Nařízení Evropské unie o digitální provozní odolnosti (DORA)

Evropská unie schválila nařízení Digital Operational Resilience Act (DORA) týkající se odolnosti a digitálního provozu ve finančním sektoru. Koho se nařízení týká a co upravuje?

První návrh na toto nařízení zveřejnila Evropská komise již v září 2020 a byl součástí balíčku Digital Finance Package, který zahrnuje oblasti týkající se digitalizace ve finančním sektoru, regulaci krypto aktiv nebo technologií blockchain. Po vyjednáváních vstoupilo toto nařízení v platnost 17. ledna tohoto roku s tím, že do ledna 2025 musí všechny dotčené instituce splňovat nové požadavky upravované v tomto zákoně.

A koho se tedy DORA primárně týká? Hlavními institucemi dotčenými tímto nařízením jsou investiční firmy, společnosti poskytující úvěry, bankovní instituce, správci investičních fondů nebo poskytovatelé služeb v oblasti kryptoměn. Již dlouhou dobu je známo, že finanční instituce spoléhají na své digitální systémy a nedávná pandemie COVID-19 působila jako jakýsi katalyzátor v této oblasti. Závislost těchto firem na digitálních operacích prováděných každý den s sebou však přinesla i zvýšené kybernetické riziko a poslední roky tak ukázaly, jak klíčovou se stala odolnost těchto systémů.

Cílem DORA je, jak již z názvu vyplývá, zajistit, aby poskytovatelé finančních služeb byli schopni odolávat ICT (=informační a komunikační technologie) krizím a rizikům v této oblasti a zajistit tím stabilitu jejich digitálních systémů. Zaměřuje se tedy především na schopnost odolat kybernetickým rizikům a jednat v případě, že nějaká tato skutečnost nastane. Nařízení má celkem 9 kapitol, ale jeho klíčové oblasti lze shrnout do pěti bodů.

Zaprvé je zde upraveno řízení rizik v oblasti ICT. Dotčené organizace musí mít podle nařízení zavedeny spolehlivé systémy pro řízení rizik. Zde by měla být zajištěna včasná detekce možných hrozeb a mechanismy, jak na případné hrozby reagovat.

Další oblastí je pak hlášení incidentů spojených s ICT. Ať už se jedná o oblast monitorování a protokolování vzniklých kybernetických incidentů, firmy musí předložit jak úvodní, tak i závěrečné zprávy o průběhu tohoto incidentu.

Oblast testování digitální provozní odolnosti je pak stěžejní v rámci řízení rizik, kdy by všechny prvky v rámci ICT měly být pravidelně testovány na svoji funkčnost a připravenost. V případě odhalení slabých stránek by měly být co nejrychleji odstraněny. Požadavky na testování pak mají být úměrné velikosti organizace a jejímu rizikovému profilu.

Předposlední oblastí jsou požadavky na řízení rizik ICT třetích stran. Zde musí být sledována rizika spojená se službami ICT dodávanými třetími stranami. Mělo by být zajištěno, aby smlouvy s těmito poskytovateli obsahovaly všechny potřebné podrobnosti včetně popisu jejich služeb. Zároveň by třetí strany měly splňovat požadavky DORA na výše zmíněné řízení rizik. V praxi to tedy bude znamenat, že se toto nařízení dotkne i subjektů mimo EU.

Poslední oblastí je sdílení informací. Především je zmiňována spolupráce s ostatními finančními subjekty a vzájemná výměna informací o možných kybernetických hrozbách či zavedených opatřeních v rámci společnosti.

redaktorka: Elena Salfická

Vystudovala obor Ekonomika a management na Univerzitě Pardubice. Zajímá se o investování a zahraniční politiku. Kromě publikací textů na edevizy.cz působí i jako produktový editor.