V úvodním článku jsme si již představili základní okruhy povinností podle nového z Nařízení DORA. V následujících článcích této série si podrobněji přiblížíme jednotlivé povinnosti vyplývající z tohoto nařízení. Tento článek se bude věnovat kapitole II Nařízení DORA (čl. 5 až 16), která se týká řízení rizika v oblasti informačních a komunikačních technologií (dále jako „IKT“). Veškerá pravidla stanovená v této kapitole uplatňují finanční subjekty podle zásady proporcionality a přihlížejí přitom ke své velikosti a celkovému rizikovému profilu a povaze, rozsahu a složitosti svých služeb, činností a operací.
Finanční subjekty jsou povinny zavést a udržovat komplexní interní řídicí a kontrolní rámec pro zajištění účinného a obezřetného řízení rizika v oblasti IKTs cílem dosažení vysoké úrovně digitální provozní odolnosti. Tento interní rámec zahrnuje soubor strategií, zásad, procesů, protokolů a nástrojů IKT, které mají za cíl identifikovat, chránit, detekovat a reagovat na IKT incidenty. Za správné stanovení veškerých opatření souvisejících s tímto rámcem odpovídá vedoucí orgán finančního subjektu, kterým zpravidla bude statutární orgán, případně management společnosti. Tento orgán pak bude odpovědný i za případné porušení povinností vyplývajících z Nařízení DORA.
Průběžné sledování a hodnocení strategie pro řízení rizik v oblasti IKT je klíčové, včetně zavádění kontrolních opatření a zajištění účinnosti interních politik a nástrojů. Finanční subjekty (vyjma mikropodniků) musí pověřit pro řízení rizika v oblasti IKT nezávislou kontrolní funkci tak, aby se předešlo případným střetům zájmů.
Rámec pro řízení rizika v oblasti IKT je nutné alespoň jednou ročně (případně po každém závažném incidentu) revidovat. Zprávy o přezkumu se předkládají příslušným orgánům. Rámec pro řízení rizik v oblasti IKT podléhá pravidelnému internímu auditu, který provádějí kvalifikovaní a nezávislí auditoři. Rámec pro řízení rizik v oblasti IKT zahrnuje strategii digitální provozní odolnosti, která stanoví metody řešení rizika a plnění specifických cílů v oblasti IKT. Tato strategie podporuje obchodní cíle subjektu a zahrnuje mechanismy pro detekci a prevenci incidentů. Finanční subjekty si v rámci této strategie mohou definovat tzv. „ucelenou strategii více dodavatelů IKT“, která vysvětluje klíčové závislosti na poskytovatelích služeb IKT z řad třetích stran.
Finanční subjekty mají možnost zadat úkoly ověřování souladu s požadavky na řízení rizika v oblasti IKT i externím podnikům. I při tomto outsourcování však zůstává za ověření souladu s požadavky na řízení rizika v oblasti IKT nadále plně odpovědný sám finanční subjekt.
Finanční subjekty musí používat a udržovat aktualizované systémy, protokoly a nástroje IKT, které jsou přiměřené rozsahu jejich operací, dostatečně spolehlivé, mají dostatečnou kapacitu a jsou technologicky odolné.
Součástí rámce pro řízení rizik v IKT je povinnost finančních subjektů identifikovat, klasifikovat a náležitě dokumentovat všechny obchodní funkce, úlohy a povinnosti podporované IKT. Přiměřenost této klasifikace a příslušné dokumentace se přezkoumává alespoň jednou ročně. Finanční subjekty musí nepřetržitě identifikovat všechny zdroje rizika v oblasti IKT, včetně kybernetických hrozeb a zranitelností IKT, a pravidelně, alespoň jednou ročně, revidovat relevantní scénáře rizik. Finanční subjekty musí také identifikovat a dokumentovat procesy závislé na poskytovatelích služeb IKT z řad třetích stran.
Finanční subjekty musí nepřetržitě sledovat a kontrolovat bezpečnost a fungování systémů a nástrojů IKT a minimalizovat dopad rizika na systémy IKT. Toho by měly docílit zavedením vhodných nástrojů, politik a postupů v oblasti bezpečnosti IKT. Finanční subjekty musí navrhovat a uplatňovat politiky a nástroje, které zajistí odolnost, kontinuitu provozu a dostupnost systémů IKT, zejména těch, které podporují jejich zásadní nebo důležité funkce. Tyto dále musí využívat řešení a procesy, které zajišťují bezpečnost přenosu dat, minimalizují riziko poškození nebo ztráty dat nebo neoprávněného přístupu a technických závad a předcházejí narušení dostupnosti, integrity a důvěrnosti údajů.
Finanční subjekty musí mít zavedeny mechanismy pro včasnou detekci neobvyklých aktivit, problémů s fungováním sítě IKT a incidentů souvisejících s IKT. Tyto mechanismy se pravidelně testují a musí umožňovat vícestupňovou kontrolu, stanovovat prahové hodnoty a kritéria výstrah pro spuštění postupů reakce na incidenty.
Jako jedna z dalších součástí rámce pro řízení rizika v oblasti IKT je povinnost finančních subjektů zavést politiku zachování provozu IKT, která je součástí celkové politiky zachování provozu finančního subjektu. Politika zachování provozu IKT zahrnuje plány, postupy a mechanismy pro zajištění kontinuity zásadních nebo důležitých funkcí finančního subjektu, rychlou a účinnou reakci na IKT incidenty, aktivaci izolačních opatření a komunikaci s interními a externími stranami.
Finanční subjekty dále musí uplatňovat související plány reakce a obnovy v oblasti IKT, které podléhají nezávislému internímu auditu. Plány zachování provozu IKT a plány reakce a obnovy musí být alespoň jednou ročně a po podstatných změnách systémů IKT testovány.
