{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
DORA: Zakaj je pomembna za vas
Uredba o digitalni operativni odpornosti (DORA) je nov evropski okvir za učinkovito in celovito upravljanje digitalnih tveganj na finančnih trgih.
Poleg tega, da Okvir omogoča finančno stabilnost podjetij, podjetjem odslej zagotavlja tudi ohranjanje odpornega poslovanja v primeru resne motnje delovanja, ko gre za težave s kibernetsko varnostjo ter izzive s področja informacijskih in komunikacijskih tehnologij (IKT).
Z uvedbo enotnega doslednega nadzorniškega pristopa v ustreznih sektorjih DORA zagotavlja skladnost in uskladitev praks na področju varnosti in odpornosti v Evropski uniji.
Najpomembnejše v 30 sekundah
Zakaj je DORA pomembna?
- DORA bo veljala za več kot 22.000 finančnih subjektov in ponudnikov storitev IKT, ki delujejo v EU. Uredba uvaja posebne in predpisujoče zahteve za vse udeležence na finančnem trgu, vključno z npr. bankami, investicijskimi podjetji, zavarovalnicami in posredniki, ponudniki kripto sredstev, izvajalci storitev sporočanja podatkov in s ponudniki storitev v oblaku.
- DORA uvaja celostni okvir učinkovitega upravljanja s tveganji ter s področjem IKT in operativnimi zmogljivostmi kibernetske varnosti za upravljanje tretjih oseb, kar zagotavlja dosledno opravljanje storitev v celotni vrednostni verigi.
- Uredba je edinstvena, saj uvaja Vseevropski nadzorni okvir nad ključnimi tretjimi ponudniki storitev IKT, kot so ga določili evropski nadzorni organi (ESA).
Kdaj bo DORA stopila v veljavo?
DORA bo v veljavo stopila v začetku leta 2023. Po dveletnem obdobju izvajanja naj bi bili finančni subjekti usklajeni z Uredbo, in sicer najkasneje v začetku leta 2025.
Evropska komisija je dne 24. 9. 2020 objavila osnutek Uredbe o digitalni operativni odpornosti (DORA) kot del svežnja ukrepov na področju digitalnih financ (DFP).
Po objavi predlogov Evropskega parlamenta in Sveta v zvezi z Uredbo DORA sta imela sozakonodajalca politične in tehnične tristranske pogovore v prvi polovici leta 2022.
Evropski svet je Uredbo DORA sprejel dne 18. 11. 2022, po tem, ko jo je dne 10. 11. 2022 izglasoval Evropski parlament.
DORA bo stopila v veljavo v prvem četrtletju 2023. Pričakujemo, da bodo prve regulativne in izvedbene tehnične standarde (RTS in ITS) razvili evropski nadzorni organi (ESA).
Evropski nadzorni organi (ESA) opredelijo in izdajo več regulativnih in izvedbenih tehničnih standardov. Subjektom zagotavljajo specifikacije in smernice o tem, kako izvajati posebne zahteve Uredbe DORA.
Zahteve Uredbe DORA so izvršljive 24 mesecev po začetku veljavnosti. Zato se pričakuje, da bodo finančni subjekti z Uredbo DORA skladni do začetka leta 2025.
Naš strokovnjak za vprašanja
Tomaš Besinsky
Vodja področja upravljanja organizacijskih tveganj, PwC v Sloveniji
Tel: +386 51 613 139
PwC vidik Uredbe DORA, ko gre za slovenske subjekte
Področje uporabe Uredbe DORA je izjemno široko, zato je verjetno, da obravnava marsikatero področje, ki je v obstoječih predpisih v Sloveniji že obravnavano.
Kljub temu so nekatera področja, kot sta obveščevalni podatki o kibernetskih grožnjah in penetracijsko testiranje na podlagi analize groženj, novejša, in zato zahtevajo večjo pozornost. Poleg tega je zmožnost razvijanja krovne prepoznavnosti in razumevanja vseh ključnih odvisnosti med vašim subjektom in ključnimi tretjimi ponudniki storitev IKT dodaten izziv, ki po našem mnenju igra pomembno vlogo.
