Co to je DORA?
DORA (Digital Operational Resilience Act) je nový evropský rámec pro efektivní a komplexní řízení digitálních rizik na finančních trzích.
- Nezaměřuje se pouze na zaručení finančního zdraví firem, ale také na zajištění schopnosti udržet odolný provoz i v případě, že dojde k jeho vážnému narušení, které bude způsobeno problémy s kybernetickou bezpečností a ICT.
- Zavedením jednotného konzistentního přístupu k dohledu v příslušných odvětvích, zajišťuje nařízení DORA sjednocení a harmonizaci postupů v oblasti bezpečnosti a ochrany v celé EU.
- Představuje komplexní holistický rámec, od efektivního řízení rizik, ICT a operačních schopností kybernetické bezpečnosti po management třetích stran, a zajišťuje tak konzistentní poskytování služeb v celém hodnotovém řetězci.
- Zavede specifické a normativní požadavky pro všechny účastníky finančního trhu, jako jsou například banky, investiční společnosti, pojišťovny a zprostředkovatelé, poskytovatelé kryptografických aktiv, cloudových služeb či data reportů.
- Zavádí Union Oversight Framework, což je celounijní rámec pro dohled nad kritickými poskytovateli ICT dle evropských orgánů dohledu (ESA). Tím dochází ke sjednocení a harmonizaci postupů v oblasti bezpečnosti a odolnosti v celé EU.
Požadavky DORA
- Řízení rizik ICT
- Hlášení incidentů souvisejících s ICT
- Testování digitální provozní odolnosti
- Řízení rizik poskytovatelů ICT
- Sdílení informací
Řízení rizik ICT
Finanční subjekty jsou povinny nastavit komplexní rámec řízení rizik ICT, musí tedy:
- nastavit a udržovat odolné systémy a nástroje ICT, které minimalizují dopad rizika ICT,
- identifikovat, klasifikovat a dokumentovat kritické funkce a aktiva,
- nepřetržitě monitorovat všechny zdroje ICT rizik za účelem nastavení ochranných a preventivních opatření,
- zajistit rychlou detekci anomálních aktivit,
- zavést komplexní zásady business continuity a disaster recovery plánů vč. ročního testování plánů, zahrnující všechny podpůrné funkce,
- zavést mechanismy, jak se poučit a rozvíjet jak z externích událostí, tak z vlastních ICT incidentů.
Hlášení incidentů souvisejících s ICT
Finanční subjekty jsou povinny:
- vyvinout efektivní proces zaznamenávání/klasifikace všech incidentů v oblasti ICT a určování závažných incidentů podle kritérií podrobně uvedených v nařízení a dále specifikovaných evropskými orgány dohledu (EBA, EIOPA a ESMA),
- předložit úvodní, průběžnou a závěrečnou zprávu o incidentech souvisejících s ICT,
- harmonizovat ohlašování incidentů souvisejících s ICT prostřednictvím standardních šablon vyvinutých ESA.
Testování digitální provozní odolnosti
Finanční subjekty jsou povinny:
- každoročně provádět základní testování ICT nástrojů a systémů,
- identifikovat, zmírnit a bezodkladně odstranit všechny slabiny a nedostatky v implementovaných bezpečnostních opatřeních,
- pravidelně provádět pokročilé threat-led penetrační testy (TLPT) pro ICT služby, které ovlivňují kritické funkce. Od poskytovatelů služeb ICT se vyžaduje jejich účast a plná spolupráce na testovacích činnostech.
Řízení rizik poskytovatelů ICT
Finanční subjekty jsou povinny:
- zajistit řádné sledování rizik vyplývajících z využívání služeb poskytovatele ICT,
- nahlásit kompletní evidenci outsourcovaných činností vč. vnitroskupinových služeb a jakékoli změny poskytovatelů ICT v outsourcingu kritických služeb,
- vzít v úvahu riziko IT koncentrace a rizika vyplývající z činností sub-outsourcingu,
- harmonizovat klíčové prvky služby a vztahu s poskytovateli ICT, aby byl umožněn kompletní monitoring,
- zajistit, aby smlouvy s poskytovateli ICT obsahovaly všechny potřebné podrobnosti k monitorování a dostupnosti, jako je popis úrovně služeb, označení míst, kde se data zpracovávají, atd.,
- na kritické poskytovatele služeb ICT se bude vztahovat rámec unijního dohledu (Union Oversight Framework), který může vydávat doporučení ke zmírnění identifikovaných ICT rizik. Finanční subjekty musí zvážit rizika svého poskytovatele, který se neřídí definovaným doporučením.
Sdílení informací
- Nařízení umožňuje finančním subjektům, aby mezi sebou uzavřely dohody o výměně informací a zprávy o kybernetických hrozbách.
