DORA: Zakaj je pomembna za vas

Naš strokovnjak za vprašanja

Tomaš Besinsky
Vodja področja upravljanja organizacijskih tveganj, PwC v Sloveniji
Tel: +386 51 613 139

PwC vidik Uredbe DORA, ko gre za slovenske subjekte

Področje uporabe Uredbe DORA je izjemno široko, zato je verjetno, da obravnava marsikatero področje, ki je v obstoječih predpisih v Sloveniji že obravnavano.

Kljub temu so nekatera področja, kot sta obveščevalni podatki o kibernetskih grožnjah in penetracijsko testiranje na podlagi analize groženj, novejša, in zato zahtevajo večjo pozornost. Poleg tega je zmožnost razvijanja krovne prepoznavnosti in razumevanja vseh ključnih odvisnosti med vašim subjektom in ključnimi tretjimi ponudniki storitev IKT dodaten izziv, ki po našem mnenju igra pomembno vlogo.

Ne glede na to, na kateri točki se v smislu zrelosti vaše digitalne in operativne odpornosti v tem trenutku nahajate, je naše priporočilo, naj bo Uredba DORA sprožilec za zagon oz. nadgradnjo vaše odpornosti. Začetna analiza vrzeli (GAP) in ocena zrelosti sta odlični izhodišči.

V splošnem so lahko subjekti, ki uporabljajo trenutne regulativne zahteve v skladu s  trenutnimi revizijskimi praksami, v boljšem položaju, ko gre za izvajanje večine zahtev Uredbe DORA. Kljub vsemu pa je po številnih izkušnjah, ki smo jih doslej pridobili pri podpori strankam pri njihovih prizadevanjih za kibernetsko varnost in odpornost, naše sporočilo naslednje: Ne počivajte na lovorikah. Ne obstaja subjekt, ki je »preveč odporen« ali »preveč varen«. Ne pozabite, večja odpornost in varnost obenem pomenita tudi večjo konkurenčno prednost.

Na Uredbo DORA gledamo kot na izziv in obenem kot priložnost za finančne subjekte.

Vseevropske enotne zahteve Uredbe DORA določajo, da morajo finančni subjekti zagotoviti upravljanje dosledne ravni zrelosti na področju kibernetske varnosti in operativne odpornosti v vseh dejavnostih na območju Evropske unije.

Glede na dveletno obdobje »priprav« so potrebni tehten razmislek, izvedba in rezultati.

Finančne institucije bi morale že v tem trenutku izvajati celovite ocene vrzeli, s katerimi bi ovrednotile svojo zrelost glede na Uredbo DORA in pravočasno opredelile vsa prednostna področja, ki potrebujejo nadaljnje ukrepe.

Na ta način bo vaše podjetje v ugodnejšem položaju, ko gre za reševanje kompleksnejših zahtev, kot so upravljanje tveganj pri dobavi, obveščevalni podatki o (kibernetskih) grožnjah in napredno testiranje varnosti, to pa vam bo zagotovilo konkurenčno prednost na trgu.

Uredba DORA po našem mnenju pomeni korenito spremembo za subjekte v okviru nadzora Evropskega organa za vrednostne papirje in trge (ESMA) oz. Evropskega organa za zavarovanja in poklicne pokojnine (EIOPA), pa tudi za banke, slednje so v preteklosti že morale upoštevati obstoječe smernice Evropskega bančnega organa (EBA) o bančnem nadzoru.

Uredba DORA svoje področje delovanja širi tudi na druge deležnike v finančnem sektorju, za katere doslej ni veljala obsežna varnostna ureditev področja IKT, npr. ponudnike storitev v zvezi s kriptosredstvi, posrednike, upravitelje alternativnih investicijskih skladov, ponudnike storitev množičnega financiranja, ponudniki storitev v oblaku ter na tretje ponudnike storitev IKT.

Glede na močni poudarek na upravljanje tveganj tretjih oseb se od subjektov pričakuje, da se bodo prepričali o odpornosti tretjih oseb, kar bo zahtevalo tesno sodelovanje in skupna prizadevanja z njihovimi ključnimi tretjimi ponudniki storitev IKT, zlasti kadar podpirajo opravljanje pomembne poslovne storitve.