DORA (Digital Operational Resilience Act)

Rada Evropské unie formálně přijala zákon o odolnosti digitálního provozu (Digital Operational Resilience Act - DORA), který má zajistit, aby digitální infrastruktura, včetně systémů a sítí, které jsou základem kritických služeb ve finančním sektoru, byla bezpečná a odolná vůči potenciálním hrozbám. Finanční instituce mají relativně krátkou dobu na zajištění souladu s regulatorními požadavky. Lhůta jim běží od 16. ledna 2023, kdy směrnice DORA (Digital Operational Resilience Act) vstoupila v platnost, a potrvá po dobu dvou let.  

dora

Cíle směrnice DORA

Cílem směrnice DORA je zlepšit kybernetickou bezpečnost a provozní odolnost všech regulovaných evropských finančních institucí a klíčových třetích stran, které těmto institucím poskytují služby související s informačními a komunikačními technologiemi. Kybernetickým útokům se sice nelze vyhnout, ale finanční stability v Evropě lze přesto dosáhnout, pokud organizace zmírní dopad kybernetických hrozeb na informační a komunikační technologie (ICT).
dora

Kdo je zodpovědný za plnění povinností?

Odpovědnost za plnění požadavků, které ukládá DORA, nese vedení společnosti. To bude odpovědné za přezkoumání, schválení, zavedení a aktualizaci rámce řízení rizik. Vedení by tak mělo mít plné povědomí o využívání ICT, službách a rizikovém profilu. Společnosti by měly vážit přehodnocení způsobu, jakým v praxi funguje stávající systém reportingu ICT týmů vyššímu vedení. Finanční instituce, na které se vztahuje DORA, budou povinny určit vedoucího pracovníka, který bude zodpovědný za digitální provozní odolnost a hlášení incidentů příslušným orgánům.

Harmonogram směrnice DORA


Co to pro subjekt znamená a jak může BDO pomoci?

Aby banky splnily požadavky DORA, budou muset mít zavedeny spolehlivé systémy a procesy řízení rizik. 

  • Provedeme GAP analýzu souladu s regulatorními požadavky
  • Pomůžeme s harmonizací obchodní strategie se systémem řízení kybernetických rizik a udržováním komplexního a účinného rámce řízení rizik

Cílem DORA je harmonizovat procesy klasifikace a hlášení incidentů. Zásadní význam má včasné odhalení incidentů a rychlá reakce. 

S čím umí BDO pomoci?

  • Navrhneme, jak se novým pravidlům EU přizpůsobit v oblasti podávání zpráv a sladíme v tomto směru interní procesy s cílem optimalizovat přidělování zdrojů.

S čím umí BDO pomoci?

  • Provedeme skenování zranitelností a penetrační testy. V případě potřeby zrealizujeme robustní testování kontinuity podnikání a zotavení se po havárii.
  • Navrhneme a vyvineme vhodné řešení, pomůžeme s integrací procesu a nástrojové podpory pro sdílení informací o těchto hrozbách.

Banky by měly posoudit, zda jejich strategie a plány reakce a obnovy odpovídajícím způsobem reagují na rozšířená pravidla vztahující se na řízení rizik 

S čím umí BDO pomoci?

  • Služby kybernetické bezpečnosti BDO jsou založeny na špičkových postupech a vychází z globálních regulačních požadavků.
  • Našim klientům tak umíme poskytnout holistické řešení při řízení složitostí v rámci ekosystémů třetích stran. 

Dopad směrnice

Ačkoli se zdá, že konec roku 2024 je ještě daleko, dodržování předpisů může být pro tyto organizace náročné a zdlouhavé. Soulad bude zajišťovat příslušný orgán subjektu. Členské státy EU budou mít právo ukládat sankce za porušení povinností.

Dosažení souladu se směrnicí

Přestože nařízení DORA umožňuje přechodné období do 17. ledna 2025, doporučujeme, aby organizace, kterých se nařízení týká, zahájily přípravy okamžitě. Doporučujeme přijmout postupný přístup, v jehož rámci subjekty v působnosti vypracují program shody s DORA s cílem dosáhnout shody do konce přechodného období. Nedosažení souladu může vést k přísným pokutám od ledna 2025.

Kterých subjektů se DORA týká?

Nařízení se vztahuje na řadu finančních institucí regulovaných EU, včetně úvěrových institucí, platebních institucí, obchodníků s cennými papíry, pojišťoven a další. Bude se vztahovat také na poskytovatele ICT služeb.  

