facebook LinkedIN LinkedIN - follow
IT SYSTEMS 11/2023 , Banky a finanční organizace , IT Security , IT právo

Nařízení o digitální provozní odolnosti (DORA)

JUDr. Jiří Matzner, Ph.D., LLM


Téměř před rokem přijala Evropská rada nařízení o digitální pro­voz­ní činnosti neboli Digital Operational Resilience Act (dále jen „Nařízení“ nebo také „DORA“). Nařízení je zá­sad­ní iniciativou EU v oblasti digi­tál­ní provozní a kybernetické odolnosti v sektoru finančních služeb. Nařízení vstoupilo v platnost dne 16. ledna 2023, nicméně účinným se stane až od 17. ledna 2025. Povinné subjekty nyní mají přibližně 15 měsíců na implementaci nových pravidel stanovených Nařízením do svých procesů, pokud tak ještě neučinily.


Nařízení DORA bylo přijato jako speciální právní regulace finančního sektoru ve vztahu ke směrnici Network and Information Security 2 (tzv. NIS2), přičemž v případě jejich rozporu bude mít DORA přednost, jakožto „lex specialis“. Povinné subjekty, které spadají nejen do působnosti DORA, ale i do působnosti směrnice NIS2, se tak budou primárně řídit Nařízením DORA. Hlavním cílem Nařízení je konsolidovat a aktualizovat zákonné požadavky na riziko v oblasti informačních a komunikačních technologií (ICT), které byly doposud řešeny v samostatných právních aktech a neodpovídaly rizikům a potřebám dnešní doby.

Konzistentnost právní regulace by měla přispět také ke zvýšení stability finančního sektoru, zejména v době významné závislosti finančních institucí na systémech, platformách a infrastrukturách informačních technologií, s nimiž jsou spojena zvýšená digitální rizika. Nařízení by tedy mělo nejen zvýšit kybernetickou bezpečnost a odolnost finančního sektoru prostřednictvím plošného zavedení „základní kybernetické hygieny“ pro povinné subjekty, ale prostřednictvím legislativní harmonizace napříč EU také přispět ke snížení nákladů na dodržování právních předpisů, a to zejména u finančních subjektů působících přeshraničně.

Nařízení bude mít dopad i na některé externí poskytovatele služeb informačních technologií, pokud budou klasifikovaní jako tzv. kritičtí poskytovatelé. Kritičtí poskytovatelé služeb informačních technologií budou designováni přímo evropskými orgány dohledu, a to z důvodu jejich důležitosti pro celý finanční sektor EU. Takovéto určení bude vždy posuzováno individuálně a s přihlédnutím k podmínkám stanoveným v Nařízení, jako např. s ohledem na dopady případného výpadku činnosti externího poskytovatele na stabilitu, kontinuitu nebo kvalitu poskytování finančních služeb, míru nahraditelnosti externího poskytovatele atp.

Koho se DORA týká?

Obecně se DORA zaměřuje na zvýšení úrovně IT a kybernetické bezpečnosti v oblasti bankovnictví a kapitálového trhu. Cílem nařízení je ochrana finančních subjektů a jejich klientů před stále častějšími a sofistikovanějšími formami kybernetických útoků, jakož i sjednocení a modernizace požadavků na řízení rizik informačních a komunikačních technologií. Povinnými subjekty budou zejména úvě­ro­vé instituce, platební instituce, investiční podniky, instituce elek­t­ro­nic­kých peněz, poskytovatelé služeb souvisejících s kryptoaktivy, pojišťovny a zajišťovny, poskytovatelé služeb skupinového financování, ratingové agentury apod. Z působnosti Nařízení jsou pak vyňaty subjekty jako např. zprostředkovatelé pojištění, zprostředkovatelé zajištění a zprostředkovatelé doplňkového pojištění, kteří jsou mikropodniky a malými nebo středními podniky (tj. podniky zaměstnávajícími méně než 250 osob, jejichž roční obrat nepřesahuje 50 milionů eur). Od některých povinností stanovených Nařízením jsou dále také osvobozeny tzv. mikropodniky, tedy ty podniky, které zaměstnávají méně než 10 osob a jejichž roční obrat nebo bilanční suma roční rozvahy nepřesahuje 2 miliony eur.

Hlavní cíl – digitální provozní odolnost

Digitální provozní odolností se pro účely Nařízení rozumí „schopnost finančního subjektu budovat, zajišťovat a revidovat svoji provozní integritu a spolehlivost prostřednictvím zajištění, ať již přímo, či nepřímo s využitím služeb ICT z řad třetích stran, veškerých schopností souvisejících s ICT nezbytných k řešení otázek bezpečnosti sítí a informačních systémů, které finanční subjekt používá a které přispívají k nepřetržitému poskytování finančních služeb a k jejich kvalitě, a to mimo jiné i během narušení“. Jedním z hlavních cílů Nařízení je zajištění vysoké digitální provozní odolnosti ze strany povinných subjektů tak, aby byly schopny čelil všem možným druhům kybernetických útoků, byly schopny na ně patřičně reagovat a v případě narušení zajistit vhodnou a včasnou nápravu.

