Nariadenie o digitálnej prevádzkovej bezpečnosti finančného sektora (DORA) je nový európsky legislatívny rámec pre efektívne a komplexné riadenie odolnosti finančných inštitúcií.
Nariadenie presúva pozornosť od zaručenia finančného zdravia organizácií na zaistenie, že organizácie sú schopné udržať odolnú prevádzku aj v prípade vážneho narušenia spôsobeného problémami s informačno-komunikačnými technológiami (IKT).
Zavedením jednotného konzistentného prístupu k dohľadu v príslušných sektoroch DORA zabezpečuje konvergenciu a harmonizáciu postupov v oblasti bezpečnosti a odolnosti v organizáciách celej EÚ.
Platnosť nariadenia DORA je od 14.12.2022. Po dvojročnom období implementácie sa očakáva, že finančné subjekty budú v súlade s nariadením najneskôr začiatkom roka 2025.
Vzhľadom na široký záber DORA je veľmi pravdepodobné, že nariadenie sa zaoberá mnohými témami, ktoré už boli zohľadnené v existujúcich predpisoch na Slovensku.
Napriek tomu majú niektoré témy, ako je threat intelligence alebo penetračné testovanie založené na hrozbách, nový charakter, a preto si vyžadujú zvýšenú pozornosť. Ďalšou výzvou, ktorú v súvislostí s DORA v PwC vidíme, je rozvoj prehľadnosti a pochopenie všetkých kľúčových závislostí medzi vašou entitou a vašimi kritickými poskytovateľmi IKT služieb.
Bez ohľadu na to, na akej úrovni vyspelosti odolnosti sa ako organizácia nachádzate, DORA môže slúžiť ako spúšťač na významné zvýšenie úrovne celkovej digitálnej odolnosti organizácie.
Vo všeobecnosti môžu mať subjekty, ktoré uplatňujú súčasné regulačné požiadavky v súlade so súčasnými audítorskými postupmi, lepšiu pozíciu na implementáciu väčšiny požiadaviek DORA. Aj vďaka tomu, že sme doposiaľ podporili mnohých klientov v ich úsilí o kybernetickú bezpečnosť a digitálnu odolnosť, naše posolstvo znie jednoznačne: nebuďte spokojní. Neexistuje nič také ako „príliš odolný“ alebo „príliš bezpečný“. Pamätajte, že v konečnom dôsledku čím ste odolnejší ako vaši konkurenti, tým väčšie sú vaše konkurenčné výhody.
DORA vnímame zároveň ako výzvu a príležitosť pre finančné subjekty. Jednotné požiadavky DORA platné pre celú EÚ znamenajú, že finančné subjekty musia zabezpečiť riadenie konzistentnej úrovne vyspelosti kybernetickej bezpečnosti a prevádzkovej odolnosti vo všetkých svojich operáciách v EÚ.
S dvojročným obdobím určeným na prípravu je množstvo oblastí, ktoré je nutné vyhodnotiť a implementovať.
Finančné inštitúcie budú odteraz vykonávať komplexné hodnotenia nedostatkov, aby zhodnotili ich vyspelosť voči DORA, a včas identifikovali všetky oblasti, ktoré si vyžadujú ďalšie investície, a následne stanovili priority ich realizácie. Vďaka tomu bude vaša organizácia v lepšej pozícii na riešenie komplexnejších požiadaviek, akými sú riadenie rizík dodávok, threat intelligence alebo pokročilé testovanie bezpečnosti.
DORA vnímame ako významnú zmenu pre subjekty v rámci dohľadu ESMA alebo EIOPA, ale aj pre banky, ktoré už museli dodržiavať existujúce smernice EBA o bankovom dohľade. DORA rozširuje svoju pôsobnosť aj o ďalšie zainteresované strany vo finančnom sektore, ktoré doteraz nepodliehali rozsiahlej regulácii bezpečnosti IKT, napr. poskytovatelia služieb kryptoaktív, správcovia sprostredkovateľov alternatívnych investičných fondov, poskytovatelia služieb kolektívneho financovania, poskytovatelia cloudových služieb a poskytovatelia služieb IKT tretích strán.
Vzhľadom na silné zameranie na riadenie rizík tretích strán sa od subjektov očakáva, že sa presvedčia o odolnosti tretích strán. To si bude vyžadovať úzku interakciu a spoločné úsilie s ich kritickými poskytovateľmi služieb IKT, najmä ak podporujú poskytovanie dôležitých obchodných služieb.
Od finančných subjektov sa vyžaduje, aby vytvorili komplexný rámec riadenia rizík IKT, ktorý zahŕňa:
Finančné subjekty sú povinné:
Nariadenie vyžaduje od subjektov:
Finančné subjekty sú povinné: