Nařízení DORA (Digital Operational Resilience Act) představuje zásadní legislativní změnu v oblasti kybernetické odolnosti a operačního řízení pro finanční instituce v Evropské unii (EU). Toto nařízení má za cíl posílit ochranu finančního sektoru před kybernetickými hrozbami a zvýšit celkovou odolnost finančního systému.
Analýza dopadu nařízení DORA na finanční instituce zahrnuje následující klíčové aspekty:
1. Povinnosti ohledně kybernetické odolnosti
Nařízení DORA ukládá finančním institucím povinnost zvyšovat svou kybernetickou odolnost. To zahrnuje povinnost mít v místě kybernetické zabezpečení na odpovídající úrovni a pravidelně testovat své systémy na zranitelnosti. Instituce budou muset také hlásit kybernetické incidenty do 24 hodin od jejich zjištění.
Povinnosti:
- Kybernetická odolnost: Finanční instituce budou muset mít v místě robustní kybernetické zabezpečení na odpovídající úrovni, což zahrnuje jak technická opatření (např. firewall, antivirový software), tak i organizační opatření (např. školení zaměstnanců, nastavení bezpečnostní politiky).
- Testování zranitelností: Instituce budou povinné pravidelně testovat své systémy na kybernetické zranitelnosti a reagovat na nalezené slabiny. To může zahrnovat penetrační testování a simulace kybernetických útoků.
- Hlášení kybernetických incidentů: DORA stanoví povinnost rychle hlásit kybernetické incidenty do 24 hodin od jejich zjištění. To je klíčové pro rychlou reakci a minimalizaci škod.
2. Povinnosti týkající se operačního řízení
DORA klade důraz na řádné operační řízení finančních institucí. To zahrnuje povinnost mít v místě plány pro kontinuitu podnikání (BCP) a řízení krizových situací. Finanční instituce budou také muset pravidelně testovat své BCP a krizové scénáře.
Povinnosti:
- Plány pro kontinuitu podnikání (BCP): Finanční instituce musí mít v místě BCP, které zajišťují, že mohou pokračovat v poskytování svých služeb i v případě krize, například v případě výpadku systému nebo kybernetického útoku.
- Řízení krizových situací: Instituce musí mít plány pro řízení krizových situací a krizové scénáře. Tyto plány by měly obsahovat kroky k odvrácení, řešení a zotavení z krize.
- Pravidelné testování BCP a krizových scénářů: DORA vyžaduje pravidelné testování BCP a krizových scénářů, aby byla zajištěna jejich efektivita.
3. Povinnosti týkající se dodavatelského řízení
Nařízení DORA vyžaduje, aby finanční instituce prověřovaly a monitorovaly kybernetickou odolnost svých dodavatelů a poskytovatelů služeb. To zahrnuje provádění auditů třetích stran a zajištění, že i dodavatelé mají odpovídající kybernetická opatření.
Povinnosti:
- Prověřování dodavatelů: Finanční instituce budou muset prověřovat kybernetickou odolnost svých dodavatelů a poskytovatelů služeb. To zahrnuje audit třetích stran a ověření, že i dodavatelé mají odpovídající kybernetická opatření.
- Monitorování kybernetické odolnosti dodavatelů: Instituce budou povinné monitorovat kybernetickou odolnost svých dodavatelů po celou dobu trvání kontraktu.
4. Povinnosti hlášení incidentů
Finanční instituce budou muset hlásit kybernetické incidenty do 24 hodin od jejich zjištění centrálnímu orgánu pro kybernetickou bezpečnost. Tyto hlášení budou muset obsahovat podrobné informace o incidentu a opatřeních, která byla přijata k jeho řešení.
Povinnosti:
- Prověřování dodavatelů: Finanční instituce budou muset prověřovat kybernetickou odolnost svých dodavatelů a poskytovatelů služeb. To zahrnuje audit třetích stran a ověření, že i dodavatelé mají odpovídající kybernetická opatření.
- Monitorování kybernetické odolnosti dodavatelů: Instituce budou povinné monitorovat kybernetickou odolnost svých dodavatelů po celou dobu trvání kontraktu.
5. Sankce za porušení nařízení
DORA stanovuje vysoké pokuty za porušení jejích ustanovení. Finanční instituce, které nedodrží povinnosti ohledně kybernetické odolnosti a operačního řízení, mohou čelit finančním sankcím a ztrátě pověsti.
Rizika:
- Vysoké pokuty: Finanční instituce, které nedodrží povinnosti nařízení DORA, mohou čelit vysokým finančním sankcím. Výše pokut může být stanovena v závislosti na závažnosti porušení.
- Ztráta pověsti: Kromě finančních sankcí může nedodržení nařízení DORA vést k vážné ztrátě pověsti instituce, což může mít dlouhodobé dopady na její obchodní výsledky.
6. Dopad pro finanční instituce
Ačkoliv nařízení DORA přináší finančním institucím nové povinnosti a náklady, její efekt je také pozitivní. Například zlepšená kybernetická odolnost a operační řízení mohou snížit riziko finančních ztrát způsobených kybernetickými útoky a zvýšit důvěru klientů a investorů.
Celkově lze říci, že nařízení DORA má za cíl posílit kybernetickou odolnost a operační řízení finančních institucí v EU. Přináší více povinností i odpovědnosti, ale také poskytuje rámec pro zvýšení bezpečnosti a odolnosti finančního sektoru. Finanční instituce by měly pečlivě analyzovat své stávající postupy a připravit se na implementaci nových opatření v souladu s tímto nařízením.
Rádi vám pomůžeme s analýzou dopadu na vaše podnikání a návrhem kroků, které je třeba učinit, aby vaše společnost stihla včas a správně implementaci povinností dle DORA.
Jsme připraveni provést vás celým procesem a začít pro vás pracovat.
Další články v kategorii
JUDr. Lumír Schejbal
Jsem zakládající partner advokátní kanceláře. Po ukončení studií na Právnické fakultě Masarykovy univerzity jsem pracoval jako právník a compliance officer u obchodníků s cennými papíry ATLANTIK finanční trhy a CYRRUS. V roce 2007 jsem založil vlastní advokátní kancelář se specializací na finanční regulaci. Jsem členem Asociace pro kapitálový trh, České fintech asociace a Českého compliance institutu. Působím jako externí vyučující na Právnické fakultě MU.
Mou specializací je právo finančních trhů s businessovým přesahem. V rámci své dosavadní praxe jsem zajišťoval pro klienty povolení k výkonu činnosti obchodníka s cennými papíry, licence platební instituce či investiční společnosti. Podílel jsem se na projektech financovaných korporátními dluhopisy v řádu miliard Kč, zastupoval jsem klienty v licenčních i sankčních řízeních před ČNB.
Spolu s kolegy jsem připraven pro vás začít pracovat.