Digitalizace změnila finanční služby na síť vzájemně propojených systémů a dodavatelů. Regulace na to reaguje: DORA zvedá laťku odolnosti ICT napříč trhem a MiCA vymezuje pravidla pro kryptoaktiva. V praxi často narážíme na to, že zásada přiměřenosti se naplňuje jen částečně a požadavky se mnohdy posouvají směrem k „bankovnímu standardu“, i když jste o několik řádů menší.
Naší výhodou je, že víme, co ČNB skutečně vyžaduje při kontrolách a jaké řešení akceptuje v licenčních řízeních.
Nové evropské směrnice
DORA sjednocuje pravidla pro řízení ICT rizik. Nejde „jen“ o kyberbezpečnost. Regulátor chce identifikovat kritické systémy a dodavatele, vidět, jak firmy hodnotí rizika, jak testují odolnost nebo zvládání incidentů.
MiCA přináší rámec pro emitenty a poskytovatele služeb s kryptoaktivy: jasnější pravidla informování klientů, řízení střetů, custody, marketingu a technologické spolehlivosti. Oba režimy kladou důraz na to, aby předpisy byly v reálných procesech a aby šlo zpětně doložit, že proběhly kontroly.
Přiměřenost
Menší subjekt by neměl kopírovat architekturu ochrany velké banky. Přesto jsou v praxi často požadavky nastavené přísně: od příliš robustních nástrojů, jež by menší firmu spíše ochromily, až po nereálně detailní auditní stopy u jednoduchých produktů. Přiměřenost je obvykle diskutabilní u outsourcingu ICT (přecenění nebo podcenění dodavatelských rizik), u evidence a vyhodnocování incidentů (formální log bez skutečné analýzy příčin) a u testování obnovy (plány existují, ale nejsou vyzkoušené).
Konkrétní dopady podle typu hráče
Menší finanční podnik nebo investiční zprostředkovatel potřebuje jasnou mapu systémů a dat: co je kritické, kdo to spravuje, jaké smluvní garance máte u dodavatelů a jak rychle umíte provoz obnovit. Klíčový je jednoduchý, ale živý registr incidentů a reálný způsob nápravy.
Fintech často stojí na moderním „stacku“ a mnoha externích službách. Regulátor u něj ocení méně žonglování s terminologií a více důkazů, že závislosti chápete: kdo má přístup k produkčním datům, jak u dodavatelů ověřujete změny ve verzi softwaru, jak přepínáte mezi primárním a záložním režimem, jak rychle umíte zneplatnit klíče a účty při incidentu. U kryptoslužeb přidejte transparentní informování klienta a zřetelné hranice mezi custody, tradingem a marketingem.
Bankovní dům řeší i robustní testy odolnosti a krizové řízení napříč skupinou. Tady bývá slabina v „last mile“: pravidla jsou perfektní, ale reporting k vedení zůstává zahlcený a neukazuje, kde skutečně roste riziko. ČNB pak klade důraz na to, aby board rozuměl prioritám a aby nálezy nezůstávaly otevřené měsíce.
Jak začít implementovat, aniž by vás to paralyzovalo?
Začněte tím, co už děláte, a ověřte, zda vše vyhovuje regulatorním očekáváním. Prakticky to znamená tři kroky, které zvládnete během prvního čtvrtletí.
- Nejprve si udělejte inventuru ICT: systémy, data, integrace, lidé a dodavatelé. Nejde o akademický seznam; potřebujete vědět, co je pro byznys kritické a čím to reálně držíte pohromadě.
- K této mapě přiřaďte rizika a kontroly. Ptejte se jednoduše: co se může stát, jak to poznám, co mě to bude stát a jak tomu zabráním nebo jak dopad zmírním. Opatření nemusejí být drahá – často stačí upravit práva v systémech, zkrátit okno pro nasazování změn, sjednat lepší SLA u dodavatele nebo zjednodušit proces ohlašování incidentů.
- Nakonec všechno vložte do procesu: kdo za co odpovídá, jak často co testujete, jak se reportuje vedení a jak rychle se zavírají nápravná opatření. Teprve pak má smysl ladit dokumentaci, aby odrážela realitu, a ne naopak.
Vyplatí se začít hned
Implementace DORA a příprava na MiCA nejsou jednorázové projekty. Jakmile jednou zavedete mapu rizik, incident log a jednoduchý reporting pro vedení, začnou se vám procesy samy „čistit“: rozhodnutí budou rychlejší, méně závislá na improvizaci a především lépe obhajitelná před dohledem, investory i partnery.
Chcete projít vaši současnou praxi proti DORA a MiCA a nastavit rozumnou úroveň přiměřenosti? Připravíme rychlý plán postavený na tom, co skutečně funguje u kontrol ČNB bez zbytečné byrokracie a s ohledem na vaše podnikání.
