Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Text s významem pro EHP) alias „DORA“
DORA je nařízením EU(1). Nařízením EU se členské země řídí od data platnosti a je závazné v celém rozsahu.
V platnost DORA vstoupila dne 16. ledna 2023. Od tohoto dne mají definované finanční instituce 24 měsíců na implementaci nových požadavků ve svých procesech. Nařízení se použije ode dne 17. ledna 2025.
Cílem nařízení je připravenost, odolnost, schopnost rychlé reakce na výpadky a útoky s následnou obnovou v rámci kontinuity poskytování kritických funkcí a služeb s minimálními dopady pro zákazníky a finanční systém jako celek. DORA se zaměřuje na oblast informační a komunikační technologie (IKT).
Mnohé výjimky z nařízení a zjednodušené požadavky platí pro finanční subjekty, které jsou mikropodniky a dalšími specifickými subjekty.
Nařízení bude mít dopad na nemalý počet finančních institucí. V nařízení se ovšem uplatňuje zásada proporcionality čili požadavky nařízení se aplikují s přihlédnutím k velikosti organizace, celkovému rizikovému profilu, povaze, rozsahu a složitosti poskytovaných služeb, činností a operací. Zásady mohou příslušné orgány zvážit po vyžádaném přezkumu rámce řízení rizik subjektu.
Finanční subjekty se identifikují, zda spadají do působnosti nařízení(2). Dohledové orgány pouze identifikují kritické poskytovatele služeb IKT z řad třetích stran (dále „dodavatel IKT služeb”) dle konkrétních kritérií. Poskytovatel může sám požádat o identifikaci kritického poskytovatele.
Rámec řízení rizik
DORA mimo jiné nařizuje rámec řízení rizik v oblasti ITK, při které finanční instituce identifikují a zdokumentují svá aktiva a funkce v rámci svého kontextu společnosti, provedou analýzu rizik a nastaví procesy (řízení kontinuity provozu, řízení změn, řízení komunikací, řízení rozvoje atp.) tak, aby bylo umožněno řešit „…riziko rychle, účinně a komplexně a zajistit vysokou míru digitální provozní odolnosti”.
Vedoucí orgán
Dle nařízení DORA má vedoucí orgán finančního subjektu plnou a konečnou zodpovědnost za řízení rizika subjektu v oblasti IKT, , stanoví a schvaluje veškerá opatření související s rámcem pro řízení rizika v oblasti IKT, dohlíží na jejich provádění a odpovídá za něj. Důvodem je také přidělování a přezkum odpovídajících rozpočtových prostředků na pokrytí potřeb digitální provozní odolnosti subjektu právě vedoucím orgánem. Ten také přezkoumává rizika v souvislosti se smlouvami o využívání služeb IKT dodavateli podporujících zásadní nebo důležité funkce.
Školení
Kvůli dané odpovědnosti vedoucího orgánu také „Členové vedoucího orgánu finančního subjektu mají aktivně usilovat o dosažení dostatečných znalostí ohledně řízení či pochopení a hodnocení rizika.”. DORA ovšem obecně požaduje vypracování povinných modulů školení všech zaměstnanců ke zvyšování povědomí o bezpečnosti v oblasti IKT a školení o digitální provozní odolnosti.
Hlášení incidentů
DORA nařizuje řídit a hlásit závažné incidenty související s IKT příslušným orgánům. Finanční subjekty zaznamenávají veškeré incidenty související s IKT a závažné kybernetické hrozby. DORA umožňuje finančním subjektům „…dobrovolně oznamovat vážné kybernetické hrozby relevantnímu příslušnému orgánu, pokud se domnívají, že kybernetická hrozba je relevantní pro finanční systém, uživatele služeb nebo klienty“.
Platí výjimka pro úvěrové instituce, platební instituce, poskytovatelé služeb informování o účtu a instituce elektronických peněz, které budou hlásit všechny provozní nebo bezpečnostní incidenty související s platbami.
Testování digitální odolnosti
Nařízení požaduje povinné testy digitální odolnosti všech systémů a aplikací IKT podporujících zásadní nebo důležité funkce, a to alespoň jednou ročně.
Pro označené finanční subjekty bude povinností jednou za tři roky provést pokročilé testování s využitím penetračního testování na základě hrozeb, které „…pokrývá některé nebo všechny zásadní nebo důležité funkce finančního subjektu a provádí se za provozu…“ Subjekt určí rozsah penetračního testování, a ten bude muset být potvrzen příslušnými orgány. Nařízení zmiňuje, že pokročilé testy by se měly „…týkat malého procenta finančních subjektů.”.
Sdílení informací
V neposlední řadě DORA umožní sdílení informací mezi finančními subjekty s ohledem na hrozby v oblasti IKT, možných taktik, technik apod. Z nařízení vyplývá, že sdílení bude řízeno příslušným orgánem, se zachováním důvěry informací a dodržování pokynů týkajících se hospodářské soutěže.
