DORA: Prečo je regulačný rámec DORA relevantný aj pre vašu organizáciu?
Nariadenie o digitálnej prevádzkovej bezpečnosti finančného sektora (DORA) je nový európsky legislatívny rámec pre efektívne a komplexné riadenie odolnosti finančných inštitúcií.
Nariadenie presúva pozornosť od zaručenia finančného zdravia organizácií na zaistenie, že organizácie sú schopné udržať odolnú prevádzku aj v prípade vážneho narušenia spôsobeného problémami s informačno-komunikačnými technológiami (IKT).
Zavedením jednotného konzistentného prístupu k dohľadu v príslušných sektoroch DORA zabezpečuje konvergenciu a harmonizáciu postupov v oblasti bezpečnosti a odolnosti v organizáciách celej EÚ.
To najdôležitejšie za 30 sekúnd
Prečo je DORA relevantná?
- DORA sa vzťahuje na viac ako 22 000 finančných subjektov a poskytovateľov IKT služieb pôsobiacich v rámci EÚ. Nariadenie zavádza špecifické a normatívne požiadavky pre všetkých účastníkov finančného trhu, ako sú napr. banky, investičné spoločnosti, poisťovne, zaisťovne, sprostredkovatelia, poskytovatelia kryptoaktív či poskytovatelia cloudových služieb.
- Nariadenie DORA predstavuje komplexný rámec efektívneho riadenia rizík, ako aj operačných schopností IKT a kybernetickej bezpečnosti tretích strán. Nariadenie tým zabezpečuje konzistentné poskytovanie služieb v rámci celého hodnotového reťazca.
- Jedinečnosť nariadenia spočíva v zavedení celoúniového rámca dohľadu nad poskytovateľmi kritických IKT tretích strán. Týchto poskytovateľov určia európske orgány dohľadu (ESA).
Odkedy sa bude dodržiavanie nariadenia DORA vyžadovať?
Platnosť nariadenia DORA je od 14.12.2022. Po dvojročnom období implementácie sa očakáva, že finančné subjekty budú v súlade s nariadením najneskôr začiatkom roka 2025.
Dňa 24. septembra 2020 Európska komisia zverejnila svoj návrh nariadenia o digitálnej prevádzkovej odolnosti finančného sektora (DORA) ako súčasť balíka digitálnych financií (DFP).
Po zverejnení návrhov Európskeho parlamentu a Rady týkajúcich sa nariadenia DORA sa viedli politické a technické trialógy počas prvého polroka 2022. Európska rada prijala DORA 28. novembra 2022 po tom, ako Európsky parlament 10. novembra nariadenie schválil.
Nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie. Očakávame, že prvé regulačné a implementačné technické normy (RTS a ITS) vypracujú európske orgány dohľadu (ESA).
Európske orgány dohľadu definujú a vydajú viacero regulačných a vykonávacích technických noriem. Poskytnú subjektom návod, ako implementovať špecifické požiadavky nariadenia DORA.
Požiadavky DORA sú vynútiteľné 24 mesiacov po nadobudnutí účinnosti. Očakáva sa preto, že finančné subjekty budú v súlade s nariadením DORA od 17. januára 2025.
Náš pohľad na nariadenie DORA pre subjekty pôsobiace na Slovensku
Vzhľadom na široký záber DORA je veľmi pravdepodobné, že nariadenie sa zaoberá mnohými témami, ktoré už boli zohľadnené v existujúcich predpisoch na Slovensku.
Napriek tomu majú niektoré témy, ako je threat intelligence alebo penetračné testovanie založené na hrozbách, nový charakter, a preto si vyžadujú zvýšenú pozornosť. Ďalšou výzvou, ktorú v súvislostí s DORA v PwC vidíme, je rozvoj prehľadnosti a pochopenie všetkých kľúčových závislostí medzi vašou entitou a vašimi kritickými poskytovateľmi IKT služieb.
Bez ohľadu na to, na akej úrovni vyspelosti odolnosti sa ako organizácia nachádzate, DORA môže slúžiť ako spúšťač na významné zvýšenie úrovne celkovej digitálnej odolnosti organizácie.
Vo všeobecnosti môžu mať subjekty, ktoré uplatňujú súčasné regulačné požiadavky v súlade so súčasnými audítorskými postupmi, lepšiu pozíciu na implementáciu väčšiny požiadaviek DORA. Aj vďaka tomu, že sme doposiaľ podporili mnohých klientov v ich úsilí o kybernetickú bezpečnosť a digitálnu odolnosť, naše posolstvo znie jednoznačne: nebuďte spokojní. Neexistuje nič také ako „príliš odolný“ alebo „príliš bezpečný“. Pamätajte, že v konečnom dôsledku čím ste odolnejší ako vaši konkurenti, tým väčšie sú vaše konkurenčné výhody.
Nariadenie DORA – a čo teraz?
DORA vnímame zároveň ako výzvu a príležitosť pre finančné subjekty. Jednotné požiadavky DORA platné pre celú EÚ znamenajú, že finančné subjekty musia zabezpečiť riadenie konzistentnej úrovne vyspelosti kybernetickej bezpečnosti a prevádzkovej odolnosti vo všetkých svojich operáciách v EÚ.
S dvojročným obdobím určeným na prípravu je množstvo oblastí, ktoré je nutné vyhodnotiť a implementovať.
