Evropská regulace a digitalizace finančního trhu a její význam pro menší firmy, fintechy i banky

SCHEJBAL & PARTNERS
Finanční služby a regulace

Digitalizace změnila finanční služby na síť vzájemně propojených systémů a dodavatelů. Regulace na to reaguje: DORA zvedá laťku odolnosti ICT napříč trhem a MiCA vymezuje pravidla pro kryptoaktiva. V praxi často narážíme na to, že zásada přiměřenosti se naplňuje jen částečně a požadavky se mnohdy posouvají směrem k „bankovnímu standardu“, i když jste o několik řádů menší.

Naší výhodou je, že víme, co ČNB skutečně vyžaduje při kontrolách a jaké řešení akceptuje v licenčních řízeních. 

Nové evropské směrnice

DORA sjednocuje pravidla pro řízení ICT rizik. Nejde „jen“ o kyberbezpečnost. Regulátor chce identifikovat kritické systémy a dodavatele, vidět, jak firmy hodnotí rizika, jak testují odolnost nebo zvládání incidentů.

MiCA přináší rámec pro emitenty a poskytovatele služeb s kryptoaktivy: jasnější pravidla informování klientů, řízení střetů, custody, marketingu a technologické spolehlivosti. Oba režimy kladou důraz na to, aby předpisy byly v reálných procesech a aby šlo zpětně doložit, že proběhly kontroly.

Přiměřenost 

Menší subjekt by neměl kopírovat architekturu ochrany velké banky. Přesto jsou v praxi často požadavky nastavené přísně: od příliš robustních nástrojů, jež by menší firmu spíše ochromily, až po nereálně detailní auditní stopy u jednoduchých produktů. Přiměřenost je obvykle diskutabilní u outsourcingu ICT (přecenění nebo podcenění dodavatelských rizik), u evidence a vyhodnocování incidentů (formální log bez skutečné analýzy příčin) a u testování obnovy (plány existují, ale nejsou vyzkoušené).

Konkrétní dopady podle typu hráče

Menší finanční podnik nebo investiční zprostředkovatel potřebuje jasnou mapu systémů a dat: co je kritické, kdo to spravuje, jaké smluvní garance máte u dodavatelů a jak rychle umíte provoz obnovit. Klíčový je jednoduchý, ale živý registr incidentů a reálný způsob nápravy.

Fintech často stojí na moderním „stacku“ a mnoha externích službách. Regulátor u něj ocení méně žonglování s terminologií a více důkazů, že závislosti chápete: kdo má přístup k produkčním datům, jak u dodavatelů ověřujete změny ve verzi softwaru, jak přepínáte mezi primárním a záložním režimem, jak rychle umíte zneplatnit klíče a účty při incidentu. U kryptoslužeb přidejte transparentní informování klienta a zřetelné hranice mezi custody, tradingem a marketingem.

Bankovní dům řeší i robustní testy odolnosti a krizové řízení napříč skupinou. Tady bývá slabina v „last mile“: pravidla jsou perfektní, ale reporting k vedení zůstává zahlcený a neukazuje, kde skutečně roste riziko. ČNB pak klade důraz na to, aby board rozuměl prioritám a aby nálezy nezůstávaly otevřené měsíce.

Jak začít implementovat, aniž by vás to paralyzovalo?

Začněte tím, co už děláte, a ověřte, zda vše vyhovuje regulatorním očekáváním. Prakticky to znamená tři kroky, které zvládnete během prvního čtvrtletí.

  1. Nejprve si udělejte inventuru ICT: systémy, data, integrace, lidé a dodavatelé. Nejde o akademický seznam; potřebujete vědět, co je pro byznys kritické a čím to reálně držíte pohromadě.
  2. K této mapě přiřaďte rizika a kontroly. Ptejte se jednoduše: co se může stát, jak to poznám, co mě to bude stát a jak tomu zabráním nebo jak dopad zmírním. Opatření nemusejí být drahá – často stačí upravit práva v systémech, zkrátit okno pro nasazování změn, sjednat lepší SLA u dodavatele nebo zjednodušit proces ohlašování incidentů.
  3. Nakonec všechno vložte do procesu: kdo za co odpovídá, jak často co testujete, jak se reportuje vedení a jak rychle se zavírají nápravná opatření. Teprve pak má smysl ladit dokumentaci, aby odrážela realitu, a ne naopak.

Vyplatí se začít hned

Implementace DORA a příprava na MiCA nejsou jednorázové projekty. Jakmile jednou zavedete mapu rizik, incident log a jednoduchý reporting pro vedení, začnou se vám procesy samy „čistit“: rozhodnutí budou rychlejší, méně závislá na improvizaci a především lépe obhajitelná před dohledem, investory i partnery. 

Chcete projít vaši současnou praxi proti DORA a MiCA a nastavit rozumnou úroveň přiměřenosti? Připravíme rychlý plán postavený na tom, co skutečně funguje u kontrol ČNB bez zbytečné byrokracie a s ohledem na vaše podnikání.

Jsme připraveni provést vás celým procesem a začít pro vás pracovat.

Další články v kategorii

Jsme právníci, ale umíme mluvit vaší řečí