DORA není holka, ani Lola, co běží o život (Lola rennt, 1998). Jedná se o Evropskou komisí připravované Nařízení o digitální provozní odolnosti finančních institucí (Digital Operational Resilience Act neboli DORA).
Cílem nařízení DORA je sjednotit požadavky na řízení rizik v oblasti informačních a komunikačních technologií (IKT) a digitální provozní odolnosti u subjektů, které podléhají povolení a finančnímu dohledu. Ve všech regulovaných oblastech finančního trhu již nyní platí nějaká pravidla pro řízení rizik IKT. Jsou však rozdílná, v některých oborech jen rámcová či kusá, někde, jako např. v bankovnictví a platebních službách jsou již nyní velmi robustní. Od účinnosti nařízení DORA budou všechny v něm vymezené subjekty podléhat jednotné regulaci řízení rizik a hlášení incidentů v oblasti IKT. Nařízením to však neskončí, na ně budou navazovat regulatorně technické standardy (RTS) vypracované evropskými orgány pro finanční regulaci po konzultaci s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA). Tyto RTS půjdou do velkého detailu a stanoví jasné mantinely správné praxe.
Nařízení bude mít dopad na všechny regulované finanční instituce. Některé subjekty, např. banky či platební instituce, si s regulací poradí snadněji, protože již nyní musejí aplikovat náročné řízení rizik v oblasti IKT, jelikož jim to nařizuje směrnice PSD2 a prováděcí akty jako např. Obecné pokyny EBA pro řízení rizik v oblasti IKT a bezpečnosti. Pro menší subjekty finančního trhu, jako jsou např. nebankovní obchodníci s cennými papíry, investiční společnosti či poskytovatelé služeb v oblasti kryptoaktiv, může být naplnění povinností velmi náročné. Požadavky regulace DORA totiž u nich povedou k významnému zvýšení nákladů na bezpečnost a řízení rizik IKT, a to jak z důvodu technologických, tak i personálních.
Adresáti nařízení musejí zavést a uplatňovat proces řízení incidentů souvisejících s IKT, a to i za účelem hlášení incidentů a jsou povinni zavést interní výstražné ukazatele včasného varování. V případě nastalého incidentu musí instituce reagovat velmi rychle, incident musí být neprodleně nahlášen regulátorovi, nejpozději však do konce obchodního dne, v němž se přihodil. Subjekty budou také povinny závažnost incidentů klasifikovat, a to dle pravidel v nařízení a navazujících prováděcích aktech.
I přes uvedené se však domníváme, že nařízení DORA nepovede k pozastavení či zastavení vývoje fintechu. Vzhledem ke komplexnosti regulace řízení rizik IKT však bude vstup nových fintech společností do finančních odvětví zase o něco složitější. Společnosti budou muset vynaložit na získání licence v příslušném odvětví vyšší náklady, budou muset regulátorovi prokázat, že splňují vysoké nároky na regulaci IKT v daném odvětví. Inovativní fintechové služby si však cestu na trh najdou, buď ve spolupráci s investory, nebo již existujícími regulovanými subjekty v odvětví.
Jsme připraveni provést vás celým procesem a začít pro vás pracovat.
Další články v kategorii
JUDr. Lumír Schejbal
Jsem zakládající partner advokátní kanceláře. Po ukončení studií na Právnické fakultě Masarykovy univerzity jsem pracoval jako právník a compliance officer u obchodníků s cennými papíry ATLANTIK finanční trhy a CYRRUS. V roce 2007 jsem založil vlastní advokátní kancelář se specializací na finanční regulaci. Jsem členem Asociace pro kapitálový trh, České fintech asociace a Českého compliance institutu. Působím jako externí vyučující na Právnické fakultě MU.
Mou specializací je právo finančních trhů s businessovým přesahem. V rámci své dosavadní praxe jsem zajišťoval pro klienty povolení k výkonu činnosti obchodníka s cennými papíry, licence platební instituce či investiční společnosti. Podílel jsem se na projektech financovaných korporátními dluhopisy v řádu miliard Kč, zastupoval jsem klienty v licenčních i sankčních řízeních před ČNB.
Spolu s kolegy jsem připraven pro vás začít pracovat.