Ne glede na to, na kateri točki se v smislu zrelosti vaše digitalne in operativne odpornosti v tem trenutku nahajate, je naše priporočilo, naj bo Uredba DORA sprožilec za zagon oz. nadgradnjo vaše odpornosti. Začetna analiza vrzeli (GAP) in ocena zrelosti sta odlični izhodišči.
V splošnem so lahko subjekti, ki uporabljajo trenutne regulativne zahteve v skladu s trenutnimi revizijskimi praksami, v boljšem položaju, ko gre za izvajanje večine zahtev Uredbe DORA. Kljub vsemu pa je po številnih izkušnjah, ki smo jih doslej pridobili pri podpori strankam pri njihovih prizadevanjih za kibernetsko varnost in odpornost, naše sporočilo naslednje: Ne počivajte na lovorikah. Ne obstaja subjekt, ki je »preveč odporen« ali »preveč varen«. Ne pozabite, večja odpornost in varnost obenem pomenita tudi večjo konkurenčno prednost.
Na Uredbo DORA gledamo kot na izziv in obenem kot priložnost za finančne subjekte.
Vseevropske enotne zahteve Uredbe DORA določajo, da morajo finančni subjekti zagotoviti upravljanje dosledne ravni zrelosti na področju kibernetske varnosti in operativne odpornosti v vseh dejavnostih na območju Evropske unije.
Glede na dveletno obdobje »priprav« so potrebni tehten razmislek, izvedba in rezultati.
Finančne institucije bi morale že v tem trenutku izvajati celovite ocene vrzeli, s katerimi bi ovrednotile svojo zrelost glede na Uredbo DORA in pravočasno opredelile vsa prednostna področja, ki potrebujejo nadaljnje ukrepe.
Na ta način bo vaše podjetje v ugodnejšem položaju, ko gre za reševanje kompleksnejših zahtev, kot so upravljanje tveganj pri dobavi, obveščevalni podatki o (kibernetskih) grožnjah in napredno testiranje varnosti, to pa vam bo zagotovilo konkurenčno prednost na trgu.
Uredba DORA po našem mnenju pomeni korenito spremembo za subjekte v okviru nadzora Evropskega organa za vrednostne papirje in trge (ESMA) oz. Evropskega organa za zavarovanja in poklicne pokojnine (EIOPA), pa tudi za banke, slednje so v preteklosti že morale upoštevati obstoječe smernice Evropskega bančnega organa (EBA) o bančnem nadzoru.
Uredba DORA svoje področje delovanja širi tudi na druge deležnike v finančnem sektorju, za katere doslej ni veljala obsežna varnostna ureditev področja IKT, npr. ponudnike storitev v zvezi s kriptosredstvi, posrednike, upravitelje alternativnih investicijskih skladov, ponudnike storitev množičnega financiranja, ponudniki storitev v oblaku ter na tretje ponudnike storitev IKT.
Glede na močni poudarek na upravljanje tveganj tretjih oseb se od subjektov pričakuje, da se bodo prepričali o odpornosti tretjih oseb, kar bo zahtevalo tesno sodelovanje in skupna prizadevanja z njihovimi ključnimi tretjimi ponudniki storitev IKT, zlasti kadar podpirajo opravljanje pomembne poslovne storitve.
