- Kateřina Kubíková
S nařízením o digitální a provozní odolnosti (DORA) přichází nová pravidla pro finanční instituce, ale zároveň s nimi i zvýšená odpovědnost pro vrcholové vedení těchto subjektů. Ti budou mít klíčovou a aktivní úlohu při řízení rizika v oblasti informačních a komunikačních technologií (IKT) a celkové strategie digitální provozní odolnosti. Co přesně nová odpovědnost vrcholového vedení finančních institucí znamená?
Na které finanční instituce DORA dopadne?
Nařízení od ledna 2025 přinese nové povinnosti pro širokou škálu finančních institucí. Povinnosti budou muset plnit například banky, poskytovatele služeb souvisejících s kryptoaktivy (které bude regulovat nařízení o trzích s kryptoaktivy), pojišťovny, zprostředkovatelé pojištění a centrální depozitáře cenných papírů. Toto je však jen základní výčet z více než dvaceti různých druhů finančních subjektů, které budou podléhat povinnostem dle nařízení DORA.
Nařízení uvádí i několik výjimek. Mezi ty patří třeba zprostředkovatelé pojištění, zprostředkovatelé zajištění nebo zprostředkovatelé doplňkového pojištění, kteří jsou mikropodniky nebo malými či středními podniky. Nařízení se nebude vztahovat ani na instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků.
Odpovědnost vrcholového vedení
Nařízení DORA zdůrazňuje, že vrcholové vedení nese odpovědnost za stanovení a schválení všech opatření souvisejících s rámcem řízení rizika v oblasti IKT. Vedoucí orgán se také musí neustále angažovat při kontrole sledování řízení rizik v oblasti IKT a má povinnost aktivně přispívat k celkové strategii digitální provozní odolnosti.
Přístup vrcholového vedení by měl přesahovat pouhé zajištění odolnosti systémů IKT. Prostřednictvím vnitřních politik se má pak zaměřit i na zaměstnance a procesy ve společnosti. Cílem je totiž také zajistit silné povědomí o kybernetických rizicích pro všechny zaměstnance finančního subjektu.
Vrcholové vedení má odpovědnost za schválení/přijetí:
- Strategie digitální provozní odolnosti společnosti.
- Politiky týkajících se dodavatelů služeb IKT (neboli služeb IKT z řad třetích stran).
- Úrovně tolerance rizik v IKT.
- Politiky kontinuity služeb finančního subjektu a tzv. disaster recovery plánů.
- Plánů interních auditů IKT.
Další povinnosti vrcholového vedení:
- Zavést postupy a strategie zajišťující zachování norem v oblasti dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů.
- Stanovit jasné úlohy a povinnost pro všechny funkce související s IKT.
- Zavést vhodné mechanismy řízení s cílem zajistit účinnou a včasnou komunikaci, spolupráci a koordinaci funkcí IKT.
- Přidělovat a pravidelně přezkoumávat odpovídající rozpočtové prostředky na pokrytí potřeb v oblasti digitální provozní odolnosti včetně rozpočtu zajišťující zvyšování povědomí o kybernetické bezpečnosti pro všechny zaměstnance.
Vzdělávání vrcholového vedení v kybernetické bezpečnosti
Nařízení DORA nezapomíná ani na vzdělávání samotného vrcholového vedení. Stanovuje totiž aktivní snahu členů vedoucího orgánu o získání dostatečných a aktuálních znalostí nezbytných pro kvalifikované posuzování rizik v oblasti IKT a jejich dopadů na chod společnosti.
Toto vzdělávání nemá být pouze formální záležitostí, je vyžadováno pravidelné absolvování specifického školení, které odpovídá konkrétním rizikům v oblasti IKT v dané společnosti. Tímto způsobem se DORA snaží zajistit, že vedoucí orgán bude vždy schopný efektivně reagovat na nové výzvy a hrozby v oblasti kybernetické bezpečnosti.
