arrow_upward

DORA: Nová regulace oblasti digitální provozní odolnosti v sektoru finančních služeb

Rada Evropské unie formálně přijala zákon o odolnosti digitálního provozu (Digital Operational Resilience Act - DORA), který má zajistit, aby digitální infrastruktura, včetně systémů a sítí, které jsou základem kritických služeb ve finančním sektoru, byla bezpečná a odolná vůči potenciálním hrozbám. Finanční instituce mají relativně krátkou dobu na zajištění souladu s regulatorními požadavky. Lhůta jim běží od 16. ledna 2023, kdy směrnice DORA (Digital Operational Resilience Act) vstoupila v platnost, a potrvá po dobu dvou let.

Cíle směrnice DORA

Cílem směrnice DORA je zlepšit kybernetickou bezpečnost a provozní odolnost všech regulovaných evropských finančních institucí a klíčových třetích stran, které těmto institucím poskytují služby související s informačními a komunikačními technologiemi. Kybernetickým útokům se sice nelze vyhnout, ale finanční stability v Evropě lze přesto dosáhnout, pokud organizace zmírní dopad kybernetických hrozeb na informační a komunikační technologie (ICT).

Kdo je zodpovědný za plnění povinností?

Odpovědnost za plnění požadavků, které ukládá DORA, nese vedení společnosti. To bude odpovědné za přezkoumání, schválení, zavedení a aktualizaci rámce řízení rizik. Vedení by tak mělo mít plné povědomí o využívání ICT, službách a rizikovém profilu. Společnosti by měly vážit přehodnocení způsobu, jakým v praxi funguje stávající systém reportingu ICT týmů vyššímu vedení. Finanční instituce, na které se vztahuje DORA, budou povinny určit vedoucího pracovníka, který bude zodpovědný za digitální provozní odolnost a hlášení incidentů příslušným orgánům.

Harmonogram směrnice DORA

Co to pro subjekt znamená a jak může BDO pomoci?

Aby banky splnily požadavky DORA, budou muset mít zavedeny spolehlivé systémy a procesy řízení rizik.

Provedeme GAP analýzu souladu s regulatorními požadavky
Pomůžeme s harmonizací obchodní strategie se systémem řízení kybernetických rizik a udržováním komplexního a účinného rámce řízení rizik

Cílem DORA je harmonizovat procesy klasifikace a hlášení incidentů. Zásadní význam má včasné odhalení incidentů a rychlá reakce.

S čím umí BDO pomoci?

Navrhneme, jak se novým pravidlům EU přizpůsobit v oblasti podávání zpráv a sladíme v tomto směru interní procesy s cílem optimalizovat přidělování zdrojů.

S čím umí BDO pomoci?

Provedeme skenování zranitelností a penetrační testy. V případě potřeby zrealizujeme robustní testování kontinuity podnikání a zotavení se po havárii.
Navrhneme a vyvineme vhodné řešení, pomůžeme s integrací procesu a nástrojové podpory pro sdílení informací o těchto hrozbách.

Banky by měly posoudit, zda jejich strategie a plány reakce a obnovy odpovídajícím způsobem reagují na rozšířená pravidla vztahující se na řízení rizik

S čím umí BDO pomoci?

Služby kybernetické bezpečnosti BDO jsou založeny na špičkových postupech a vychází z globálních regulačních požadavků.
Našim klientům tak umíme poskytnout holistické řešení při řízení složitostí v rámci ekosystémů třetích stran.

Vyzývá ke sdílení informací o hrozbách a zpravodajských informací.

Dopad směrnice

Ačkoli se zdá, že konec roku 2024 je ještě daleko, dodržování předpisů může být pro tyto organizace náročné a zdlouhavé. Soulad bude zajišťovat příslušný orgán subjektu. Členské státy EU budou mít právo ukládat sankce za porušení povinností.

Dosažení souladu se směrnicí

Přestože nařízení DORA umožňuje přechodné období do 17. ledna 2025, doporučujeme, aby organizace, kterých se nařízení týká, zahájily přípravy okamžitě. Doporučujeme přijmout postupný přístup, v jehož rámci subjekty v působnosti vypracují program shody s DORA s cílem dosáhnout shody do konce přechodného období. Nedosažení souladu může vést k přísným pokutám od ledna 2025.

Kterých subjektů se DORA týká?

