Naši kolegové, advokát Martin Novotný a advokátní koncipientka Adéla Kachlířová, několik měsíců leželi, seděli, spali v nařízení nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru (DORA) a prováděcích regulatorně technických standardech (RTS). Výsledkem je sada desítek vnitřních předpisů a dokumentů, které tvoří dokumentaci dle požadavků nařízení DORA a RTS a mj. vychází i z demonstrativního výčtu struktury dokumentů a procesů dle upozorňujícího dopisu ČNB povinným subjektům ze dne 13.9.2024 (příloha č. 1).
Řešení DORA zahrnuje
- Strategii digitální provozní odolnosti: Příprava ucelené strategie pro zajištění digitální provozní odolnosti
- Rámec pro řízení rizik v oblasti IKT: Příprava dokumentů a povinných příloh zaměřených na hodnocení aktiv a rizik, bezpečnostní opatření, kontinuitu provozu apod.
- Rámec pro řízení incidentů IKT: Příprava dokumentů a povinných příloh pro klasifikaci a hlášení incidentů, včetně komunikačních plánů apod.
- Testování digitální provozní odolnosti: Příprava plánů a dokumentace pro testování digitální provozní odolnosti
- Řízení vztahů s třetími stranami: Právní podpora při řízení rizik spojených s třetími stranami, včetně dokumentace týkající se dodavatelů
Konkretizované řešení se skládá z těchto strategií, vnitřních předpisů, politik a dokumentů dle nařízení DORA, které vám dodáme ve velmi krátkém čase k nasazení:
-
Strategie digitální provozní odolnosti
-
Řízení rizika v oblasti IKT
- Směrnice o řízení rizik v oblasti IKT
-
- Příloha: Hodnocení aktiv a rizik
- Katalog primárních a podpůrných aktiv a vazby mezi nimi
- Katalog zranitelností a hrozeb
- Katalog rizik
- Hodnocení aktiv a rizik z hlediska dostupnosti, důvěrnosti a integrity
- Příloha: Plán zvládání rizik (excel)
- Katalog bezpečnostních opatření - cíle a přínosy, priorita a stav zavádění, potřebné zdroje k zavedení
- Příloha: Zpráva o hodnocení rizik
- Příloha: Hodnocení aktiv a rizik
- Bezpečnostní směrnice
- Politika v oblasti lidských zdrojů
- Komunikační strategie
- Politika správy identit a řízení přístupu
- Politika šifrování a kryptografické kontroly
- Bezpečnost operací IKT (řízení kapacity a výkonu, řízení zranitelností a oprav,..)
- Bezpečnost sítí
- Politika fyzické a environmentální bezpečnosti
- Politika řízení projektů a změn
- Příloha: Registr certifikátů (excel)
- Politika zachování provozu IKT
- Pohotovostní plán
- Analýza dopadu (BIA)
- Plány obnovy
- Zpráva o přezkumu rámce pro řízení rizika v oblasti IKT
- Řízení, klasifikace a hlášení incidentů souvisejících s IKT
- Směrnice o řízení incidentů souvisejících s IKT
- Příloha: Evidence incidentů
- Příloha: Hlášení o incidentu
- Prvotní oznámení
- Průběžná zpráva
- Závěrečná zpráva
- Příloha: Oznámení o kybernetické hrozbě
- Testování digitální provozní odolnosti
- Testování digitální provozní odolnosti
- Příloha: Plán testování DPO
- Řízení rizika v oblasti IKT spojeného s třetími stranami
- Směrnice o řízení rizik v oblasti IKT spojeného s třetími stranami
- Příloha: Registr ujednání s třetími stranami v oblasti IKT
- Příloha: Evidence dodavatelů a služeb jimi poskytovaných
- Příloha: Registr rizik spojených s třetími stranami
Dokumenty jsou navrženy tak, aby vyhověly přísným požadavkům nařízení DORA, aniž by obsahovaly zbytečné nadstandartní požadavky. Nicméně z vaší strany je nezbytné přizpůsobení dokumentace přímo vaší společnosti.
Nařízení platí od 17. ledna 2025. To však pravděpodobně neznamená, že k vám 18. 1. přijde ČNB, jako dohledový orgán, na kontrolu. Kdo však bude mít správně nastaven systém IKT, bude mít odpovídající dokumentaci odrážející IKT nastavení a správně zasmluvněné IKT dodavatele, bude připraven! Ještě stále také můžete využít dotací k digitalizaci své firmy.
S dokumentací DORA a smluvním nastavením IKT dodavatelů vám rádi pomůžeme, neváhejte nás kontaktovat.
Jsme připraveni provést vás celým procesem a začít pro vás pracovat.
Další články v kategorii
JUDr. Lumír Schejbal
Jsem zakládající partner advokátní kanceláře. Po ukončení studií na Právnické fakultě Masarykovy univerzity jsem pracoval jako právník a compliance officer u obchodníků s cennými papíry ATLANTIK finanční trhy a CYRRUS. V roce 2007 jsem založil vlastní advokátní kancelář se specializací na finanční regulaci. Jsem členem Asociace pro kapitálový trh, České fintech asociace a Českého compliance institutu. Působím jako externí vyučující na Právnické fakultě MU.
Mou specializací je právo finančních trhů s businessovým přesahem. V rámci své dosavadní praxe jsem zajišťoval pro klienty povolení k výkonu činnosti obchodníka s cennými papíry, licence platební instituce či investiční společnosti. Podílel jsem se na projektech financovaných korporátními dluhopisy v řádu miliard Kč, zastupoval jsem klienty v licenčních i sankčních řízeních před ČNB.
Spolu s kolegy jsem připraven pro vás začít pracovat.