17. ledna tohoto roku vstoupilo v účinnost Nařízení Evropské unie o digitální provozní odolnosti finančního sektoru, známé jako DORA. Jeho cílem je posílit kybernetickou bezpečnost a provozní odolnost finančních institucí a jejich poskytovatelů služeb v oblasti informačních a komunikačních technologií (ICT). Jaké požadavky a dopady bude mít nařízení DORA na finanční sektor?

Co je nařízení DORA a koho se týká?

V posledním desetiletí došlo k masivní digitalizaci finančních služeb – bankovnictví, investice, pojišťovnictví i platby jsou stále více závislé na informačních technologiích. Tento trend sice přináší výhody, jako je efektivita a dostupnost, ale zároveň zvyšuje riziko kybernetických útoků. Evropská unie zaznamenala narůstající počet incidentů, které ohrožovaly provoz finančních institucí – od výpadků systémů po cílené útoky ransomwarem. Nařízení DORA (Digital Operational Resilience Act) je právní předpis Evropské unie, který stanovuje jednotné požadavky na bezpečnost sítí a informačních systémů finančních subjektů. Cílem je zajistit, aby tyto subjekty byly schopny odolávat kybernetickým hrozbám, a minimalizovat dopady případných incidentů.

Nařízení se vztahuje na široké spektrum finančních institucí, včetně bank, pojišťoven, investičních společností, poskytovatelů platebních služeb a dalších subjektů působících na finančním trhu. Dále se dotýká poskytovatelů ICT služeb, kteří spolupracují s těmito finančními institucemi.

Hlavní požadavky nařízení DORA

1. Řízení rizik v oblasti ICT: Zavedení a udržování efektivní strategie pro identifikaci, vyhodnocování a řízení digitálních rizik.
2. Hlášení incidentů: Povinnost rychle hlásit významné incidenty v oblasti ICT příslušným regulačním orgánům.
3. Testování digitální odolnosti: Pravidelné testování systémů a procesů s cílem ověřit schopnost instituce odolávat kybernetickým útokům a obnovit provoz po incidentu.
4. Transparentnost: Sdílení informací o kybernetických hrozbách napříč finančním sektorem.
5. Regulační dohled nad poskytovateli: Instituce musí pečlivě vybírat a monitorovat své poskytovatele ICT služeb, včetně uzavírání smluv obsahujících specifické bezpečnostní požadavky.

Dopady a sankce za nedodržení nařízení

Nedodržení požadavků nařízení DORA může vést k uložení sankcí ze strany regulačních orgánů. O těchto sankcích rozhodují národním dozorové orgány (např. ČNB), přičemž odborné odhady počítají až s pokutami do výše 0,5 % ročního obratu.

Nařízení DORA představuje významný krok směrem k posílení kybernetické bezpečnosti ve finančním sektoru. Finanční instituce a jejich ICT partneři by měli co nejdříve přistoupit k implementaci požadovaných opatření, aby zajistili soulad s novými pravidly a minimalizovali rizika spojená s kybernetickými hrozbami.

Pro více informací a odborné poradenství v oblasti implementace nařízení DORA se můžete obrátit na specializované právní a poradenské firmy, které se touto problematikou zabývají.