facebook LinkedIN LinkedIN - follow
IT SYSTEMS 4/2024 , Banky a finanční organizace , IT právo

Finančním sektorem budou v období 2024–2026 rezonovat nařízení EU

Petr Řezníček


Těžko budeme na trhu hledat více regulacemi a legislativou svázaný sektor než ten finanční. Není důležité, zda se jedná o předpisy a nařízení na úrovni jednotlivých států, nebo celé EU. Protiváhou na misce vah je skutečnost, že tato legislativa často vytváří businessové příležitosti a otevírá nové obchodní scénáře. V období 2024–2026 bude trhem rezonovat hned několik změn, které budou mít zásadní vliv na business i samotné fungování finančního sektoru. Jejich společným jmenovatelem jsou regulace a nařízení EU.


eIDAS2

Největší změny přinese svými změnami nařízení eIDAS2, které je novelou nám dobře známé a stále platné eIDAS. I přes to, že aktuálně probíhá schvalovací proces (Evropský parlament schválil a postoupil návrh legislativního aktu vnitrostátním parlamentům 2. 3. 2024), můžeme už nyní říct, že zásadně ovlivní život všech uživatelů i poskytovatelů digitálních služeb na území EU, a to hned v několika ohledech. Cílem eIDAS2 je podpořit rozvoj elektronických služeb různého typu. Specificky pak tato regulace mluví o různých typech „kvalifikovaných“ služeb; tj. takových, které splňují určité technické, procesní a regulatorní standardy, a je proto možné je využívat v různých agendách napříč Evropou.

Klíčovými příležitostmi financial sektoru pak jsou:

  • řešení pro elektronickou identifikaci a autentizaci, bez kterého se neobejde žádný digitální systém – týká se zaměstnanců, občanů, partnerů, klientů, pacientů a mnoha dalších rolí, ve kterých každý z nás vystupuje
  • systémy a řešení pro budování infrastruktury kvalifikovaných služeb různých typů – PKI, certifikáty, pečetě, podpisy; různé akcelerátory pro vývoj webových a mobilní aplikací (pro zajištění bezpečnosti a souladu s regulatorními požadavky)

Je zřejmý tlak na členské státy, aby v digitalizaci služeb, především v oblasti elektronické identifikace a autentizace, významně pokročily.

EUDIW

eIDAS2 definuje základní rámec pro vznik a fungování Evropské peněženky digitální identity (EUDIW). Ta bude mobilním nositelem digitální identity všech občanů EU. eIDAS2 zajistí, že digitální peněženka EU bude bezpečná, spolehlivá, a především, že elektronická identita vydaná v jednom členském státě EU bude uznávána ve všech státech EU. Z pohledu uživatele se bude jednat o mobilní aplikaci, která umožní všem občanům EU bezpečně a pohodlně využívat a spravovat svoji digitální identitu a další důležité dokumenty.

S příchodem EUDIW tak můžeme mluvit o skutečné digitalizaci dokladů, a nejen jich. Do budoucna má nabídnout digitální verze občanského a řidičského průkazu (eID), dále pak diplomy a osvědčení (např. o profesní kvalifikaci) a další doklady. Samozřejmě v ní bude prostor i pro platební nástroje. V budoucnu se můžeme těšit na rozšíření o další služby, jako např. recepty atd.

EUDIW by rovněž měla uživatelům umožnit vytvářet a používat kvalifikované elektronické podpisy a pečetě, akceptovatelné v celé EU. Jakmile se fyzické osoby zapojí do používání evropské peněženky digitální identity, budou mít možnost ji standardně a bezplatně používat k autorizaci kvalifikovaným elektronickým podpisem, a to bez nutnosti absolvovat další administrativní postupy. Uživatelé tak získají možnost podepisovat nebo pečetit vlastní prohlášení a atributy.

Evropská digitální peněženka i samotné nařízení eIDAS2 je pro technologické společnosti i poskytovatele služeb velmi atraktivní téma. Pro business sektor je na jedné straně velkou příležitostí, ovšem na straně druhé i další regulací, s níž se bude muset vyrovnat. Pro poskytovatele technologických řešení představuje obchodní příležitost, podobně jako bankovní identita. Ta umožnila používat digitální identitu pro přístup ke službám státní správy i soukromého sektoru. Oproti bankovní identitě, která je použitelná „pouze“ pro 10 milionů obyvatel ČR, čeká na EUDIW přes 440 milionů obyvatel celé EU.

„Očekáváme, že toto téma podpoří poptávku po řešeních v oblasti propojování elektronických služeb s využitím principů federace identit. EUDIW má potenciál být jednoduchou metodou pro onboarding klientů v online prostoru. Její využití je ve všech digitálních kanálech, kde je potřeba získat ověřené údaje o klientovi (aktuálně velký problém, který každá země EU řeší jinak); zejména pokud je nutné naplnit AML požadavky (Anti-Money Laundering – opatření proti legalizaci výnosů z trestné činnosti a financování terorismu vyžadující nejvyšší míru ověření),“ dodává Václav Mladěnka, Head of Financial Services Business Unit v Monet+.

