeb informačních a komunikačních technologií (IKT), což zahrnuje poskytovatele cloudových služeb, softwaru, analýzy dat nebo datového centra. DORA však stanovuje i jednu drobnou výjimku, a tou jsou dodávky tradičních analogových telefonních služeb.  

Nové povinnosti dodavatelů IKT služeb ve finančním sektoru dle DORA. V době neustálých kybernetických hrozeb je klíčové zvýšit digitální odolnost finančních institucí. Nařízení DORA (Digital Operational Resilience Act) klade důraz kromě odolnosti finančních institucí i na bezpečnostní opatření jejich dodavatelů služeb IKT. Právě ti totiž hrají významnou roli v kybernetické bezpečnosti celého finančního sektoru.
Na které dodavatele DORA dopadne? 

Služby IKT definuje nařízení takto: digitální a datové služby, včetně hardwaru jako služby a hardwarových služeb, které zahrnují poskytování technické podpory prostřednictvím aktualizací softwaru nebo firmwaru poskytovatelem hardwaru. Služby IKT jsou určeny velmi široce a dopadnou tak skoro na každého, kdo do bank, pojišťoven a dalších finančních institucí dodává něco souvisejícího s informační nebo komunikační technologií. 

Kontrola dodavatelů finančními institucemi před uzavřením smlouvy 

Finanční instituce musí před uzavřením smlouvy s dodavatelem provést důkladnou analýzu, zahrnující posouzení schopnosti dodavatele splnit bezpečnostní normy. Pro klíčové služby musí být hodnocení ještě důkladnější. Kromě pečlivého prověření budou muset finanční instituce vést o svých dodavatelích registr informací se všemi smluvními ujednáními o využívání služeb IKT.  

Smlouvu smí pak uzavřít pouze s dodavateli služeb IKT, kteří splňují příslušné normy v oblasti bezpečnosti informací. Pokud se ale jedná o službu IKT, která se týká zásadních nebo důležitých funkcí, finanční instituce bude hodnotit, jestli dodavatelé uplatňují nejaktuálnější a nejkvalitnější normy bezpečnosti informací.

Co musí obsahovat dodavatelské smlouvy?

Na základě nařízení DORA budou smlouvy s dodavateli služeb IKT nově obsahovat povinné regulatorní požadavky. Například ustanovení týkající se:

Povinnost dodavatele služeb IKT poskytnout finanční instituci pomoc bez dodatečných nákladů nebo za náklady stanovené dopředu, pokud dojde k incidentu, který souvisí s poskytovanou službou IKT. Nebo dokonce i podmínky účasti dodavatele na školeních vztahujících se ke kybernetické bezpečnosti.  

Pokud se bude jednat o dodavatele služeb IKT, které podporují zásadní nebo důležité funkce, smlouva bude muset obsahovat ještě více nezbytných bodů. Například: 

Proč by tyto novinky měly dodavatele IKT služeb zajímat? 

S nástupem nařízení DORA se očekává, že finanční instituce budou pečlivěji vybírat své dodavatele služeb IKT a posuzovat jejich schopnost dodržovat nové standardy. Připravenost na tyto změny bude hrát klíčovou roli v udržení důvěry finančních institucí v poskytované služby IKT.  

Nedodržování nových povinností může vést až k ukončení smluv s dodavatelem. Ty budou nově dle nařízení DORA obsahovat i důvody, za které je možné smlouvy vypovědět. Jedním z nich bude, že v rámci celkové řízení rizika v oblasti IKT dodavatele služeb IKT jsou zjištěna slabá místa nebo třeba, že dodavatelé služeb IKT zásadním způsobem poruší platné právní předpisy nebo smluvní podmínky.

Kritický dodavatel podle nařízení DORA 

DORA zavádí novou kategorii dodavatelů, které označuje jako kritické poskytovatele služeb IKT z řad třetích stran. Pod tímto označením se skrývá výběr klíčových dodavatelů IKT služeb pro finanční instituce, na něž se vztahují povinnosti podobné těm, které mají dle DORA plnit samotné finanční subjekty.  

Kdo může být kritickým dodavatelem služeb IKT? 

Určení kritického dodavatele závisí na rozhodnutí evropských orgánů dohledu:

Jednomu z těchto orgánů bude pak přidělen status hlavního dohledového orgánu pro každého určeného kritického dodavatele. Není tak rozhodující, že finanční instituce sama označí dodavatele za kritického; klíčové je určení orgánem evropského dohledu. Kritický dodavatel služeb IKT bude poté informován o datu, od něhož se na něj začnou vztahovat nové povinnosti. Toto bude stanoveno do jednoho měsíce od oznámení o určení kritickým dodavatelem.

Kritéria pro určení kritického dodavatele služeb IKT

Evropské orgány dohledu budou posuzovat několik klíčových kritérií: 

Povinnosti kritických dodavatelů IKT služeb 

Na dodavatele služeb IKT, kteří budou určení jako kritičtí dopadne přímý dohled finančních regulátorů, a dokonce i povinnost za tento dohled platit poplatky. Možností, jak se podrobit dohledu, mají však i ti dodavatelé služeb IKT, kteří nebyli označeni jako kritičtí. Může to pro ně totiž být i konkurenční výhoda. 

Pod dohled budou spadat tyto oblasti, které bude kritický dodavatel muset plnit: 

Orgán dohledu pak pro každého kritického dodavatele vypracuje podrobný a odůvodněný individuální plán dohledu. Tento plán bude obsahovat roční cíle a hlavní opatření plánovaná pro daného dodavatele. Hlavní dohledový orgán bude mít možnost ukládat penále, a to až do výše 1 % průměrného denního celosvětového obratu dodavatele za předchozí účetní období (penále se má ukládat na denním základě, dokud nejsou opatření splněna). Penále tak má motivovat kritické dodavatele služeb IKT k dodržování nových povinností a standardů. 

Buďte připraveni

Pomůžeme Vám s přípravou Vaší společnosti na nové nařízení DORA.

Další články

Ani při práci z domova nejste mimo dosah kybernetických hrozeb. Jak se na home office chránit? Přinášíme tipy, které pomohou udržet firemní data v bezpečí.
I díky certifikaci mohou společnosti posílit svou bezpečnost. Jak k zajištění compliance může přispět certifikace podle Aktu o kybernetické bezpečnosti?
Předvánoční sezóna přináší skvělé slevy, ale také zvýšené riziko podvodů. Jak se chránit? Přinášíme 8 tipů, jak na bezpečné nakupování online.

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.