DORA se v regulativnem smislu osredotoča na 5 ključnih stebrov:
- Upravljanje tveganj na področju IKT
- Poročanje o incidentih, povezanih z IKT
- Testiranje digitalne operativne odpornosti
- Upravljanje tveganj tretjih oseb na področju IKT
- Izmenjava informacij
Upravljanje tveganj na področju IKT
Finančni subjekti morajo vzpostaviti celovit okvir za upravljanje tveganj na področju IKT, ki vključuje:
vzpostavitev in vzdrževanje odpornih sistemov in orodij IKT, ki zmanjšujejo vpliv tveganja IKT.
prepoznavanje, klasifikacija in dokumentiranje kritične funkcije in sredstev
kontinuirano spremljanje vseh virov tveganj na področju IKT z namenom vzpostavitve zaščitnih in preventivnih ukrepov
vzpostavitev pravočasne zaznave neobičajnih dejavnosti
vzpostavitev namenske in celovite politike neprekinjenega poslovanja ter strategije obnove po nesreči, vključno s testiranjem načrtov na letni ravni, kar zajema vse podporne funkcije
vzpostavitev mehanizmov za izobraževanje in razvoj tako na podlagi zunanjih dogodkov kot tudi lastnih IKT incidentov
Poročanje o incidentih, povezanih z IKT
Finančni subjekti so dolžni:
razviti poenostavljen postopek za beleženje/razvrščanje vseh incidentov, povezanih z IKT in opredeliti večje incidente v skladu z merili, natančno opredeljenimi v Uredbi, ki so jih podrobneje določili evropski nadzorni organi (EBA, EIOPA in ESMA).
predložiti začetno, vmesno in končno poročilo o incidentih, povezanih z IKT
uskladiti poročanje o incidentih, povezanih z IKT s pomočjo standardnih predlog, kot so jih razvili organi ESA
Testiranje digitalne operativne odpornosti
Uredba od vseh subjektov zahteva, da:
na letni ravni opravijo osnovno testiranje orodij in sistemov s področja IKT
prepoznajo, zmanjšajo in nemudoma odpravijo morebitne slabosti, pomanjkljivosti ali vrzeli z izvajanjem protiukrepov redno izvajajo penetracijsko testiranje na podlagi analize groženj (TLPT) za storitve s področja IKT, ki vplivajo na kritične funkcije. Tretji ponudniki storitev IKT so dolžni v celoti sodelovati pri testiranju
Upravljanje tveganj tretjih oseb na področju IKT
Finančni subjekti so dolžni:
- zagotoviti ustrezno spremljanje tveganj, ki izhajajo iz opiranja na tretje ponudnike storitev IKT
- poročati o celovitem registru zunanjih dejavnosti, ki jih izvajajo, vključno s storitvami znotraj skupine, in o kakršnih koli spremembah, ko gre za zunanje izvajanje kritičnih storitev s strani tretjih ponudnikov storitev IKT
- upoštevati tveganje koncentracije IT in tveganja, ki izhajajo iz dejavnosti zunanjega izvajanja
- uskladiti ključne elemente storitve in odnos s tretjimi ponudniki IKT, da se omogoči »popoln« nadzor
- zagotoviti, da pogodbe s tretjimi ponudniki IKT vsebujejo vse potrebne podrobnosti o spremljanju in dostopnosti, kot je opis nivoja celotne storitve, navedba lokacij, kjer se podatki obdelujejo ipd.
- za ključne tretje ponudnike storitev IKT bo veljal Okvir nadzora Unije, ki lahko izda priporočila o ublažitvi ugotovljenih tveganj na področju IKT. Finančni subjekti morajo upoštevati tveganja tretjih oseb na področju IKT za svoje ponudnike storitev, ki ne upoštevajo opredeljenega priporočila.
Izmenjava informacij
- Uredba omogoča finančnim subjektom, da med seboj vzpostavijo dogovore o izmenjavi informacij in obveščevalnih podatkov o kibernetskih grožnjah.
- Nadzorni organ bo finančnim subjektom zagotovil ustrezne anonimizirane informacije in obveščevalne podatke o kibernetskih grožnjah. Zato morajo subjekti izvajati mehanizme za pregled in ukrepanje v zvezi z informacijami omenjenih organov.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Za več informacij nas kontaktirajte:
Thomas Magill
Odgovorni partner za državo družbe, PwC Slovenia
Tomaš Besinsky
Vodja področja upravljanja organizacijskih tveganj, PwC Slovenia
Pridružite se nam na
