DORA (Digital Operational Resilience Act)

Rada Evropské unie formálně přijala zákon o odolnosti digitálního provozu (Digital Operational Resilience Act - DORA), který má zajistit, aby digitální infrastruktura, včetně systémů a sítí, které jsou základem kritických služeb ve finančním sektoru, byla bezpečná a odolná vůči potenciálním hrozbám. 

Finanční instituce mají relativně krátkou dobu na zajištění souladu s regulatorními požadavky. Lhůta jim běží od 16. ledna 2023, kdy směrnice DORA (Digital Operational Resilience Act) vstoupila v platnost, a potrvá po dobu dvou let.

dora

Cíle směrnice DORA

Cílem směrnice DORA je zlepšit kybernetickou bezpečnost a provozní odolnost všech regulovaných evropských finančních institucí a klíčových třetích stran, které těmto institucím poskytují služby související s informačními a komunikačními technologiemi. Kybernetickým útokům se sice nelze vyhnout, ale finanční stability v Evropě lze přesto dosáhnout, pokud organizace zmírní dopad kybernetických hrozeb na informační a komunikační technologie (ICT).
dora

Kdo je zodpovědný za plnění povinností?

Odpovědnost za plnění požadavků, které ukládá DORA, nese vedení společnosti. To bude odpovědné za přezkoumání, schválení, zavedení a aktualizaci rámce řízení rizik. Vedení by tak mělo mít plné povědomí o využívání ICT, službách a rizikovém profilu. Společnosti by měly vážit přehodnocení způsobu, jakým v praxi funguje stávající systém reportingu ICT týmů vyššímu vedení. Finanční instituce, na které se vztahuje DORA, budou povinny určit vedoucího pracovníka, který bude zodpovědný za digitální provozní odolnost a hlášení incidentů příslušným orgánům.

Harmonogram směrnice DORA

Co to pro subjekt znamená a jak může BDO pomoci?

Aby banky splnily požadavky DORA, budou muset mít zavedeny spolehlivé systémy a procesy řízení rizik. 

  • Provedeme GAP analýzu souladu s regulatorními požadavky
  • Pomůžeme s harmonizací obchodní strategie se systémem řízení kybernetických rizik a udržováním komplexního a účinného rámce řízení rizik

Cílem DORA je harmonizovat procesy klasifikace a hlášení incidentů. Zásadní význam má včasné odhalení incidentů a rychlá reakce. 

S čím umí BDO pomoci?

  • Navrhneme, jak se novým pravidlům EU přizpůsobit v oblasti podávání zpráv a sladíme v tomto směru interní procesy s cílem optimalizovat přidělování zdrojů.

S čím umí BDO pomoci?

  • Provedeme skenování zranitelností a penetrační testy. V případě potřeby zrealizujeme robustní testování kontinuity podnikání a zotavení se po havárii.
  • Navrhneme a vyvineme vhodné řešení, pomůžeme s integrací procesu a nástrojové podpory pro sdílení informací o těchto hrozbách.

Banky by měly posoudit, zda jejich strategie a plány reakce a obnovy odpovídajícím způsobem reagují na rozšířená pravidla vztahující se na řízení rizik 

S čím umí BDO pomoci?

  • Služby kybernetické bezpečnosti BDO jsou založeny na špičkových postupech a vychází z globálních regulačních požadavků.
  • Našim klientům tak umíme poskytnout holistické řešení při řízení složitostí v rámci ekosystémů třetích stran. 

Dosažení souladu se směrnicí

Přestože nařízení DORA umožňuje přechodné období do 17. ledna 2025, doporučujeme, aby organizace, kterých se nařízení týká, zahájily přípravy okamžitě. Doporučujeme přijmout postupný přístup, v jehož rámci subjekty v působnosti vypracují program shody s DORA s cílem dosáhnout shody do konce přechodného období. Nedosažení souladu může vést k přísným pokutám od ledna 2025.

Sankce za porušení povinností.

Členské státy EU budou mít právo ukládat sankce za porušení povinností. To znamená, že vedoucí orgán může za nedodržení předpisů uložit značné sankce. Tyto významné sankce budou mít podobu penále ve výši 1 % průměrného denního celosvětového obratu organizace v předchozím hospodářském roce. Tuto pokutu bude vedoucí kontrolor uplatňovat denně, dokud nebude dosaženo souladu s předpisy, a to nejdéle po dobu šesti měsíců.

