DORA

Prehľad

Zákon o digitálnej prevádzkovej odolnosti (DORA) stanovuje jednotné požiadavky na bezpečnosť a odolnosť sieťových a informačných systémov podporujúcich obchodné procesy finančných subjektov. Tiež vytvára rámec pre dohľad nad kritickými poskytovateľmi ICT služieb tretích strán.^[1]

DORA je nariadenie, čo znamená, že sa uplatňuje priamo vo všetkých členských štátoch EÚ bez potreby transpozície.

Subjekty v rozsahu

Finančné subjekty^[2]

• Kreditné inštitúcie (banky)
• Platobné inštitúcie
• Inštitúcie elektronických peňazí
• Investičné firmy
• Poisťovne a zaisťovne
• Centrálny depozitáre cenných papierov
• Obchodné registre
• Agentúry na hodnotenie úverovej bonity
• Poskytovatelia služieb s kryptoaktívami
• Poskytovatelia crowdfundingových služieb
• Poskytovatelia služieb reportovania údajov

Kritickí poskytovatelia ICT tretích strán

Európske orgány dohľadu označujú kritických poskytovateľov ICT služieb na základe:

• Systémového dopadu v prípade zlyhania poskytovateľa
• Stupňa nahraditeľnosti
• Počtu finančných subjektov závislých od poskytovateľa

Označení poskytovatelia podliehajú rámcu dohľadu EÚ.

Päť pilierov DORA

1. Riadenie rizík ICT (Kapitola II)

Finančné subjekty musia zaviesť a udržiavať:

• Riadenie: Zodpovednosť predstavenstva za stratégiu rizík ICT
• Rámec rizík: Identifikácia, ochrana, detekcia, reakcia, obnova
• Dokumentácia: Politiky, postupy a protokoly pre bezpečnosť ICT
• Testovanie: Pravidelné hodnotenie ICT systémov a nástrojov

2. Hlásenie incidentov ICT (Kapitola III)^[3]

Väčšie incidenty súvisiace s ICT musia byť hlásené pomocou štandardizovaných šablón.

3. Testovanie digitálnej prevádzkovej odolnosti (Kapitola IV)

Testovanie musí zahŕňať: hodnotenia zraniteľností, hodnotenia bezpečnosti siete, revízie bezpečnosti softvéru, revízie zdrojového kódu (ak je to možné), testovanie na základe scenárov a testovanie kompatibility.

4. Riadenie rizík tretích strán (Kapitola V)^[4]

Finančné subjekty musia:

• Viesť register všetkých ICT dohôd s tretími stranami
• Vykonať náležitú starostlivosť pred uzatvorením zmluvy
• Posúdiť riziká koncentrácie
• Zahrnúť povinné zmluvné ustanovenia
• Definovať stratégie ukončenia
• Hlásiť dohody kompetentným orgánom

Povinné zmluvné podmienky zahŕňajú popisy úrovne služieb, povinnosti ochrany údajov, práva na prístup a audit, požiadavky na hlásenie incidentov a práva na ukončenie so zabezpečením prechodu.

5. Zdieľanie informácií (Kapitola VI)

Finančné subjekty môžu vymieňať informácie o kybernetických hrozbách v rámci dôveryhodných komunít, s rešpektovaním pravidiel dôvernosti, na posilnenie kolektívnej obrany.

Proporcionalita

DORA uplatňuje proporcionalitu na základe veľkosti a rizikového profilu subjektu, povahy, rozsahu a zložitosti služieb a systémovej dôležitosti.

Zjednodušené požiadavky sa vzťahujú na malé a neprepojené investičné firmy, platobné a inštitúcie elektronických peňazí pod určitými prahmi a niektorých poisťovacích sprostredkovateľov.

Pokuty

Kompetentné orgány môžu uložiť:^[5]

• Správne pokuty
• Pravidelné sankčné platby
• Verejné vyhlásenia
• Odňatie povolenia
• Dočasné zákazy výkonu riadiacich funkcií

Konkrétne sumy určuje právo členského štátu.

Dôsledky pre vývojárov a poskytovateľov ICT

Ak poskytujete ICT služby finančnému sektoru:

1. Kontrola zmlúv: Zabezpečte, aby zmluvy spĺňali požiadavky DORA
2. Hlásenie incidentov: Zaviesť kanály hlásenia klientom
3. Podpora testovania: Uľahčiť klientom testovanie penetrácie
4. Plánovanie ukončenia: Umožniť riadený prechod pri ukončení zmlúv
5. Poznanie koncentrácie: Monitorovať závislosti na vašich službách
6. Kritické označenie: Pripraviť sa na možný dohľad EÚ