Kompletní dokumentační řešení dle nařízení DORA pro finanční instituce

JUDr. Lumír Schejbal
Finanční služby a regulace

Naši kolegové, advokát Martin Novotný a advokátní koncipientka Adéla Kachlířová, několik měsíců leželi, seděli, spali v nařízení nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru (DORA) a prováděcích regulatorně technických standardech (RTS). Výsledkem je sada desítek vnitřních předpisů a dokumentů, které tvoří dokumentaci dle požadavků nařízení DORA a RTS a mj. vychází i z demonstrativního výčtu struktury dokumentů a procesů dle upozorňujícího dopisu ČNB povinným subjektům ze dne 13.9.2024 (příloha č. 1).

Řešení DORA zahrnuje

  • Strategii digitální provozní odolnosti: Příprava ucelené strategie pro zajištění digitální provozní odolnosti
  • Rámec pro řízení rizik v oblasti IKT: Příprava dokumentů a povinných příloh zaměřených na hodnocení aktiv a rizik, bezpečnostní opatření, kontinuitu provozu apod.
  • Rámec pro řízení incidentů IKT: Příprava dokumentů a povinných příloh pro klasifikaci a hlášení incidentů, včetně komunikačních plánů apod.
  • Testování digitální provozní odolnosti: Příprava plánů a dokumentace pro testování digitální provozní odolnosti
  • Řízení vztahů s třetími stranami: Právní podpora při řízení rizik spojených s třetími stranami, včetně dokumentace týkající se dodavatelů
Konkretizované řešení se skládá z těchto strategií, vnitřních předpisů, politik a dokumentů dle nařízení DORA, které vám dodáme ve velmi krátkém čase k nasazení:
  1. Strategie digitální provozní odolnosti

  2. Řízení rizika v oblasti IKT

  • Směrnice o řízení rizik v oblasti IKT
    • Příloha: Hodnocení aktiv a rizik
      • Katalog primárních a podpůrných aktiv a vazby mezi nimi
      • Katalog zranitelností a hrozeb
      • Katalog rizik
      • Hodnocení aktiv a rizik z hlediska dostupnosti, důvěrnosti a integrity
    • Příloha: Plán zvládání rizik (excel)
      • Katalog bezpečnostních opatření - cíle a přínosy, priorita a stav zavádění, potřebné zdroje k zavedení
    • Příloha: Zpráva o hodnocení rizik
  • Bezpečnostní směrnice
    • Politika v oblasti lidských zdrojů
    • Komunikační strategie
    • Politika správy identit a řízení přístupu
    • Politika šifrování a kryptografické kontroly
    • Bezpečnost operací IKT (řízení kapacity a výkonu, řízení zranitelností a oprav,..)
    • Bezpečnost sítí
    • Politika fyzické a environmentální bezpečnosti
    • Politika řízení projektů a změn
    • Příloha: Registr certifikátů (excel)
  • Politika zachování provozu IKT
    • Pohotovostní plán
    • Analýza dopadu (BIA)
    • Plány obnovy
  • Zpráva o přezkumu rámce pro řízení rizika v oblasti IKT
  1. Řízení, klasifikace a hlášení incidentů souvisejících s IKT
  • Směrnice o řízení incidentů souvisejících s IKT
    • Příloha: Evidence incidentů
    • Příloha: Hlášení o incidentu
      • Prvotní oznámení
      • Průběžná zpráva
      • Závěrečná zpráva
    • Příloha: Oznámení o kybernetické hrozbě
  1. Testování digitální provozní odolnosti
  • Testování digitální provozní odolnosti
    • Příloha: Plán testování DPO
  1. Řízení rizika v oblasti IKT spojeného s třetími stranami
  • Směrnice o řízení rizik v oblasti IKT spojeného s třetími stranami
    • Příloha: Registr ujednání s třetími stranami v oblasti IKT
    • Příloha: Evidence dodavatelů a služeb jimi poskytovaných
    • Příloha: Registr rizik spojených s třetími stranami

Dokumenty jsou navrženy tak, aby vyhověly přísným požadavkům nařízení DORA, aniž by obsahovaly zbytečné nadstandartní požadavky. Nicméně z vaší strany je nezbytné přizpůsobení dokumentace přímo vaší společnosti.

Nařízení platí od 17. ledna 2025. To však pravděpodobně neznamená, že k vám 18. 1. přijde ČNB, jako dohledový orgán, na kontrolu. Kdo však bude mít správně nastaven systém IKT, bude mít odpovídající dokumentaci odrážející IKT nastavení a správně zasmluvněné IKT dodavatele, bude připraven! Ještě stále také můžete využít dotací k digitalizaci své firmy.

S dokumentací DORA a smluvním nastavením IKT dodavatelů vám rádi pomůžeme, neváhejte nás kontaktovat.

Jsme připraveni provést vás celým procesem a začít pro vás pracovat.

Další články v kategorii

JUDr. Lumír Schejbal

JUDr. Lumír Schejbal

Jsem zakládající partner advokátní kanceláře. Po ukončení studií na Právnické fakultě Masarykovy univerzity jsem pracoval jako právník a compliance officer u obchodníků s cennými papíry ATLANTIK finanční trhy a CYRRUS. V roce 2007 jsem založil vlastní advokátní kancelář se specializací na finanční regulaci. Jsem členem Asociace pro kapitálový trh, České fintech asociace a Českého compliance institutu. Působím jako externí vyučující na Právnické fakultě MU.

Mou specializací je právo finančních trhů s businessovým přesahem. V rámci své dosavadní praxe jsem zajišťoval pro klienty povolení k výkonu činnosti obchodníka s cennými papíry, licence platební instituce či investiční společnosti. Podílel jsem se na projektech financovaných korporátními dluhopisy v řádu miliard Kč, zastupoval jsem klienty v licenčních i sankčních řízeních před ČNB.

Spolu s kolegy jsem připraven pro vás začít pracovat.

Jsme právníci, ale umíme mluvit vaší řečí