Dodavatelé služeb IKT
Nedílnou součástí DORA je řízení rizik spojených s třetími stranami v oblasti IKT, tedy s dodavateli služeb IKT. Nová ujednání se budou hlásit orgánům. Finanční subjekt smí uzavírat smluvní ujednání pouze s poskytovateli služeb IKT z řad třetích stran, kteří splňují příslušné normy v oblasti bezpečnosti informací. Kromě prvotní Due Diligence a analýzy rizik by smlouvy s těmito dodavateli by měly obsahovat například i právo na přístup, kontrolu a audit, právo pořizovat si kopie či ujednání součinnosti ke společnému testování. Finanční subjekt smluvně zajistí, aby ujednání bylo možné ukončit v případě ohrožení údajů, plnění ujednání či změny situace dodavatele, nebo nemožnost efektivního dohledu orgánem.
Nejdůležitější jsou pro finanční subjekty takoví dodavatelé, kteří podporují zásadní nebo důležité funkce finančního subjektu. U smluv s těmito dodavateli zavedou finanční subjekty strategie ukončení smluvního vztahu tak, aby nedošlo k narušení činnosti subjektu, porušení regulací či zhoršení kontinuity a kvality služeb. Subjekty dále identifikují alternativní řešení a vypracují plány přechodu, které jim umožní bezpečný a integrovaný přenos k alternativnímu poskytovateli.
Nařízení DORA obsahuje samostatnou kapitolu k řízení rizik spojeného s třetími stranami, včetně kritických poskytovatelů. Hlavní orgán dohledu bude teprve určen. Z nařízení uvedeme pro vyjasnění následující dva odstavce.
„Nařízení by se mělo vztahovat na širokou škálu poskytovatelů služeb IKT z řad třetích stran, včetně poskytovatelů cloudových služeb, softwaru, služeb analýzy dat a poskytovatelů služeb datových center. Podobně vzhledem k tomu, že by finanční subjekty měly účinně a jednotně identifikovat a řídit všechny druhy rizika, a to i v souvislosti se službami IKT pořízenými v rámci finanční skupiny, mělo by být vyjasněno, že podniky, které jsou součástí finanční skupiny a poskytují služby IKT převážně svému mateřskému podniku nebo dceřiným podnikům či pobočkám svého mateřského podniku, jakož i finanční subjekty poskytující služby IKT jiným finančním subjektům, by měly být rovněž považovány za poskytovatele služeb IKT z řad třetích stran podle tohoto nařízení.“
„A s ohledem na nově se objevující druhy platebních služeb a řešení související s platbami by účastníci ekosystému platebních služeb, kteří poskytují činnosti zpracování plateb nebo provozují platební infrastruktury, měli být rovněž považováni za poskytovatele služeb IKT z řad třetích stran podle tohoto nařízení, s výjimkou centrálních bank při provozování platebních systémů nebo systémů vypořádání obchodů s cennými papíry a veřejných orgánů při poskytování služeb souvisejících s IKT v kontextu státní správy.“
Doplnění nařízení
Obsazení rolí orgánů a mnohé konkrétní technické normy, vzory a kritéria budou doplňovány. Prvním termínem, kdy mají orgány dodat své návrhy zřízené komisi k tomuto nařízení, je leden 2024.
Suma sumárum
Soulad s DORA přináší nastavení zdokumentovaných procesů a technologickou odolnost pro zajištění kontinuity činností finančních subjektů, která bude pravidelně dokladována reálnými testy. Nejedná se tedy v žádném případě o další “papírové cvičení do šuplíku”.
Doporučujeme finančnímu subjektu relevantně naplnit požadavky dle zákona o kybernetické bezpečnosti, protože obě regulace uplatňují obdobné strategie s cílem ochránit aktiva a kontinuitu služeb či produktů, ať už pro zákazníky nebo stát.
S připraveností k souladu s DORA nařízením je vhodné začít již nyní, a to minimálně z pohledu posouzení maturity organizace a GAP analýzy stavu organizace s požadavky nařízení. Dle relevance může být potřeba nastavit také strategii k implementaci vhodné infrastruktury a samotného zavedení požadovaných procesů.
Ještě slovo k NIS 2
NIS 2 (3) je směrnicí, která vyžaduje, aby členské státy EU dosáhly určitého výsledku, ale ponechávají jim svobodu volby v tom, jak to učiní. NIS 2 bude opět rozpracován do novely zákona o kybernetické bezpečnosti.
NIS 2 – Směrnice Evropského parlamentu a Rady (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148
NIS 2 a DORA se vzájemně nevylučují, bude-li subjekt spadat do platnosti NIS 2, pak se DORA stává odvětvovým právním aktem. NIS 2 stanoví jednotné kritérium pro určení subjektů, které spadají do oblasti její působnosti (pravidlo velikosti), přičemž do její oblasti působnosti patří rovněž tři druhy finančních subjektů.
(1) Typy právních aktů EU – zdroj: https://commission.europa.eu/law/law-making-process/types-eu-law_cs
(2) Článek 2 (oblast působnosti) nařízení 2022/2554 (DORA) – zdroj: – https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32022R2554#d1e1167-1-1
(3) Směrnice 2022/2555 (NIS 2) – zdroj: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32022L2555&from=CS