Zákon o digitální provozní odolnosti
DORA - Odolnost ve finančním sektoru
DORA je nařízení Evropské unie, jehož cílem je vytvořit závazný komplexní rámec pro řízení rizik a odolnost informačních a komunikačních technologií (ICT) pro finanční sektor EU. Zveřejněno bylo 16. ledna 2023 a jeho prováděcí lhůta je stanovena na dva roky.
Co je cílem DORA?
DORA, navržená tak, aby zvýšila odolnost finančního sektoru vůči kybernetickým hrozbám a přerušením podnikání, si klade za cíl vytvořit komplexní a zastřešující rámec digitální provozní odolnosti s pravidly pro všechny regulované finanční instituce.
Týká se to především rizik v oblasti ICT systémů a operací, kybernetické bezpečnosti, přerušení provozu, IT incidentů a rizik kritických poskytovatelů služeb třetích stran.
Koho se DORA týká?
DORA se bude vztahovat na více než 20 000 finančních společností, které budou muset dodržovat stanovené standardy pro prevenci a omezení dopadu rizik souvisejících s informační a komunikační technologií (ICT).
Nařízení bude muset být implementováno do 17. ledna 2025.
Dotčenými společnostmi jsou finanční instituce a poskytovatelé ICT služeb třetích stran působící v Evropské unii:
- Banky
- Úvěrové a splátkové instituce
- Pojišťovny
- Burzy cenných papírů
- Obchodní platformy
- Poskytovatelé digitálních služeb
Co požaduje DORA z hlediska obsahu?
Pokud jde o samotnou DORA - jednotlivé požadavky jsou rozděleny do kapitol (pilířů) a ty se zase dělí na články. To usnadňuje interní rozdělení a pojmenování vnitřních pracovních postupů s prováděcími kroky:
- posouzení GAP a audit připravenosti (provedení nezbytných analýz GAP a vlastnictví pro implementaci)
- vypracování plánu provádění (opatření, průběžné cíle a stanovení priorit)
- zlepšení pokynů a postupů (harmonizace s DORA)
- školení a zvyšování informovanosti
- monitorování (pravidelné hodnocení účinnosti opatření, sledování) a neustálé zlepšování
Přehled kapitol
PILÍŘ 1
Řízení rizik v oblasti ICT (článek 5-16): Řízení a kontrola vrcholového vedení s ohledem na jeho aktivní roli v oblasti řízení rizik ICT a rámce kybernetických rizik. Soubor požadavků a klíčových zásad pro rámec řízení rizik v oblasti ICT.
PILÍŘ 2
Hlášení incidentů ICT (článek 17-23): Standardizace reportování a rozšíření ohlašovacích povinností. Finanční organizace musí mít zaveden proces řízení incidentů souvisejících s ICT, včetně hlášení závažných bezpečnostních incidentů orgánu EIOPA.
PILÍŘ 3
Digitální provozní testování odolnosti (článek 24-27): Finanční firmy musí provádět základní a pokročilé testování (TLPT - Thread-Led Pentration Tests: simulace hackerského útoku prostřednictvím etického hackingu) a zavést robustní a komplexní program testování digitální provozní odolnosti.
PILÍŘ 4
Řízení rizik třetí strany (článek 28-44): Finanční organizace musí jako nedílnou součást svého systému řízení rizik ICT řídit i rizika třetích stran. Vytvoření pravidel založených na zásadách pro sledování rizik třetích stran, definice smluvních ustanovení a vytvoření přehledového rámce pro kritické ICT TPP (Third Party Providers).
PILÍŘ 5
Ujednání o sdílení informací (článek 45): Finanční společnosti si navzájem poskytují informace a poznatky o kybernetických hrozbách.
L2 RTS - regulační technické normy DORA Level 2
17. leden 2023 - zveřejnění první skupiny L2 RTS:
- Rámec pro řízení rizik v oblasti ICT (čl. 15, 16): Nástroje, metody, procesy a strategie řízení rizik, proporcionalita a přístup založený na rizicích, flexibilita při provádění, podávání zpráv o rámci řízení rizik, podávání zpráv o zranitelnosti a rámec řízení rizik v řadě funkcí.
- Incidenty související s ICT (čl. 18 odst. 3): Klasifikace incidentů v oblasti ICT s pomocí kritérií, jako je dopad na pověst, doba trvání, výpadek služby a ovlivněné transakce.
- Služby ICT poskytované třetími stranami (čl. 28.9, 28.10): Podrobnosti o obsahu zásad týkajících se smluvních ujednání a o typech informací, které mají být zahrnuty do registru informací o ICT službách TPP
10. prosinec 2023 - zveřejnění druhé skupiny L2 RTS:
- do 4. března 2024 otevřena ke konzultacím.
Souhrnné informace týkající se relevantních zákonů a směrnic pro bezpečnost informací naleznete v naši první letošní aktualitě "Významné legislativní novinky v oblasti kybernetické bezpečnosti v roce 2024" :
- NIS 2 (Network and Information Security Directive 2 - Směrnice o bezpečnosti sítí a informací)
- CRA (Cyber Resilience Act - Zákon o kybernetické odolnosti)
- AIA (Artificial Intelligence Act - Zákon o umělé inteligenci)
- TISAX (Trusted Information Security Assessment Exchange)
- a v neposlední řadě i DORA (Digital Operational Resilience Act)
Další materiály k prostudování:
- Consultation on the first batch of Digital Operational Resilience Act (DORA) policy products
- ESAs joint consultation on second batch of policy mandates under the Digital Operational Resilience Act
Jsou pro Vás naše postřehy přínosné? Zaregistrujte se a odebírejte zdarma náš pravidelný newsletter!