Finančné inštitúcie budú odteraz vykonávať komplexné hodnotenia nedostatkov, aby zhodnotili ich vyspelosť voči DORA, a včas identifikovali všetky oblasti, ktoré si vyžadujú ďalšie investície, a následne stanovili priority ich realizácie. Vďaka tomu bude vaša organizácia v lepšej pozícii na riešenie komplexnejších požiadaviek, akými sú riadenie rizík dodávok, threat intelligence alebo pokročilé testovanie bezpečnosti.
DORA vnímame ako významnú zmenu pre subjekty v rámci dohľadu ESMA alebo EIOPA, ale aj pre banky, ktoré už museli dodržiavať existujúce smernice EBA o bankovom dohľade. DORA rozširuje svoju pôsobnosť aj o ďalšie zainteresované strany vo finančnom sektore, ktoré doteraz nepodliehali rozsiahlej regulácii bezpečnosti IKT, napr. poskytovatelia služieb kryptoaktív, správcovia sprostredkovateľov alternatívnych investičných fondov, poskytovatelia služieb kolektívneho financovania, poskytovatelia cloudových služieb a poskytovatelia služieb IKT tretích strán.
Vzhľadom na silné zameranie na riadenie rizík tretích strán sa od subjektov očakáva, že sa presvedčia o odolnosti tretích strán. To si bude vyžadovať úzku interakciu a spoločné úsilie s ich kritickými poskytovateľmi služieb IKT, najmä ak podporujú poskytovanie dôležitých obchodných služieb.
DORA sa zameriava na 5 kľúčových pilierov
- IKT Risk management
- IKT Incident reporting
- Testovanie digitálnej operačnej odolnosti
- IKT Risk management tretích strán
- Zdieľanie informácií
IKT Risk management
Od finančných subjektov sa vyžaduje, aby vytvorili komplexný rámec riadenia rizík IKT, ktorý zahŕňa:
- vytvoriť a udržiavať odolné systémy a nástroje IKT, ktoré minimalizujú vplyv IKT rizika,
- identifikovať, klasifikovať a dokumentovať kritické funkcie a aktíva,
- neustále monitorovať všetky zdroje rizík IKT s cieľom nastaviť vhodné ochranné a preventívne opatrenia,
- zabezpečiť rýchlu detekciu anomálnych činností,
- zaviesť špecializované a komplexné politiky kontinuity podnikania a plány po havárii a obnove vrátane ročného testovania plánov pokrývajúceho všetky podporné funkcie,
- vytvoriť mechanizmy na učenie sa z externých udalostí, ako aj z vlastných incidentov.
IKT Incident reporting
Finančné subjekty sú povinné:
- vyvinúť zrozumiteľný proces na zaznamenávanie/klasifikáciu všetkých incidentov v oblasti IKT a určovanie závažných incidentov podľa kritérií podrobne opísaných v nariadení a bližšie špecifikovaných európskymi orgánmi dohľadu (EBA, EIOPA a ESMA),
- predložiť úvodnú, priebežnú a záverečnú správu o incidentoch súvisiacich s IKT,
- harmonizovať oznamovanie incidentov súvisiacich s IKT prostredníctvom štandardizovaných vzorov, ktoré vypracovali ESA.
Testovanie digitálnej operačnej odolnosti
Nariadenie vyžaduje od subjektov:
- každoročne vykonávať základné IKT testovanie nástrojov a systémov IKT,
- identifikovať, zmierniť a urýchlene odstrániť akékoľvek slabé stránky, nedostatky alebo medzery implementáciou protiopatrení,
- pravidelne vykonávať pokročilé penetračné testovanie (TLPT) pre služby IKT, ktoré ovplyvňujú kritické funkcie. Od poskytovateľov služieb IKT tretích strán sa vyžaduje, aby sa zúčastnili a plne spolupracovali na testovacích činnostiach.
IKT Risk management tretích strán
Finančné subjekty sú povinné:
- zabezpečiť dôkladné monitorovanie rizík, ktoré plynú od poskytovateľov IKT tretích strán,
- nahlásiť svoj kompletný register outsourcovaných činností vrátane vnútroskupinových služieb a akékoľvek zmeny v zadávaní kritických služieb externým poskytovateľom služieb IKT,
- brať do úvahy riziko koncentrácie IT a riziká vyplývajúce z činností sub-outsourcingu,
- harmonizovať kľúčové prvky služby a vzťah s poskytovateľmi IKT, ktorí sú tretími stranami, s cieľom umožniť „úplné“ monitorovanie,
- zabezpečiť, aby zmluvy s poskytovateľmi IKT tretích strán obsahovali všetky potrebné podrobnosti o monitorovaní a dostupnosti, ako je opis úrovne kompletných služieb, označenie miest, kde sa údaje spracúvajú, atď.
- Poskytovatelia kritických IKT služieb tretích strán budú podliehať rámcu dohľadu Únie, ktorý môže vydávať odporúčania na zmiernenie identifikovaných rizík IKT. Finančné subjekty musia zvážiť riziká IKT tretích strán svojho poskytovateľa služieb, ktorý sa neriadi definovaným odporúčaním.
Zdieľanie informácií
- Nariadenie umožňuje finančným subjektom uzavrieť medzi sebou dohody o výmene informácií (aj spravodajských) o kybernetických hrozbách,
- dozorný orgán bude poskytovať relevantné anonymizované informácie a spravodajské informácie o kybernetických hrozbách finančným subjektom. Subjekty by preto mali zaviesť mechanizmy na preskúmanie informácií zdieľaných orgánmi a na následné prijímanie opatrení.
Kontaktujte nás