Do této kategorie patří např. poskytovatelé cloudových služeb, softwaru, datových center. Na druhou stranu jsou vyňati někteří provozovatelé systémů platebních a kreditních karet. Zejména mikropodnikům (do 10 osob s ročním obratem nižším než 2 miliony EUR) se poskytují výrazné úlevy od některých povinností. Například nejsou povinny zavést, udržovat a revidovat tzv. komplexní program testování provozní odolnosti digitálních systémů. 


Členské státy EU budou mít právo ukládat sankce za porušení povinností.

To znamená, že vedoucí orgán může za nedodržení předpisů uložit značné sankce. Tyto významné sankce budou mít podobu penále ve výši 1 % průměrného denního celosvětového obratu organizace v předchozím hospodářském roce. Tuto pokutu bude vedoucí kontrolor uplatňovat denně, dokud nebude dosaženo souladu s předpisy, a to nejdéle po dobu šesti měsíců.

Finanční subjekty

  • Úvěrové instituce
  • Správci alternativních investičních fondů
  • Platební instituce
  • Řídící společnosti
  • Poskytovatelé služeb informování o účtu
  • Poskytovatelé služeb vykazování dat
  • Elektronické peněžní instituce
  • Pojišťovny a zajišťovny
  • Investiční společnosti
  • Instituce zaměstnaneckého penzijního pojištění
  • Poskytovatelé kryptoaktivních služeb a emitenti tokenů odkazujících na aktiva
  • Zprostředkovatelé pojištění, zprostředkovatelé zajištění a doplňkoví zprostředkovatelé pojištění
  • Centrální depozitáře cenných papírů
  • Ratingové agentury
  • Ústřední protistrany
  • Správci kritických referenčních úrovní
  • Obchodní systémy
  • Poskytovatelé služeb crowdfundingu
  • Obchodní úložiště
  • Úložiště cenných papírů

Toto nařízení se nevztahuje na:

  • správce alternativních investičních fondů podle čl. 3 odst. 2 směrnice 2011/61/EU;
  • pojišťovny a zajišťovny uvedené v článku 4 směrnice 2009/138/ES;
  • instituce zaměstnaneckého penzijního pojištění, které provozují penzijní systémy, jež dohromady nemají více než 15 členů;
  • fyzické nebo právnické osoby vyňaté podle článků 2 a 3 směrnice 2014/65/EU;
  • zprostředkovatelé pojištění, zprostředkovatelé zajištění a doplňkoví zprostředkovatelé pojištění, kteří jsou mikropodniky nebo malými či středními podniky;
  • poštovní žirové instituce podle čl. 2 odst. 5 bodu 3 směrnice 2013/36/EU.



Poskytovatelé služeb třetích stran v oblasti ICT

  • Poskytovatelé služeb cloud computingu
  • Software
  • Služby analýzy dat
  • Finanční subjekty poskytující služby ICT jiným finančním subjektům
  • Podniky, které jsou součástí finanční skupiny a poskytují ICT služby převážně svému mateřskému podniku nebo dceřiným společnostem či pobočkám svého mateřského podniku.
  • Účastníci ekosystému platebních služeb, kteří poskytují činnosti zpracování plateb nebo provozují platební infrastrukturu.
  • Poskytovatelé služeb datových center
* uvedené subjekty jsou příklady poskytovatelů služeb ICT třetích stran.

Dodržování směrnice DORA: Naše řešení

VBDO nabízíme služby voblasti informační i kybernetické bezpečnosti. Pomůžeme vám zabezpečit vaše informace a aktiva tak, abychom minimalizovali potenciální hrozby. Postupujeme vsouladu s dalšímilegislativními požadavky, zejména s ISO normami a Zákonem o kybernetické bezpečnosti (ZKB). 

 

  • Poskytujeme odborné poradenství v oblasti dodržování zákona DORA, včetně posouzení rizik a analýzy nedostatků, řízení incidentů, plány kontinuity provozu, kybernetickou bezpečnost, nepřetržitou podporu a monitorování.  

  • Umíme vám také pomoci s implementací a zajištěním služby pro zajištění bezpečnosti a odolnosti IT infrastruktury proti potenciálním hrozbám včetně penetračního testování, hodnocení zranitelnosti a plánování reakce na incidenty a vybudováním systému pro jejich řízení.   

  • Proškolíme vaše zaměstnance, aby pochopili smysl regulace DORA a principy zavedených opatření. Vysvětlíme jim, jak mohou ve své roli přispět ke splnění požadavků. 


Hlavní kontaktní osoby