- Orgán dohledu bude finančním subjektům poskytovat relevantní anonymizované informace a zprávy o kybernetických hrozbách. Subjekty by proto měly zavést mechanismy pro přezkoumání těchto informací a přijetí opatření.
DORA: časový rámec
Nařízení DORA vstoupilo v platnost 16. ledna 2023. S přihlédnutím k implementačnímu období v délce dva roky se očekává, že finanční subjekty budou v souladu s nařízením nejpozději do 17. ledna 2025.
Dne 24. září 2020 zveřejnila Evropská komise svůj návrh zákona o digitální provozní odolnosti (DORA) jako součást balíčku právních předpisů v oblasti digitálních financí (Digital Finance Package).
Po zveřejnění návrhu pro DORA probíhala v první půlce roku 2022 politická a technická jednání mezi zákonodárci. Evropská rada přijala nařízení DORA dne 28. listopadu 2022 poté, co Evropský parlament 10. listopadu hlasoval ve prospěch zákona.
Nařízení DORA vstoupilo v platnost 16. ledna 2023. Očekává se, že evropské orgány dohledu (ESA) vypracují první regulační a prováděcí technické normy (RTS a ITS).
Evropské orgány dohledu (ESA) definují a vydají regulační a prováděcí technické normy (RTS a ITS) a poskytnou subjektům specifikace a návod, jak implementovat konkrétní požadavky DORA.
Požadavky DORA jsou vymahatelné 24 měsíců po vstupu v platnost, očekává se tedy, že finanční subjekty budou v souladu s nařízením DORA do 17. ledna 2025.
DORA v praxi: co vás čeká?
Nařízení DORA vnímáme zároveň jako výzvu a příležitost pro finanční subjekty, protože celoevropské jednotné požadavky pro ně znamenají, že musí zajistit konzistentní úroveň vyspělosti kybernetické bezpečnosti a provozní odolnosti v celém rámci svého působení v EU. Během dvouletého období příprav bude potřeba zvážit, implementovat a demonstrovat mnoho věcí.
Finanční instituce by již nyní měly provádět komplexní hodnocení vyspělosti dotčených oblastí, aby mohly posoudit svůj soulad vůči požadavkům DORA, stanovit priority a včas identifikovat všechny oblasti, které budou vyžadovat další investice. Vaše podnikání bude díky tomu v lepší pozici pro řešení složitějších požadavků, jako je například řízení rizik v dodavatelském řetězci, threat intelligence či pokročilé bezpečnostní testování. To vám poskytne konkurenční výhodu na trhu.
DORA vnímáme jako významnou změnu pro subjekty v rámci dohledu ESMA (Evropský orgán pro cenné papíry a trhy) či EIOPA (Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění), ale také pro banky, které již musí být v souladu se stávajícími směrnicemi EBA (Evropský orgán pro bankovnictví) o bankovním dohledu.
DORA také rozšiřuje svou působnost o další zainteresované strany ve finančním sektoru, na které se dosud nevztahovala rozsáhlá regulace bezpečnosti ICT, např. poskytovatelé služeb kryptoaktiv, zprostředkovatelé alternativních investičních fondů, poskytovatelé služeb crowdfundingu a cloudových služeb či poskytovatelé „third-party“ služeb ICT.
Jelikož se DORA silně zaměřuje na management rizik třetích stran, subjekty by se měly přesvědčit o jejich odolnosti. To bude vyžadovat úzkou spolupráci a společné úsilí, zejména pokud třetí strany podporují důležité obchodní služby.
DORA v České republice
Vzhledem k širokému záběru DORA je zjevné, že pokrývá i témata, která jsou již v České republice zohledněna stávajícími předpisy.
Nicméně některá témata, jako je například threat intelligence či threat-led penetrační testování, mají nový charakter, a vyžadují proto zvýšenou pozornost. Další výzvou, kterou vidíme, je schopnost vytvořit kompletní viditelnost a pochopit všechny klíčové závislostí mezi vaším subjektem a vašimi kritickými poskytovateli ICT služeb.
Nařízení DORA by tedy mělo být spouštěčem pro zlepšení vaší digitální provozní odolnosti bez ohledu na to, kde se z hlediska vyspělosti právě nacházíte. Počáteční gap analýza a maturity assessment jsou skvělým výchozím bodem.
Již jsme podpořili řadu klientů v jejich úsilí o kybernetickou bezpečnost a odolnost. Obecně platí, že subjekty, které dodržují aktuální regulační požadavky v souladu se současnými auditorskými postupy, mohou mít lepší pozici k implementaci většiny požadavků DORA. Přesto naše poselství zní: Nebuďte lhostejní. Neexistuje nic jako „příliš odolný“ nebo „příliš bezpečný“. Pamatujte, že čím jste odolnější než Vaši konkurenti, tím větší jsou vaše konkurenční výhody.
