DORA

Přehled

Nařízení o digitální provozní odolnosti (DORA) stanoví jednotné požadavky na bezpečnost a odolnost sítí a informačních systémů podporujících obchodní procesy finančních subjektů. Zároveň vytváří rámec pro dohled nad kritickými poskytovateli ICT služeb třetích stran.^[1]

DORA je nařízení, což znamená, že se přímo uplatňuje ve všech členských státech EU bez potřeby implementace do národního práva.

Subjekty v rozsahu

Finanční subjekty^[2]

• Kreditní instituce (banky)
• Platební instituce
• Instituce elektronických peněz
• Investiční firmy
• Pojišťovací a zajišťovací podniky
• Centrální depozitáře cenných papírů
• Obchodní registry
• Agentury pro hodnocení úvěrové spolehlivosti
• Poskytovatelé služeb s kryptoaktivy
• Poskytovatelé crowdfundingových služeb
• Poskytovatelé služeb reportování dat

Kritičtí poskytovatelé ICT třetích stran

Evropské orgány dohledu určují kritické poskytovatele ICT služeb na základě:

• Systémového dopadu v případě selhání poskytovatele
• Stupně nahraditelnosti
• Počtu finančních subjektů závislých na poskytovateli

Určení poskytovatelé podléhají rámci dohledu EU.

Pět pilířů DORA

1. Řízení rizik ICT (kapitola II)

Finanční subjekty musí zavést a udržovat:

• Řízení: Odpovědnost představenstva za strategii ICT rizik
• Rámec rizik: Identifikace, ochrana, detekce, reakce, zotavení
• Dokumentaci: Politiky, postupy a protokoly pro bezpečnost ICT
• Testování: Pravidelné hodnocení ICT systémů a nástrojů

2. Hlásení incidentů ICT (kapitola III)^[3]

Významné incidenty související s ICT musí být hlášeny pomocí standardizovaných šablon.

3. Testování digitální provozní odolnosti (kapitola IV)

Testování musí zahrnovat: hodnocení zranitelností, hodnocení bezpečnosti sítí, revize bezpečnosti softwaru, revize zdrojového kódu (kde je to možné), testování založené na scénářích a testování kompatibility.

4. Řízení rizik třetích stran (kapitola V)^[4]

Finanční subjekty musí:

• Vést registr všech ICT smluv s třetími stranami
• Provádět due diligence před uzavřením smlouvy
• Posuzovat rizika koncentrace
• Zahrnout povinné smluvní ustanovení
• Definovat strategie ukončení
• Hlásit smlouvy kompetentním orgánům

Povinné smluvní podmínky zahrnují popisy úrovně služeb, povinnosti ochrany dat, práva na přístup a audit, požadavky na hlášení incidentů a práva na ukončení s podporou přechodu.

5. Sdílení informací (kapitola VI)

Finanční subjekty mohou v rámci důvěryhodných komunit vyměňovat informace o kybernetických hrozbách za podmínek důvěrnosti, aby posílily kolektivní obranu.

Proporcionálnost

DORA uplatňuje proporcionálnost na základě velikosti a rizikového profilu subjektu, povahy, rozsahu a složitosti služeb a systémového významu.

Zjednodušené požadavky platí pro malé a nepropojené investiční firmy, platební a instituce elektronických peněz pod určitými prahy a některé pojišťovací zprostředkovatele.

Sankce

Kompetentní orgány mohou uložit:^[5]

• Správní pokuty
• Pravidelné peněžní sankce
• Veřejná prohlášení
• Odnětí oprávnění
• Dočasné zákazy výkonu řídících funkcí

Konkrétní částky stanoví právo členských států.

Dopady pro vývojáře a poskytovatele ICT

Pokud poskytujete ICT služby finančnímu sektoru:

1. Revize smluv: Zajistěte, aby smlouvy splňovaly požadavky DORA
2. Hlásení incidentů: Zaveďte kanály pro hlášení klientům
3. Podpora testování: Umožněte klientům testování průniku
4. Plánování ukončení: Umožněte řádný přechod při ukončení smluv
5. Vědomí koncentrace: Sledujte závislosti na vašich službách
6. Kritické označení: Připravte se na možný dohled EU