DORA: Úvod k nařízení o digitální provozní odolnosti finančních subjektů

1.      Účel vzniku nařízení DORA

Nařízení DORA, které nabyde účinnosti 17. ledna 2025, představuje významný krok Evropské unie v reakci na rizika vyplývající z digitalizace finančního sektoru. Moderní ekonomiky se stále více spoléhají na informační a komunikační technologie (IKT), což přináší nejen výhody, ale i zvýšená bezpečnostní rizika. Finanční sektor, silně propojený s poskytovateli služeb z třetích stran, je náchylný ke kybernetickým incidentům, které mohou ohrozit celý finanční systém. DORA má za cíl zvýšit digitální odolnost finančních institucí a umožnit jim lépe zvládat potenciální rizika. Toto nové nařízení proto zavádí nový a komplexní rámec pravidel pro finanční instituce, zprostředkovaně se dotýká i jejich dodavatelů IKT služeb, a také podporuje sdílení informací o hrozbách mezi finančními subjekty.

2.      Na koho nařízení DORA dopadá?

DORA se vztahuje na širokou škálu finančních institucí, například:

• úvěrové instituce,
• platební instituce,
• poskytovatele služeb informování o účtu,
• instituce elektronických peněz,
• investiční podniky,
• poskytovatele služeb souvisejících s kryptoaktivy,
• pojišťovny a zajišťovny,
• zprostředkovatele pojištění,
• ratingové agentury,
• a další.

3.      Rozdělení povinností stanovených v nařízení DORA

Nařízení DORA ukládá finančním subjektům povinnosti v těchto hlavních oblastech:

• Řízení rizik v oblasti IKT: Zavést opatření k identifikaci a řízení technologických rizik, včetně prevence a nápravy kybernetických útoků.
• Řízení, klasifikace a hlášení IKT incidentů: Systém pro klasifikaci incidentů a mechanismus pro jejich hlášení příslušným kontrolním orgánům.
• Testování digitální provozní odolnosti: Pravidelně testovat schopnost institucí zvládat kybernetické útoky a obnovovat služby.
• Řízení rizik spojených s třetími stranami: Posoudit rizika spojená s externími poskytovateli služeb a zajistit odpovídající smluvní ujednání.

4.      Spolupráce s poskytovateli IKT služeb

DORA klade důraz na obsah smluv mezi finančními institucemi a jejich externími poskytovateli IKT služeb. Tyto smlouvy musí obsahovat detailní popisy služeb, úroveň služeb, bezpečnostní záruky a plány pro krizové situace. Měly by také obsahovat ustanovení pro spolupráci poskytovatelů s kontrolními orgány a práva na audit. Podstatnou částí smlouvy by měly být strategie pro ukončení smluvního vztahu, aby se minimalizovalo riziko narušení poskytovaných služeb. Nařízení DORA tak zprostředkovaně dopadá i na subjekty, které sice nejsou regulovanými finančními institucemi, ale které těmto finančním subjektům dodávají své IKT služby. V rámci obchodních vztahů by měli poskytovatelé IKT služeb a finanční instituce co nejdříve zrevidovat své smlouvy o poskytování IKT služeb a doplnit do nich potřebné náležitosti podle požadavků nařízení DORA.

5.      Závěr

Nařízení DORA představuje klíčový krok k posílení digitální odolnosti finančních institucí v EU, které by zavedením jednotného rámce pravidel měly být lépe připraveny čelit kybernetickým útokům a minimalizovat jejich dopady. Cílem tohoto nařízení by mělo být nejen zvýšení bezpečnosti a důvěryhodnosti finančních služeb, ale také posílení celkové stability evropského finančního systému. Jasně se tak ukazuje, že digitální bezpečnost je v EU prioritou, která vyžaduje koordinovanou a proaktivní (re)akci všech zúčastněných stran.

‍