Nařízení se vztahuje na řadu finančních institucí regulovaných EU, včetně úvěrových institucí, platebních institucí, obchodníků s cennými papíry, pojišťoven a další. Bude se vztahovat také na poskytovatele ICT služeb.

Do této kategorie patří např. poskytovatelé cloudových služeb, softwaru, datových center. Na druhou stranu jsou vyňati někteří provozovatelé systémů platebních a kreditních karet. Zejména mikropodnikům (do 10 osob s ročním obratem nižším než 2 miliony EUR) se poskytují výrazné úlevy od některých povinností. Například nejsou povinny zavést, udržovat a revidovat tzv. komplexní program testování provozní odolnosti digitálních systémů.

Členské státy EU budou mít právo ukládat sankce za porušení povinností.

To znamená, že vedoucí orgán může za nedodržení předpisů uložit značné sankce. Tyto významné sankce budou mít podobu penále ve výši 1 % průměrného denního celosvětového obratu organizace v předchozím hospodářském roce. Tuto pokutu bude vedoucí kontrolor uplatňovat denně, dokud nebude dosaženo souladu s předpisy, a to nejdéle po dobu šesti měsíců.

Finanční subjekty	Poskytovatelé služeb třetích stran v oblasti ICT*
Úvěrové instituce	Poskytovatelé služeb cloud computingu
Platební instituce	Software
Poskytovatelé služeb informování o účtu	Služby analýzy dat
Elektronické peněžní instituce	Poskytovatelé služeb datových center
Investiční společnosti	Podniky, které jsou součástí finanční skupiny a poskytují ICT služby převážně svému mateřskému podniku nebo dceřiným společnostem či pobočkám svého mateřského podniku.
Poskytovatelé kryptoaktivních služeb a emitenti tokenů odkazujících na aktiva	Finanční subjekty poskytující služby ICT jiným finančním subjektům
Centrální depozitáře cenných papírů	Účastníci ekosystému platebních služeb, kteří poskytují činnosti zpracování plateb nebo provozují platební infrastrukturu.
Ústřední protistrany	* uvedené subjekty jsou příklady poskytovatelů služeb ICT třetích stran.
Obchodní systémy
Obchodní úložiště
Správci alternativních investičních fondů
Řídící společnosti
Poskytovatelé služeb vykazování dat
Pojišťovny a zajišťovny
Zprostředkovatelé pojištění, zprostředkovatelé zajištění a doplňkoví zprostředkovatelé pojištění
Instituce zaměstnaneckého penzijního pojištění
Ratingové agentury
Správci kritických referenčních úrovní
Poskytovatelé služeb crowdfundingu
Úložiště cenných papírů

Toto nařízení se nevztahuje na:

správce alternativních investičních fondů podle čl. 3 odst. 2 směrnice 2011/61/EU;
pojišťovny a zajišťovny uvedené v článku 4 směrnice 2009/138/ES;
instituce zaměstnaneckého penzijního pojištění, které provozují penzijní systémy, jež dohromady nemají více než 15 členů;
fyzické nebo právnické osoby vyňaté podle článků 2 a 3 směrnice 2014/65/EU;
zprostředkovatelé pojištění, zprostředkovatelé zajištění a doplňkoví zprostředkovatelé pojištění, kteří jsou mikropodniky nebo malými či středními podniky;
poštovní žirové instituce podle čl. 2 odst. 5 bodu 3 směrnice 2013/36/EU.

Dodržování směrnice DORA: Naše řešení

V BDO nabízíme služby v oblasti informační i kybernetické bezpečnosti. Pomůžeme vám zabezpečit vaše informace a aktiva tak, abychom minimalizovali potenciální hrozby. Postupujeme v souladu s dalšími legislativními požadavky, zejména s ISO normami a Zákonem o kybernetické bezpečnosti (ZKB).

Poskytujeme odborné poradenství v oblasti dodržování zákona DORA, včetně posouzení rizik a analýzy nedostatků, řízení incidentů, plány kontinuity provozu, kybernetickou bezpečnost, nepřetržitou podporu a monitorování.
Umíme vám také pomoci s implementací a zajištěním služby pro zajištění bezpečnosti a odolnosti IT infrastruktury proti potenciálním hrozbám včetně penetračního testování, hodnocení zranitelnosti a plánování reakce na incidenty a vybudováním systému pro jejich řízení.
Proškolíme vaše zaměstnance, aby pochopili smysl regulace DORA a principy zavedených opatření. Vysvětlíme jim, jak mohou ve své roli přispět ke splnění požadavků.