DORA: Nařízení o digitální provozní odolnosti finančního sektoru

Dne 16.01.2023 vstoupilo v platnost nařízení DORA (Digital Operational Resilience Act), jehož cílem je sjednotit a modernizovat požadavky na rizika informačních a komunikačních technologií (ICT) v celém finančním sektoru, aby bylo zajištěno, že všichni účastníci finančního systému budou podléhat společnému souboru pravidel pro zmírnění rizik ICT pro své operace. Cílem nařízení DORA je zajistit, aby všichni účastníci finančního systému měli zavedena nezbytná ochranná opatření ke zmírnění kybernetických útoků a dalších rizik. DORA zavádí také rámec dohledu nad kritickými poskytovateli třetích stran, jako jsou cloudové platformy nebo služby analýzy dat. 

DORA se vztahuje na širokou škálu finančních institucí, včetně úvěrových institucí, platebních institucí, investičních podniků, poskytovatelů služeb souvisejících s kryptoaktivy, zprostředkovatelů pojištění, zprostředkovatelů doplňkového pojištění atd. Z působnosti nařízení jsou však výslovně vyňati zprostředkovatelé pojištění, kteří jsou mikropodniky, malými nebo středními podniky (tzn. podniky, které zaměstnávají méně než 250 osob a jejichž roční obrat nepřesahuje 50 milionů EUR nebo jejichž bilanční suma roční rozvahy nepřesahuje 43 miliony EUR).

Dále jsou od některých povinností osvobozeny finanční subjekty, které naplňují definici mikropodniku (tzn. podniky, které zaměstnávají méně než 10 osob a jejichž roční obrat a/nebo bilanční suma roční rozvahy nepřesahuje 2 miliony EUR).

Nařízení DORA je rozděleno do pěti základních pilířů, které poskytují příslušným subjektům komplexní rámec digitální odolnosti.  

Finanční instituce jsou povinny plnit zejména tyto klíčové požadavky: 

Řízení rizik v oblasti ICT: 

• zřídit a spravovat systémy a nástroje ICT, které minimalizují dopad rizik ICT, 
• nepřetržitě identifikovat všechny zdroje rizik v oblasti ICT, 
• vytvořit ochranná a preventivní opatření, 
• rychle zjišťovat anomální činnosti, 
• uplatňovat specializované a komplexní strategie zachování provozu a plány pro případ havárie a plány obnovy provozu. 

Hlášení incidentů souvisejících s  ICT: 

• vytvořit a zavést proces řízení pro sledování a zaznamenávání incidentů souvisejících s ICT, 
• klasifikovat incident podle kritérií uvedených v DORA a dále rozvíjených evropskými orgány dohledu (včetně EBA, EIOPA a ESMA), 
• hlásit incidenty příslušným orgánům,  
• předkládat prvotní, průběžné a závěrečné zprávy a informovat klienty v případech, kdy incident má nebo může mít dopad na jejich finanční zájmy. 

Testování digitální provozní odolnosti: 

• pravidelně testovat na připravenost a identifikaci slabin, nedostatků či mezer a také rychlé uplatňování nápravných opatření 

Rizika v oblasti ICT spojená se třetími stranami: 

• sledovat rizika, jež představují poskytovatelé služeb ICT z řad třetích stran, 
• zajištění, aby smlouvy s poskytovateli ICT třetími stranami obsahovaly všechny nezbytné údaje o monitorování a dostupnosti atd. 

• podpora sbližování dohledových přístupů nad riziky v oblasti ICT spojenými s třetími stranami 

Sdílení informací:

• vzájemná výměna operativních a jiných informací o kybernetických hrozbách. 

Nařízení se použije od 17.01.2025, dotčené subjekty tedy mají 24 měsíců na zohlednění nových pravidel ve svých procesech.