Václav Mladěnka
Václav Mladěnka

Lze očekávat, že v příštím roce bude toto téma aktuální pro vládní sektor, zatímco pro banky a další poskytovatele služeb se stane klíčovým později (za dva roky).

Kvalifikovaný elektronický podpis

Dalším produktem, který se díky legislativě EU dostává do záře reflektorů, je kvalifikovaný elektronický podpis, případně kvalifikovaný podpis na dálku. „Tématu elektronického podpisu se věnujeme dlouhodobě; vnímáme ho jako klíčový akcelerátor rozvoje digitálních služeb, zejména v oblasti smluv, eGovernmentu a v budoucnu také zdravotnictví a dalších agend. Zpětná vazba trhu potvrzuje, že o vzdálený elektronický podpis (remote sign) je zájem napříč business segmenty, nejen ve Financial. Naši zákazníci označují za zajímavé především scénáře úzce propojující procesy elektronické identifikace a autentizace. Integrace řešení do stávajících digitálních kanálů (např. bankovních aplikací) zlepšuje celkový uživatelský zážitek, a bude mít přímý vliv na míru penetrace služby mezi koncovými uživateli,“ komentuje Václav Mladěnka.

PSD3

Regulace ve finančních službách, včetně směrnice PSD2 a nadcházející PSD3, zdůrazňuje potřebu posílení bezpečnosti. PSD3 klade důraz na úroveň zabezpečení autentifikačních a autorizačních procesů zákazníků nevyužívajících moderní metody. Typickým příkladem je uživatel digitálních kanálů banky bez chytrého telefonu. PSD3 nově nařizuje využití moderních a bezpečných metod pro jeho ověření a autorizaci finančních i nefinančních transakcí. Organizace řešily požadavky směrnice PSD2 moderními metodami umožňovanými mobilním telefonem. Takto pokryly většinu populace, nicméně stále existuje skupina klientů, kteří preferují nebo potřebují jinou formu autorizace. PSD3 poukazuje na nutnost mít silnou autorizační metodu i pro tuto skupinu klientů. V tomto kontextu se otevírá potenciál pro hardwarová řešení. Ta se již na trhu etablovala díky využití business zákazníky finančního sektoru. PSD3 otevírá jejich vyšší využití i mezi retailovými klienty.

NIS2

Evropská směrnice určující pravidla pro řešení kybernetické bezpečnosti uvnitř organizací sice vstoupila v platnost už na začátku roku 2023, ale až v průběhu letošního roku vejde v platnost implementací do právního řádu ČR (Zákon o kybernetické bezpečnosti). Tuto směrnici bude muset povinně splnit jen v ČR více než 6 000 firem a organizací. Zavedením řady pravidel bude mít směrnice zásadní dopad na zajištění bezpečnosti v kyberprostoru.

NIS2 je přímou reakcí EU na stále častější a sofistikovanější kybernetické útoky na soukromé subjekty a klíčovou infrastrukturu kteréhokoliv státu. EU touto směrnicí zavádí ještě účinnější regulaci, díky které chce zvýšit celkovou úroveň kybernetické odolnosti v Evropě. NIS2 rozšiřuje působnost již existující a platné směrnice NIS, která se ale díky stále rychlejší digitální transformaci ukázala být nedostačující. Úkolem novely je tak mimo jiné i sjednocení přístupu ke kybernetické bezpečnosti napříč členskými státy EU.

„Nová legislativa významně rozšiřuje okruh subjektů, na které se budou vztahovat požadavky na zajištění kybernetické bezpečnosti, a mění i zavedenou terminologii. Původní směrnice NIS se totiž týkala jen provozovatelů takzvaných základních a digitálních služeb, ve směrnici NIS2 se ale subjekty nově dělí na základní a důležité. Do „základní“ skupiny byli nově zařazeni nejen původní provozovatelé základních služeb, ale i mnoho nováčků. Za všechny jmenujme např. poštovní a kurýrní služby, výrobu a distribuci potravin nebo digitální služby,“ doplňuje Petr Ciprys, Business development manager Monet+.

Petr Ciprys
Petr Ciprys

Bylo by chybou chápat evropské regulace jako pouhý direktivní nástroj. Věřím, že je na trhu dostatek respektovaných, vysoce kvalifikovaných společností v technologické i regulatorní oblasti, které v nich dokážou svou mírou erudice a odbornosti najít business témata. Regulace jako PSD2, GDPR, NIS2, či nadcházející eIDAS2, NIS2, DORA, PSD3 atd. jsou sice komplikované na orientaci, ale vytvářejí obchodní příležitosti a zvyšují poptávku. A to jak pro poskytovatele služeb, tak pro technologické providery.

Petr Řezníček Petr Řezníček
Autor článku působí na pozici Digital Identity Product Marketing Manager ve společnosti MONET+.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.