Nařízení o digitální provozní odolnosti (Digital Operational Resilience Act, neboli DORA) představuje závazný a komplexní rámec pro řízení hlavně digitálních rizik ve finančním sektoru. V platnost vstoupilo na začátku roku 2023, subjekty se jím budou muset řídit od 17. ledna 2025.
Nové nařízení přináší změny v řízení digitální a provozní odolnosti a nastavuje pravidla pro vybrané finanční insitutce a jejich dodavatele služeb IKT (informačních a komunikačních technologií). Pomůžeme Vám v celém procesu zavedení požadavků DORA ve Vaší společnosti, od úvodní analýzy souladu s nařízením DORA až po služby v oblasti řízení rizik IKT.
Nařízení o digitální provozní odolnosti (DORA) představuje závazný a komplexní rámec pro řízení hlavně digitálních rizik ve finančním sektoru. V platnost vstoupilo na začátku roku 2023, subjekty se jím budou muset řídit od 17. ledna 2025.
DORA se týká široké škály finančních institucí, jako jsou banky, investiční podniky, pojišťovny nebo poskytovatele služeb souvisejících s kryptoaktivy. Nařízení se významně dotkne i jejich dodavatelů služeb informačních technologií, kterými jsou třeba poskytovatelé cloudových služeb nebo vývoje softwaru apod. Předpokládá se, že se bude jednat o více než 22 000 finančních subjektů v EU.
Zákon České Republiky
ÚČINNOST
2025
Vztahuje se na
Poskytovatele regulované služby.
Hlavní povinnosti
Nařízení Evropské Unie
ÚČINNOST
17. ledna 2025
Vztahuje se na
Finanční subjekty.
Hlavní povinnosti
Mezinárodní a mezioborový standard pro systém řízení bezpečnosti informací (ISMS)
ÚČINNOST
Od roku 2005 (poslední verze standardu je z roku 2022).
Vztahuje se na
Všechny organizace, které chtějí chránit svá aktiva.
Hlavní povinnosti
Evropský standard, mechanismus hodnocení a výměny informací pro automobilový průmysl
ÚČINNOST
Od roku 2017 (verze 6 dotazníku VDA ISA je od 1. 4. 2024 povinná pro všechna nová hodnocení TISAX).
Vztahuje se na
Organizace v automobilovém průmyslu.
Hlavní povinnosti
DORA je nařízení EU, které stanovuje rámec pro řízení digitálních rizik ve finančním sektoru. Na rozdíl od NIS2, které se týká kybernetické bezpečnosti napříč různými sektory, DORA se zaměřuje specificky na finanční instituce a jejich dodavatele služeb IKT. Směrnice NIS2 a její implementace do nového zákona o kybernetické bezpečnosti se na subjekty bude vztahovat pouze v rozsahu, který DORA neupravuje speciálně. To znamená, že DORA je pro ně primární. Neznamená to však, že by se na finanční subjekty vztahovala pouze DORA, ale do určité míry je ovlivní i NIS2 v těch oblastech, které DORA neřeší komplexně.
DORA se týká široké škály finančních institucí, včetně bank, investičních podniků, pojišťoven a poskytovatelů služeb souvisejících s kryptoaktivy. Přináší řadu povinností, včetně odpovědnosti vrcholového vedení za řízení rizik v oblasti IKT, povinnosti hlášení incidentů souvisejících s IKT, řízení rizik v IKT, testování digitální provozní odolnosti, opatření pro řízení rizik v oblasti dodavatelů služeb IKT a mnoho dalších.
Mezi subjekty, na které DORA dopadne patří úvěrové instituce, platební instituce, investiční podniky, pojišťovny, ratingové agentury a další. Kompletní výčet naleznete zde. Nařízení se naopak nevztahuje na správce alternativních investičních fondů, pojišťovny a zajišťovny nebo zprostředkovala pojištění. Úplný seznam subjektů, na které se DORA nevztahuje naleznete zde.
Nařízení DORA vstoupilo v platnost na začátku roku 2023, ale subjekty se jím budou muset řídit až od 17. ledna 2025.
V roce 2024 Evropské orgány dohledu předloží návrhy prováděcích aktů Evropské komisi. Ty poskytnou technické specifikace a návody, jak konkrétně požadavky DORA uvést do praxe. Například bude řečeno, jak hodnotit výši ztráty způsobené incidentem, nebo jaká budou pravidla pro kontrolu dodavatelů/subdodavatelů podporujících zásadní nebo důležité funkce. Těchto prováděcích aktů by mělo být celkem 13.
V digitální době, kdy neustále čelíme kybernetickým hrozbám usiluje nařízení DORA o zvýšení digitální odolnosti finančních institucí a jejich dodavatelů, kteří mají významnou roli v kybernetické bezpečnosti celého finančního sektoru.
Pomůžeme Vám s praktickou přípravou Vaší společnosti na nové nařízení DORA. Náš přístup je zaměřený na klienta, rozumíme jeho jedinečným potřebám, cílům a výzvám. Při práci s klientem začínáme posouzením současného stavu společnosti pomocí tzv. gap analýzy. Našim zájmem je, abyste měli bezpečnostní rizika ve Vaší společnosti pod kontrolou a proaktivně je řídili. Věříme, že společnými silami můžeme dosáhnout, aby digitální prostor byl bezpečnější, etičtější a transparentnější.
Máme potřebné certifikace a dlouholeté zkušenosti s kompletní implementací bezpečnostních opatření ve společnostech různých odvětví a velikostí.
Neposkytujeme právní služby, ale naši konzultanti mají právní vzdělání. Směrnice a právní předpisy Vám proto umíme přeložit do srozumitelného jazyka tak, abyste všemu plně porozuměli.
Monitorujeme vývoj legislativy i aktuální situaci ohledně nařízení DORA a dalších evropských norem do platné lokální legislativy. Novinky a aktuality víme z první ruky.
Kybernetickou a informační bezpečnost nastavujeme prakticky tak, aby pro Vás byla hlavně přínosem a také, aby jí všichni ve Vaší společnosti rozuměli a uměli ji používat.
Pomůžeme Vám vytvořit základy, principy a dokumentaci pro efektivní zabezpečení. Naučíme Vás, jak rozumět a spoléhat se na Vaše zabezpečení v případě incidentů, aby mělo preventivní charakter a neochromilo provoz.
Chcete mít jistotu, že Vaše společnost je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.
Rybná 682/14
Praha, Staré Město
110 00
Cybrela s.r.o.
IČ: 17597943
© 2023 Cybrela