Evropské nařízení o digitální provozní odolnosti finančního sektoru (tzv. DORA) přináší od 17. ledna 2025 zásadní změny, které ovlivní finanční instituce, poskytovatele IKT služeb a další účastníky finančního trhu. Tato nová pravidla přinášejí přísnější požadavky na řízení IKT rizik, kybernetickou bezpečnost a testování digitální odolnosti.
Co přináší DORA?
Cílem DORA je zajištění adekvátní digitální provozní odolnosti, tedy schopnosti finančních institucí odolávat vnitřním a vnějším negativním vlivům, které mohou dopadat na informační systémy, bezpečnostní systémy nebo jakákoli další digitální řešení, která finanční instituce využívají ke svým obchodním činnostem.
DORA přináší nové požadavky zejména pro řízení rizik spojených s digitálními řešeními, která využívají účastníci finančního trhu pro své obchodní činnosti nebo pro digitální řešení, která tyto činnosti podporují.
Nové požadavky rovněž upravují pravidla pro hlášení a řešení incidentů spojených s digitálními řešeními, testování odolnosti digitálních řešení a řízení rizik při zajišťování digitálních služeb prostřednictvím třetích stran.
Koho se DORA týká?
DORA zasahuje širokou škálu finančních institucí a fintechů, jakož i dalších subjektů. DORA bude dopadat například na banky a jiné úvěrové instituce, poskytovatele platebních služeb, externí poskytovatele digitálních služeb, poskytovatele crowdfundingu, obchodníky s cennými papíry nebo poskytovatele služeb souvisejících s kryptoaktivy.
Jelikož DORA dopadá na širokou škálu finančních institucí, tak zohledňuje princip proporcionality, tedy princip, který umožňuje finančním institucím vyhodnotit, do jaké hloubky, v odkazu na jejich velikost, rizikový profil jejich podnikání apod., budou dodržovat požadavky DORA.
Zapojení mikropodniků
DORA rovněž počítá s benevolentnějšími požadavky pro mikropodniky:
- mikropodniky budou mít možnost některá ustanovení DORA dodržovat ve zjednodušeném režimu;
- mikropodniky nebudou mít povinnost některá ustanovení DORA dodržovat. Jedná se například o některá ustanovení vyžadující vytvoření některých pracovních pozic (např. osoba zodpovědná za dohled nad externě zajišťovanými digitálními službami, osoba odpovědná za řízení a kontrolu specifických rizik v digitální oblasti a osoba odpovědná za funkční řízení krizí v digitální oblasti).
Mikropodnikem je zejména takový subjekt, který zaměstnává (na základě pracovněprávního poměru) méně než 10 osob a jeho roční obrat nepřekračuje 48.550.000 Kč.
Řízení IKT rizik (ICT rizik)
Finanční instituce v režimu DORA budou nově muset implementovat detailní proces a strategii pro řízení IKT rizik spojených s jejich informačními systémy nebo dalšími digitálními řešeními.
Procesy a strategie pro řízení rizik musí zohledňovat zejména různorodost IKT rizik dopadajících na jednotlivé části jejich informačních systémů nebo jiných digitálních řešení, která využívají. Tyto procesy bude nutné řádně zaznamenat, periodicky kontrolovat a aktualizovat tak, aby byla zajištěna, co největší bezpečnost a odolnost vůči identifikovaným rizikům.
Řídit IKT rizika budou povinny finanční instituce rovněž v situacích, kdy části svých informačních systémů, nebo jiných digitální řešení, zajišťují prostřednictvím třetích stran.
Nově budou finanční instituce identifikovat a hodnotit IKT rizika spojená s poskytováním digitálních služeb třetími stranami. Dále pak zvláště tzv. riziko koncentrace, tedy takové riziko, které vzniká při zajišťování vícero digitálních služeb jedním poskytovatelem z řad třetích stran. Riziko koncentrace může mít, při selhání poskytovatele z řad třetích stran, rozsáhlý negativní dopad na finanční instituci, a proto mu bude muset být věnována zvýšená pozornost.
Hlášení incidentů
Finanční instituce budou povinny implementovat strategii pro hlášení incidentů spojených s informačními systémy nebo dalšími digitálními řešeními. Hlášení budou finanční instituce podávat České národní bance v předem daném formátu a šablonách. Cílem hlášení incidentů je jakási kontrola ze strany České národní banky, že finanční instituce řádně řídila rizika před vznikem incidentu nebo že finanční instituce řádně implementovala a využila strategií pro jejich předcházení a řádně využila strategii pro řešení incidentů. Strategie pro řešení incidentů by měla minimalizovat negativní dopady incidentu na podnikání finanční instituce.
Testování
Finanční instituce budou povinny implementovat procesy pro testování jejich digitální provozní odolnosti. Toto testování se bude skládat z velké škály testů, jenž budou muset být prováděny.
Testování bude prováděno na základě metodik, postupů a nástrojů, jenž budou muset být interně implementovány. Finanční instituce budou rovněž muset provádět alespoň jednou za tři roky penetrační testování na základě hrozeb (tzv. TLPT, nebo Threat-Led Penetration Testing). Cílem testování je odhalení jakýchkoli nedostatků na poli digitální provozní odolnosti napříč finanční institucí a odhalení nutnosti pro revize, či aktualizace dosavadních bezpečnostních pravidel a postupů.