Kterých subjektů se DORA týká?

Nařízení se vztahuje na řadu finančních institucí regulovaných EU, včetně úvěrových institucí, platebních institucí, obchodníků s cennými papíry, pojišťoven a další. Bude se vztahovat také na poskytovatele ICT služeb 

Do této kategorie patří např. poskytovatelé cloudových služeb, softwaru, datových center. Na druhou stranu jsou vyňati někteří provozovatelé systémů platebních a kreditních karet. Zejména mikropodnikům (do 10 osob s ročním obratem nižším než 2 miliony EUR) se poskytují výrazné úlevy od některých povinností. Například nejsou povinny zavést, udržovat a revidovat tzv. komplexní program testování provozní odolnosti digitálních systémů. 

  • Úvěrové instituce
  • Platební instituce
  • Poskytovatelé služeb informování o účtu
  • Elektronické peněžní instituce
  • Správci alternativních investičních fondů
  • Poskytovatelé kryptoaktivních služeb a emitenti tokenů odkazujících na aktiva
  • Centrální depozitáře cenných papírů
  • Ústřední protistrany
  • Obchodní systémy
  • Obchodní úložiště
  • Investiční společnosti
  • Řídící společnosti
  • Poskytovatelé služeb vykazování dat
  • Pojišťovny a zajišťovny
  • Instituce zaměstnaneckého penzijního pojištění
  • Zprostředkovatelé pojištění, zprostředkovatelé zajištění a doplňkoví zprostředkovatelé pojištění
  • Správci kritických referenčních úrovní
  • Ratingové agentury
  • Poskytovatelé služeb crowdfundingu
  • Úložiště cenných papírů

Poskytovatelé služeb třetích stran v oblasti ICT

  • Poskytovatelé služeb cloud computingu
  • Software
  • Služby analýzy dat
  • Poskytovatelé služeb datových center
  • Finanční subjekty poskytující služby ICT jiným finančním subjektům
  • Účastníci ekosystému platebních služeb, kteří poskytují činnosti zpracování plateb nebo provozují platební infrastrukturu.
  • Podniky, které jsou součástí finanční skupiny a poskytují ICT služby převážně svému mateřskému podniku nebo dceřiným společnostem či pobočkám svého mateřského podniku.

* uvedené subjekty jsou příklady poskytovatelů služeb ICT třetích stran.

  • správce alternativních investičních fondů podle čl. 3 odst. 2 směrnice 2011/61/EU;
  • pojišťovny a zajišťovny uvedené v článku 4 směrnice 2009/138/ES;
  • instituce zaměstnaneckého penzijního pojištění, které provozují penzijní systémy, jež dohromady nemají více než 15 členů;
  • fyzické nebo právnické osoby vyňaté podle článků 2 a 3 směrnice 2014/65/EU;
  • zprostředkovatelé pojištění, zprostředkovatelé zajištění a doplňkoví zprostředkovatelé pojištění, kteří jsou mikropodniky nebo malými či středními podniky;
  • poštovní žirové instituce podle čl. 2 odst. 5 bodu 3 směrnice 2013/36/EU.

Praktický přístup k dosažení souladu se směrnicí DORA

Dodržování směrnice DORA: Naše řešení

VBDO nabízíme služby voblasti informační i kybernetické bezpečnosti. Pomůžeme vám zabezpečit vaše informace a aktiva tak, abychom minimalizovali potenciální hrozby. Postupujeme vsouladu s dalšímilegislativními požadavky, zejména s ISO normami a Zákonem o kybernetické bezpečnosti (ZKB). 

  • Poskytujeme odborné poradenství v oblasti dodržování zákona DORA, včetně posouzení rizik a analýzy nedostatků, řízení incidentů, plány kontinuity provozu, kybernetickou bezpečnost, nepřetržitou podporu a monitorování.  

  • Umíme vám také pomoci s implementací a zajištěním služby pro zajištění bezpečnosti a odolnosti IT infrastruktury proti potenciálním hrozbám včetně penetračního testování, hodnocení zranitelnosti a plánování reakce na incidenty a vybudováním systému pro jejich řízení.   

  • Proškolíme vaše zaměstnance, aby pochopili smysl regulace DORA a principy zavedených opatření. Vysvětlíme jim, jak mohou ve své roli přispět ke splnění požadavků. 

Hlavní kontaktní osoby