DORA (Digital Operational Resilience Act) je nový evropský rámec pro efektivní a komplexní řízení digitálních rizik na finančních trzích.
Finanční subjekty jsou povinny nastavit komplexní rámec řízení rizik ICT, musí tedy:
Finanční subjekty jsou povinny:
Finanční subjekty jsou povinny:
Finanční subjekty jsou povinny:
Nařízení DORA vstoupilo v platnost 16. ledna 2023. S přihlédnutím k implementačnímu období v délce dva roky se očekává, že finanční subjekty budou v souladu s nařízením nejpozději do 17. ledna 2025.
Nařízení DORA vnímáme zároveň jako výzvu a příležitost pro finanční subjekty, protože celoevropské jednotné požadavky pro ně znamenají, že musí zajistit konzistentní úroveň vyspělosti kybernetické bezpečnosti a provozní odolnosti v celém rámci svého působení v EU. Během dvouletého období příprav bude potřeba zvážit, implementovat a demonstrovat mnoho věcí.
Finanční instituce by již nyní měly provádět komplexní hodnocení vyspělosti dotčených oblastí, aby mohly posoudit svůj soulad vůči požadavkům DORA, stanovit priority a včas identifikovat všechny oblasti, které budou vyžadovat další investice. Vaše podnikání bude díky tomu v lepší pozici pro řešení složitějších požadavků, jako je například řízení rizik v dodavatelském řetězci, threat intelligence či pokročilé bezpečnostní testování. To vám poskytne konkurenční výhodu na trhu.
DORA vnímáme jako významnou změnu pro subjekty v rámci dohledu ESMA (Evropský orgán pro cenné papíry a trhy) či EIOPA (Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění), ale také pro banky, které již musí být v souladu se stávajícími směrnicemi EBA (Evropský orgán pro bankovnictví) o bankovním dohledu.
DORA také rozšiřuje svou působnost o další zainteresované strany ve finančním sektoru, na které se dosud nevztahovala rozsáhlá regulace bezpečnosti ICT, např. poskytovatelé služeb kryptoaktiv, zprostředkovatelé alternativních investičních fondů, poskytovatelé služeb crowdfundingu a cloudových služeb či poskytovatelé „third-party“ služeb ICT.
Jelikož se DORA silně zaměřuje na management rizik třetích stran, subjekty by se měly přesvědčit o jejich odolnosti. To bude vyžadovat úzkou spolupráci a společné úsilí, zejména pokud třetí strany podporují důležité obchodní služby.
Vzhledem k širokému záběru DORA je zjevné, že pokrývá i témata, která jsou již v České republice zohledněna stávajícími předpisy.
Nicméně některá témata, jako je například threat intelligence či threat-led penetrační testování, mají nový charakter, a vyžadují proto zvýšenou pozornost. Další výzvou, kterou vidíme, je schopnost vytvořit kompletní viditelnost a pochopit všechny klíčové závislostí mezi vaším subjektem a vašimi kritickými poskytovateli ICT služeb.
Nařízení DORA by tedy mělo být spouštěčem pro zlepšení vaší digitální provozní odolnosti bez ohledu na to, kde se z hlediska vyspělosti právě nacházíte. Počáteční gap analýza a maturity assessment jsou skvělým výchozím bodem.
Již jsme podpořili řadu klientů v jejich úsilí o kybernetickou bezpečnost a odolnost. Obecně platí, že subjekty, které dodržují aktuální regulační požadavky v souladu se současnými auditorskými postupy, mohou mít lepší pozici k implementaci většiny požadavků DORA. Přesto naše poselství zní: Nebuďte lhostejní. Neexistuje nic jako „příliš odolný“ nebo „příliš bezpečný“. Pamatujte, že čím jste odolnější než Vaši konkurenti, tím větší jsou vaše konkurenční výhody.
Ondřej Linhart
Information Security Management Leader, PwC Česká republika
Tel: +420 732 633 983