V závěrečném článku ze série týkající se nového nařízení DORA se zaměříme na kapitolu V (čl. 28 až 44), která se týká řízení rizika v oblasti informačních a komunikačních technologií (dále jako „IKT“) spojeného s třetími stranami. Využití externích poskytovatelů služeb IKT z řad třetích stran přináší výhody, ale zároveň zvyšuje rizika spojená s bezpečností dat, kontinuitou služeb a dodržováním právních předpisů. Tento článek se zaměřuje na hlavní zásady řízení těchto rizik, které jsou finanční subjekty povinny dodržovat.
Finanční subjekty jsou povinny řídit rizika v oblasti IKT spojená s třetími stranami jako nedílnou součást svého celkového rámce pro řízení rizik v oblasti IKT. Finanční subjekty zůstávají vždy plně odpovědné za plnění všech povinností vyplývajících z právních předpisů, a to i při využívání služeb třetích stran pro provádění svých obchodních operací. Řízení rizik spojených s poskytovateli služeb IKT z řad třetích stran musí být přizpůsobeno povaze, rozsahu, složitosti a významu závislostí na těchto službách a musí zohledňovat potenciální dopady na kontinuitu a dostupnost finančních služeb.
Strategie pro řízení rizik v oblasti IKT spojených s třetími stranami musí obsahovat zásady pro využívání těchto služeb, zejména pokud podporují zásadní nebo důležité funkce finančního subjektu. Vedoucí orgán finančního subjektu pravidelně přezkoumává rizika vyplývající z těchto smluvních ujednání.
Finanční subjekty musí vést a aktualizovat registr informací o všech smluvních ujednáních s poskytovateli služeb IKT z řad třetích stran, přičemž se rozlišuje mezi těmi, která se týkají služeb IKT podporujících zásadní nebo důležité funkce a těmi, která se jich netýkají. Informace o smluvních ujednáních musí být poskytnuty příslušným orgánům na jejich žádost, přičemž finanční subjekty jsou povinny oznamovat plánované změny smluvních ujednání o využívání služeb IKT podporujících zásadní nebo důležité funkce.
Před uzavřením smluvních ujednání musí finanční subjekty provést důkladné posouzení rizik, přezkoumání vhodnosti poskytovatelů služeb IKT a identifikaci případných střetů zájmů. Smlouvy mohou být uzavírány pouze s poskytovateli, kteří splňují příslušné normy v oblasti bezpečnosti informací.
Nařízení DORA dále stanovuje i náležitosti smluv uzavíraných mezi finančním subjektem a poskytovatelem služeb IKT z řad třetích stran. Smluvní dokumentace o poskytování služeb IKT musí „zejména obsahovat specifikace úplných popisů funkcí a služeb, míst, kde jsou dotčené funkce poskytovány a kde budou zpracovávána data, a rovněž popisy úrovní služeb.“ Dále by neměla chybět smluvní ustanovení, která specifikují, jak poskytovatel služeb IKT zajišťuje přístupnost, dostupnost, integritu, bezpečnost a ochranu osobních údajů, ustanovení obsahující relevantní záruky pro přístup k údajům, obnovu a navrácení údajů v případě platební neschopnosti, řešení krize nebo ukončení obchodní činnosti poskytovatele služeb IKT, stejně jako ustanovení požadující, aby poskytovatel poskytl pomoc při incidentech v oblasti IKT souvisejících s poskytovanými službami, a to bez dodatečných nákladů nebo za cenu určenou dopředu. Smlouva musí obsahovat ustanovení o povinnosti poskytovatele služeb IKT z řad třetích stran plně spolupracovat s příslušnými orgány a orgány příslušnými k řešení krize finančního subjektu, ustanovení o právech na ukončení smlouvy a o související minimální výpovědní lhůtě pro ukončení smluvních ujednání v souladu s očekáváními příslušných orgánů a orgánů příslušných k řešení krize.
Smlouvy o poskytování služeb IKT, které podporují zásadní nebo důležité funkce finančního subjektu, rovněž musí zahrnovat ustanovení, která finančnímu subjektu nebo určené třetí straně poskytují právo na přístup, kontrolu, audit a pořizování kopií. Příslušný orgán finančního subjektu by měl mít právo po předchozím oznámení provést kontrolu a audit poskytovatele služeb IKTz řad třetích stran, s výhradou ochrany důvěrných informací. Ujednání smlouvy by dále měla stanovit specializované strategie ukončení smluvního vztahu umožňující zejména povinná přechodná období, během nichž by měli poskytovatelé služeb IKT z řad třetích stran nadále poskytovat příslušné služby s cílem snížit riziko narušení, případně umožnit finančnímu subjektu začít účinně využívat jiného poskytovatele služeb IKT.
Finanční subjekty si mohou mezi sebou vyměňovat informace o kybernetických hrozbách, jako jsou ukazatele narušení, taktiky, techniky a postupy, výstrahy a konfigurační nástroje. Toto vzájemné sdílení by mělo zlepšit digitální provozní odolnost těchto subjektů. Sdílení informací je finančním subjektům umožněno, pokud se zaměřuje na zlepšení digitální provozní odolnosti finančních subjektů, probíhá v důvěryhodných komunitách finančních subjektů a je prováděno na základě ujednání chránících citlivé údaje, v souladu s pravidly o ochraně osobních údajů a hospodářské soutěži.
Efektivní řízení rizik spojených s třetími stranami v oblasti IKT je pro finanční subjekty klíčovým aspektem jejich operační bezpečnosti a souladu s právními předpisy. Kromě stanovení obecných zásad a postupů pro hodnocení a řízení rizik je nezbytné zajistit odpovídající smluvní ochranu a pravidelnou kontrolu těchto vztahů. Jasně definované smluvní podmínky umožňují finančním subjektům lépe reagovat na potenciální hrozby a zajistit kontinuitu svých služeb. Sdílení informací o kybernetických hrozbách mezi finančními subjekty dále posiluje jejich digitální odolnost a schopnost společně čelit výzvám v oblasti kybernetické bezpečnosti.
Závěrem této série článků o nařízení DORA lze konstatovat, že nová právní regulace klade důraz na komplexní přístup k řízení rizik spojených s informačními a komunikačními technologiemi IKT ve finančním sektoru. Nařízení DORA stanovuje finančním subjektům řadu nových povinností. Cílem těchto požadavků je nejen zvýšit připravenost finančních institucí na kybernetické hrozby, ale také zajistit ochranu klientů a stabilitu celého finančního systému.
Nařízení DORA finančním subjektům poskytuje konkrétní rámec, jak minimalizovat dopady incidentů, zefektivnit reakci na ně a zabránit jejich opakování. Součástí těchto opatření je i spolupráce s certifikovanými subjekty při pokročilém penetračním testování, zajištění odpovídajících zdrojů a postupů pro rychlou nápravu zjištěných slabin a zajištění pravidelného auditu těchto procesů.
DORA tedy přináší zásadní krok směrem k vyšší odolnosti finančního sektoru v digitálním věku. Zároveň posiluje důvěru ve finanční instituce, protože zavádí povinnosti, které zaručují bezpečné a stabilní prostředí i v případě kybernetických hrozeb. Finanční subjekty budou díky dodržování nových pravidel lépe vybaveny pro řešení budoucích výzev a udrží krok s technologickými změnami v digitálním světě.