- Cybrela
Proč je DORA důležitá?
Kybernetické hrozby představují stále rostoucí riziko pro finanční sektor, který je závislý na své digitální infrastruktuře. Jakékoli narušení provozu může způsobit nejen finanční ztráty, ale i ztrátu důvěry klientů. DORA zajišťuje, že instituce budou schopné co nejlépe předcházet těmto rizikům a zajistí kontinuitu svých služeb.
Nařízení o digitální provozní odolnosti (Digital Operational Resilience Act, DORA) představuje průlomovou legislativu Evropské unie, která si klade za cíl posílit finanční sektor proti kybernetickým hrozbám. Od ledna 2025 se jím musejí řídit povinné subjekty, kterými jsou hlavně finanční instituce, ale dopadne také na jejich dodavatele IT služeb.
Nařízení DORA vstoupilo v platnost na začátku roku 2023 a od 17. ledna 2025 se jím povinné subjekty budou muset reálně řídit.
Co nařízení DORA přináší?
Široký záběr působnosti
Nařízení se vztahuje na banky, pojišťovny, poskytovatele plateb, investiční fondy a další finanční instituce. Dopadne také na jejich dodavatele IT služeb, čímž zajišťuje, že všichni účastníci finančního trhu splňují vysoké standardy na bezpečnost.
Odpovědnost vrcholového vedení
DORA zdůrazňuje odpovědnost top managementu za řízení rizik v oblasti informačních a komunikačních technologií (IKT). Manažeři budou muset schvalovat strategie kybernetické odolnosti a zajistit jejich implementaci v celé organizaci.
Řízení vztahů s dodavateli
Finanční instituce budou povinny provádět due diligence svých dodavatelů IT služeb a smluvně zajistit jejich spolupráci při krizových situacích.
Testování a monitorování
Organizace budou muset testovat svou digitální odolnost, což zpravidla bude zahrnovat i provádění pravidelných penetračních testů. Zároveň bude třeba zavést systémy monitorování, které rychle odhalí potenciální problémy.
Incident plány
DORA vyžaduje vytvoření detailních plánů obnovy po havárii tak, aby byl zajištěn, pokud možno nepřerušený provoz i v případě kybernetických útoků.
Jak zjistit, jestli se vás DORA týká jako finančního subjektu?
Nejkratší cesta, je podívat se přímo do nařízení DORA. A to konkrétně do jeho článku 2 odstavce 1 písmen a) až t) – v těchto ustanoveních se dočtete, zda spadáte pod kategorii „finanční subjekt“, a nařízení tak na vás dopadá. Jedná se třeba o úvěrové a platební instituce, investiční podniky nebo správce alternativních investičních fondů.
Hned v následujícím odstavci (tj. 3 článku 2) DORA jsou uvedené výjimky – kdy na společnosti DORA nedopadá, i když by se to na první pohled mohlo znát (např. instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků).
Pokud máte licenci ČNB, je také pravděpodobné, že budete jako finanční subjekt spadat pod nařízení DORA, ale neplatí to obecně – viz výjimky v DORA.
Mám řešit DORA, když se připravuji na nový zákon o kybernetické bezpečnosti?
Ve zkratce: ANO! Nařízení DORA má pro finanční subjekty dokonce přednost. To znamená primárně to, že pokud nařízení DORA i nový zákon o kybernetické bezpečnosti upravují stejnou povinnost, aplikuje se nařízení DORA.
Třeba u hlášení incidentů na NÚKIB (dle nového zákona o kybernetické bezpečnosti) a hlášení incidentů na ČNB (dle DORA) to zatím vypadá tak, že je bude nezbytné hlásit na oba orgány. Předpisy totiž stanoví odlišná kritéria pro hlášení incidentů. Zde však očekáváme, že orgány vydají metodické pokyny a ujasní, jak provázanost předpisů bude vzájemně fungovat.
