Kompletní dokumentační řešení dle nařízení DORA pro finanční instituce

Naši kolegové, advokát Martin Novotný a advokátní koncipientka Adéla Kachlířová, několik měsíců leželi, seděli, spali v nařízení nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru (DORA) a prováděcích regulatorně technických standardech (RTS). Výsledkem je sada desítek vnitřních předpisů a dokumentů, které tvoří dokumentaci dle požadavků nařízení DORA a RTS a mj. vychází i z demonstrativního výčtu struktury dokumentů a procesů dle upozorňujícího dopisu ČNB povinným subjektům ze dne 13.9.2024 (příloha č. 1).

Řešení DORA zahrnuje

• Strategii digitální provozní odolnosti: Příprava ucelené strategie pro zajištění digitální provozní odolnosti
• Rámec pro řízení rizik v oblasti IKT: Příprava dokumentů a povinných příloh zaměřených na hodnocení aktiv a rizik, bezpečnostní opatření, kontinuitu provozu apod.
• Rámec pro řízení incidentů IKT: Příprava dokumentů a povinných příloh pro klasifikaci a hlášení incidentů, včetně komunikačních plánů apod.
• Testování digitální provozní odolnosti: Příprava plánů a dokumentace pro testování digitální provozní odolnosti
• Řízení vztahů s třetími stranami: Právní podpora při řízení rizik spojených s třetími stranami, včetně dokumentace týkající se dodavatelů

Konkretizované řešení se skládá z těchto strategií, vnitřních předpisů, politik a dokumentů dle nařízení DORA, které vám dodáme ve velmi krátkém čase k nasazení:

1. Strategie digitální provozní odolnosti

2. Řízení rizika v oblasti IKT

• Směrnice o řízení rizik v oblasti IKT
• • Příloha: Hodnocení aktiv a rizik
    • Katalog primárních a podpůrných aktiv a vazby mezi nimi
    • Katalog zranitelností a hrozeb
    • Katalog rizik
    • Hodnocení aktiv a rizik z hlediska dostupnosti, důvěrnosti a integrity
  • Příloha: Plán zvládání rizik (excel)
    • Katalog bezpečnostních opatření - cíle a přínosy, priorita a stav zavádění, potřebné zdroje k zavedení
  • Příloha: Zpráva o hodnocení rizik
• Bezpečnostní směrnice
  • Politika v oblasti lidských zdrojů
  • Komunikační strategie
  • Politika správy identit a řízení přístupu
  • Politika šifrování a kryptografické kontroly
  • Bezpečnost operací IKT (řízení kapacity a výkonu, řízení zranitelností a oprav,..)
  • Bezpečnost sítí
  • Politika fyzické a environmentální bezpečnosti
  • Politika řízení projektů a změn
  • Příloha: Registr certifikátů (excel)
• Politika zachování provozu IKT
  • Pohotovostní plán
  • Analýza dopadu (BIA)
  • Plány obnovy
• Zpráva o přezkumu rámce pro řízení rizika v oblasti IKT

3. Řízení, klasifikace a hlášení incidentů souvisejících s IKT

• Směrnice o řízení incidentů souvisejících s IKT
  • Příloha: Evidence incidentů
  • Příloha: Hlášení o incidentu
    • Prvotní oznámení
    • Průběžná zpráva
    • Závěrečná zpráva
  • Příloha: Oznámení o kybernetické hrozbě

4. Testování digitální provozní odolnosti

• Testování digitální provozní odolnosti
  • Příloha: Plán testování DPO

5. Řízení rizika v oblasti IKT spojeného s třetími stranami

• Směrnice o řízení rizik v oblasti IKT spojeného s třetími stranami
  • Příloha: Registr ujednání s třetími stranami v oblasti IKT
  • Příloha: Evidence dodavatelů a služeb jimi poskytovaných
  • Příloha: Registr rizik spojených s třetími stranami

Dokumenty jsou navrženy tak, aby vyhověly přísným požadavkům nařízení DORA, aniž by obsahovaly zbytečné nadstandartní požadavky. Nicméně z vaší strany je nezbytné přizpůsobení dokumentace přímo vaší společnosti.

Nařízení platí od 17. ledna 2025. To však pravděpodobně neznamená, že k vám 18. 1. přijde ČNB, jako dohledový orgán, na kontrolu. Kdo však bude mít správně nastaven systém IKT, bude mít odpovídající dokumentaci odrážející IKT nastavení a správně zasmluvněné IKT dodavatele, bude připraven!

S dokumentací DORA a smluvním nastavením IKT dodavatelů vám rádi pomůžeme, neváhejte nás kontaktovat.