DORA není holka, ani Lola, co běží o život (Lola rennt, 1998). Jedná se o Evropskou komisí připravované Nařízení o digitální provozní odolnosti finančních institucí (Digital Operational Resilience Act neboli DORA).
Cílem nařízení DORA je sjednotit požadavky na řízení rizik v oblasti informačních a komunikačních technologií (IKT) a digitální provozní odolnosti u subjektů, které podléhají povolení a finančnímu dohledu. Ve všech regulovaných oblastech finančního trhu již nyní platí nějaká pravidla pro řízení rizik IKT. Jsou však rozdílná, v některých oborech jen rámcová či kusá, někde, jako např. v bankovnictví a platebních službách jsou již nyní velmi robustní. Od účinnosti nařízení DORA budou všechny v něm vymezené subjekty podléhat jednotné regulaci řízení rizik a hlášení incidentů v oblasti IKT. Nařízením to však neskončí, na ně budou navazovat regulatorně technické standardy (RTS) vypracované evropskými orgány pro finanční regulaci po konzultaci s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA). Tyto RTS půjdou do velkého detailu a stanoví jasné mantinely správné praxe.
Nařízení bude mít dopad na všechny regulované finanční instituce. Některé subjekty, např. banky či platební instituce, si s regulací poradí snadněji, protože již nyní musejí aplikovat náročné řízení rizik v oblasti IKT, jelikož jim to nařizuje směrnice PSD2 a prováděcí akty jako např. Obecné pokyny EBA pro řízení rizik v oblasti IKT a bezpečnosti. Pro menší subjekty finančního trhu, jako jsou např. nebankovní obchodníci s cennými papíry, investiční společnosti či poskytovatelé služeb v oblasti kryptoaktiv, může být naplnění povinností velmi náročné. Požadavky regulace DORA totiž u nich povedou k významnému zvýšení nákladů na bezpečnost a řízení rizik IKT, a to jak z důvodu technologických, tak i personálních.
Adresáti nařízení musejí zavést a uplatňovat proces řízení incidentů souvisejících s IKT, a to i za účelem hlášení incidentů a jsou povinni zavést interní výstražné ukazatele včasného varování. V případě nastalého incidentu musí instituce reagovat velmi rychle, incident musí být neprodleně nahlášen regulátorovi, nejpozději však do konce obchodního dne, v němž se přihodil. Subjekty budou také povinny závažnost incidentů klasifikovat, a to dle pravidel v nařízení a navazujících prováděcích aktech.
I přes uvedené se však domníváme, že nařízení DORA nepovede k pozastavení či zastavení vývoje fintechu. Vzhledem ke komplexnosti regulace řízení rizik IKT však bude vstup nových fintech společností do finančních odvětví zase o něco složitější. Společnosti budou muset vynaložit na získání licence v příslušném odvětví vyšší náklady, budou muset regulátorovi prokázat, že splňují vysoké nároky na regulaci IKT v daném odvětví. Inovativní fintechové služby si však cestu na trh najdou, buď ve spolupráci s investory, nebo již existujícími regulovanými subjekty v odvětví.
Jsme připraveni provést vás celým procesem a začít pro vás pracovat.
Další články v kategorii
JUDr. Lumír Schejbal
Lumír je zakládajícím partnerem advokátní kanceláře. Po studiu na Právnické fakultě Masarykovy univerzity pracoval jako právník a compliance officer u obchodníků s cennými papíry Atlantik finanční trhy a Cyrrus. V roce 2007 založil vlastní advokátní kancelář se specializací na finanční regulaci, oblast, vníž patří mezi respektované odborníky.
Je členem Asociace pro kapitálový trh, České fintech asociace a Českého compliance institutu, působí také jako externí vyučující na Právnické fakultě MU. Specializuje se na právo finančních trhů s přesahem do oblasti businessu. Za svou praxi pomohl klientům získat povolení k výkonu činnosti obchodníka s cennými papíry, licence platební instituce či investiční společnosti. Podílel se na projektech financovaných korporátními dluhopisy v řádu miliard korun a zastupoval klienty v licenčních i sankčních řízeních před ČNB. Spolu s kolegy je připraven začít pracovat i pro vás.
