DORA

Pregled

Uredba o digitalni operativni odpornosti (DORA) določa enotne zahteve za varnost in odpornost omrežnih in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov. Prav tako vzpostavlja okvir za nadzor kritičnih ponudnikov ICT storitev tretjih oseb.^[1]

DORA je uredba, kar pomeni, da se uporablja neposredno v vseh državah članicah EU brez prenosa v nacionalno zakonodajo.

Subjekti v obsegu

Finančni subjekti^[2]

• Kreditne institucije (banke)
• Plačilne institucije
• Institucije za elektronski denar
• Investicijska podjetja
• Zavarovalnice in zavarovalniški posredniki
• Centralni depozitarji vrednostnih papirjev
• Trgovski registri
• Agencije za bonitetne ocene
• Ponudniki storitev kripto-sredstev
• Ponudniki storitev množičnega financiranja
• Ponudniki storitev poročanja podatkov

Kritični ponudniki ICT tretjih oseb

Evropski nadzorni organi določajo kritične ponudnike ICT storitev na podlagi:

• Systemski vpliv v primeru odpovedi ponudnika
• Stopnje zamenljivosti
• Števila finančnih subjektov, ki se zanašajo na ponudnika

Določeni ponudniki so predmet okvira nadzora EU.

Pet stebrov DORA

1. Upravljanje tveganj ICT (Poglavje II)

Finančni subjekti morajo vzpostaviti in vzdrževati:

• Upravljanje: Odgovornost upravnega odbora za strategijo tveganj ICT
• Okvir tveganj: Identifikacija, zaščita, zaznavanje, odziv, okrevanje
• Dokumentacija: Politike, postopki in protokoli za varnost ICT
• Testiranje: Redna ocena ICT sistemov in orodij

2. Poročanje o incidentih ICT (Poglavje III)^[3]

Večje incidente, povezane z ICT, je treba poročati z uporabo standardiziranih obrazcev.

3. Testiranje digitalne operativne odpornosti (Poglavje IV)

Testiranje mora zajemati: ocene ranljivosti, ocene varnosti omrežja, preglede varnosti programske opreme, preglede izvorne kode (kjer je izvedljivo), testiranje na podlagi scenarijev in testiranje združljivosti.

4. Upravljanje tveganj tretjih oseb (Poglavje V)^[4]

Finančni subjekti morajo:

• Vzdrževati register vseh dogovorov z ICT tretjimi osebami
• Izvesti skrbni pregled pred sklenitvijo pogodbe
• Oceniti tveganja koncentracije
• Vključiti obvezne pogodbeno določene pogoje
• Določiti izstopne strategije
• Poročati o dogovorih pristojnim organom

Obvezni pogodbeni pogoji vključujejo opise ravni storitev, obveznosti varstva podatkov, pravice dostopa in revizije, zahteve za poročanje o incidentih ter pravice do prekinitve s podporo pri prehodu.

5. Izmenjava informacij (Poglavje VI)

Finančni subjekti lahko izmenjujejo informacije o kibernetskih grožnjah znotraj zaupanja vrednih skupnosti, ob upoštevanju pravil o zaupnosti, za izboljšanje kolektivne obrambe.

Sorazmernost

DORA uporablja sorazmernost glede na velikost in profil tveganja subjekta, naravo, obseg in kompleksnost storitev ter sistemsko pomembnost.

Poenostavljene zahteve veljajo za majhna in ne-povezana investicijska podjetja, plačilne in institucije za elektronski denar pod določenimi pragovi ter določene zavarovalniške posrednike.

Kazni

Pristojni organi lahko uvedejo:^[5]

• Upravne globe
• Periodične kazni
• Javne izjave
• Preklic dovoljenja
• Začasne prepovedi opravljanja upravljavnih funkcij

Specifični zneski so določeni z zakonodajo držav članic.

Posledice za razvijalce in ponudnike ICT

Če nudite ICT storitve finančnemu sektorju:

1. Pregled pogodb: Zagotovite, da pogodbe izpolnjujejo zahteve DORA
2. Poročanje o incidentih: Vzpostavite kanale za poročanje strankam
3. Podpora testiranju: Omogočite strankam testiranje penetracije
4. Načrtovanje izstopa: Omogočite urejen prehod ob prenehanju pogodb
5. Zavedanje o koncentraciji: Spremljajte odvisnosti od vaših storitev
6. Kritična oznaka: Pripravite se na morebitni nadzor EU