Povinnosti finančních subjektů

S cílem zajistit digitální provozní odolnost Nařízení ukládá povinnosti nejen finančním subjektům, ale i poskytovatelům služeb informačních technologií, a stanovuje minimální požadavky na smlouvy uzavírané mezi těmito subjekty navzájem. Zajištění digitální provozní odolnosti je postaveno na několika pilířích, mezi které můžeme zařadit napří­klad zavedení systému řízení rizik v oblasti ICT, zavedení systému oznamování významných incidentů a hrozeb souvisejících s ICT, testování digitální provozní odolnosti, zavedení vnitřních směrnic pro řízení informační bezpečnosti, zajištění bezpečnosti a ochrany dat, zajištění vzdělávání pracovníků v oblasti bezpečnosti informací, zajištění kontinuity provozu v případě incidentu či havárie atd.

Nařízení stanovuje širokou škálu povinností, které budou muset finanční instituce splnit. Finanční instituce budou muset nejen imple­men­to­vat povinnosti stanovené Nařízením do svých vnitřních předpi­sů, ale také nastavit postupy pravidelných kontrol bezpečnosti ICT, jmenovat osoby, které budou odpovědné za risk managment ICT, nebo zavést pravidelná školení zaměstnanců a vedoucích pracovníků v této oblasti. Odpovědnou osobou za risk managment bude zpravid­la statutární či obdobný vedoucí orgán povinného subjektu. Vedoucí orgán bude odpovědný za schvalování strategie digitální odolnosti i za rozdělení konkrétních povinností a úkolů souvisejících s ICT.

Zvolenou strategii digitální odolnosti bude v neposlední řadě muset povinný subjekt také pravidelně testovat a na základě výsledků takového testování následně odpovídajícím způsobem zlepšovat a aktualizovat. Zajištění souladu s novými pravidly bude pro řadu finančních institucí (jakožto povinných subjektů) bezesporu vyžadovat vynaložení významných investic tak, aby dosáhly potřebné úrovně odolnosti vůči digitálním a kybernetickým hrozbám.

Smlouvy s externími poskytovateli

Nařízení dále také nastavuje minimální požadavky na ujednání ve smlouvách uzavíraných mezi finančními institucemi (povinnými subjekty) a externími poskytovateli ICT služeb. Součástí těchto smluv bude muset být např. srozumitelný a úplný popis všech funkcí a ICT služeb dodávaných z řad třetích stran, dále specifikace míst, kde mají být nasmlouvané nebo subdodavatelem zajišťované ICT služby poskytovány, ustanovení týkající se dostupnosti, hodnověrnosti, integrity a důvěrnosti ochrany údajů, popis úrovně poskytovaných ICT služeb, nebo třeba ustanovení o právu na ukončení smlouvy. V roce 2024 by měl být zveřejněn prováděcí předpis k Nařízení, který bude předmětnou oblast upravovat detailněji. DORA současně předpokládá, že povinné subjekty budou své poskytovatele ICT služeb důsledně prověřovat, a to nejen před navázáním spolupráce, ale i v celém jejím průběhu.

ICT incident

Pokud nastane ve finanční instituci tzv. ICT incident, jako například kybernetický útok ohrožující řádné fungování informačních systémů, musí instituce vynaložit veškeré úsilí k tomu, aby byl zachován provoz při současném odstraňování vzniklého bezpečnostního rizika. Při incidentu se bude postupovat podle předem připravených krizových komunikačních plánů, umožňujících odpovědné informování klientů, protistran a případně i veřejnosti o vzniklých ICT incidentech. Vzniklý incident pak bude mít finanční instituce povinnost ohlásit dohledovému orgánu, který o něm následně sepíše zprávu, jež bude do budoucna sloužit ostatním povinným subjektům ke zlepšení jejich vlastní strategie odolnosti.

Závěr

Bez ohledu na skutečnost, že Nařízení nabyde účinnosti až počátkem roku 2025, by finanční instituce (jakožto povinné subjekty) měly zbystřit už nyní a včas zahájit potřebnou implementaci legislativních povinností do svých struktur. Zavedení souladu s veškerými požadavky a povinnostmi stanovenými v Nařízení totiž bude běh na dlouhou trať, který není vhodné nechávat na poslední chvíli.

Jiří Matzner JUDr. Jiří Matzner, Ph.D., LLM.
Autor článku je zakladatelem advokátní kanceláře MATZNER Legal.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.