Nařízení DORA dále stanovuje povinnost finančním subjektům provádět analýzu dopadu na činnost (BIA – business impact analysis), aby posoudily potenciální dopad závažných narušení činnosti a zajistily odpovídající redundanci zásadních složek. Finanční subjekty musí zavést funkci řízení krizí, která stanoví postupy pro interní a externí krizovou komunikaci. Finanční subjekty udržují snadno dostupné záznamy o své činnosti jak před výpadky, tak i během nich, a to po aktivaci plánů pro zajištění provozu IKT a plánů pro reakci na incidenty a obnovu v oblasti IKT.
Finanční subjekty musí také vypracovat a zdokumentovat zálohovací politiky, které definují, jaká data se zálohují a jak často. Také musí mít zavedeny jasné postupy a metody obnovy a zřízeny záložní systémy. Po obnově systémů po incidentu IKT je nutné provést kontroly integrity dat, včetně ověření a srovnání dat s externími partnery, aby byla zajištěna konzistence.
Finanční subjekty musí mít k dispozici prostředky a personál pro sledování zranitelností, kybernetických hrozeb a incidentů souvisejících s IKT a analyzovat jejich dopad na svou digitální provozní odolnost. Po závažném incidentu musí finanční subjekty provést přezkum, aby zjistily příčiny narušení a zlepšily své IKT operace. Musí zhodnotit účinnost reakcí na incidenty, včetně rychlosti
Součástí nových povinností finančních subjektů je i zajištění proškolení všech zaměstnanců, včetně vedoucích pracovníků a případně i externích poskytovatelů IKT služeb, o bezpečnosti v oblasti IKT a digitální provozní odolnosti. Finanční subjekty musí sledovat technologický vývoj a přizpůsobovat své postupy řízení rizik, aby byly připraveny na nové kybernetické hrozby.
Finanční subjekty musí mít také zavedeny krizové komunikační plány, které jim umožní informovat klienty, protistrany a případně i veřejnost o závažných incidentech nebo zranitelnostech v oblasti IKT. Každý finanční subjekt musí disponovat alespoň jednou osobou, která bude odpovědná za komunikační strategii o IKT incidentech a zastávat roli styku s veřejností a médii.
Články 5 až 15 Nařízení DORA se nepoužijí na vyjmenované subjekty, kterými jsou malé a nepropojené investiční podniky, platební instituce vyňaté podle směrnice (EU)2015/2366 (PSD2), instituce vyňaté podle směrnice 2013/36/EU (CRD), instituce elektronických peněz vyňaté podle směrnice 2009/110/ES a malé instituce zaměstnaneckého penzijního pojištění.
I přesto musí tyto subjekty zavést a udržovat spolehlivý a zdokumentovaný rámec pro řízení rizika v oblasti IKT, který podrobně popisuje mechanismy a opatření zaměřené na rychlé, účinné a komplexní řízení rizika v oblasti IKT, včetně ochrany příslušných fyzických součástí a infrastruktur. Subjekty musí průběžně sledovat bezpečnost a fungování všech systémů IKT a minimalizovat dopad rizika v oblasti IKT používáním spolehlivých, odolných a aktualizovaných systémů, protokolů a nástrojů IKT, které odpovídají potřebám jejich činností a poskytovaných služeb a zajišťují ochranu dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů.
Dále musí umožnit rychlou identifikaci a detekci zdrojů rizik a anomálií v síti a informačních systémech a urychlit řešení incidentů souvisejících s IKT. Rovněž mají finanční subjekty povinnost určit klíčové závislosti na poskytovatelích služeb IKT z řad třetích stran, zajistit zachování provozu zásadních nebo důležitých funkcí prostřednictvím plánů zachování provozu a opatření v oblasti reakce a obnovy, která zahrnují alespoň zálohování a obnovu a pravidelně testovat tyto plány a opatření, jakož i účinnost kontrol prováděných v souladu s výše uvedenými požadavky.
Rámec pro řízení rizika v oblasti IKT musí být pravidelně přezkoumáván a aktualizován na základě zkušeností z jeho provádění a incidentů. Zpráva o přezkumu rámce pro řízení rizika v oblasti IKT se na žádost poskytne příslušnému orgánu.
V tomto článku jsme si blíže představili jednotlivé povinnosti stanovené finančním subjektům Nařízením DORA v řízení rizika v oblasti IKT.
Finanční subjekty musí zavést robustní a zdokumentovaný rámec pro řízení rizik IKT, zahrnující strategie, politiky a nástroje zaměřené na ochranu informačních aktiv a IKT infrastruktury před různými riziky, jako je neoprávněný přístup či poškození dat. Tento rámec vyžaduje pravidelné audity a revize alespoň jednou ročně nebo po závažném incidentu, a obsahuje opatření pro detekci, prevenci, reakci a obnovu v případě incidentů.
Článek také vymezuje povinnosti finančních subjektů v oblasti sledování bezpečnosti, ochrany dat, řízení přístupu, zabezpečení sítí a zálohování, které mají zajistit vysokou úroveň digitální provozní odolnosti. Finanční subjekty musí průběžně analyzovat rizika, hodnotit účinnost reakcí na incidenty a přizpůsobovat své postupy novým hrozbám.
Nařízení také zohledňuje potřeby menších finančních subjektů, které jsou povinny zavést zjednodušený rámec pro řízení rizik v oblasti IKT, v rámci kterého zavedou adekvátní opatření pro zajištění bezpečnosti a kontinuity svých operací.
Tento článek vznikl ve spolupráci s JUDr. Jakubem Peštálem.
Mgr. Jan Šotola ja advokátní koncipient v Cisek, který se specializuje na pracovní právo a právo informačních technologií.
.svg){kind=icon}
.svg){kind=icon}
