12. Led 2024

Zákon o digitální provozní odolnosti

DORA - Odolnost ve finančním sektoru

DORA je nařízení Evropské unie, jehož cílem je vytvořit závazný komplexní rámec pro řízení rizik a odolnost informačních a komunikačních technologií (ICT) pro finanční sektor EU. Zveřejněno bylo 16. ledna 2023 a jeho prováděcí lhůta je stanovena na dva roky.

Co je cílem DORA?

DORA, navržená tak, aby zvýšila odolnost finančního sektoru vůči kybernetickým hrozbám a přerušením podnikání, si klade za cíl vytvořit komplexní a zastřešující rámec digitální provozní odolnosti s pravidly pro všechny regulované finanční instituce.

Týká se to především rizik v oblasti ICT systémů a operací, kybernetické bezpečnosti, přerušení provozu, IT incidentů a rizik kritických poskytovatelů služeb třetích stran.

Koho se DORA týká?

DORA se bude vztahovat na více než 20 000 finančních společností, které budou muset dodržovat stanovené standardy pro prevenci a omezení dopadu rizik souvisejících s informační a komunikační technologií (ICT).

Nařízení bude muset být implementováno do 17. ledna 2025.

Dotčenými společnostmi jsou finanční instituce a poskytovatelé ICT služeb třetích stran působící v Evropské unii:

  • Banky
  • Úvěrové a splátkové instituce
  • Pojišťovny
  • Burzy cenných papírů
  • Obchodní platformy
  • Poskytovatelé digitálních služeb

Co požaduje DORA z hlediska obsahu?

Pokud jde o samotnou DORA - jednotlivé požadavky jsou rozděleny do kapitol (pilířů) a ty se zase dělí na články. To usnadňuje interní rozdělení a pojmenování vnitřních pracovních postupů s prováděcími kroky:

  • posouzení GAP a audit připravenosti (provedení nezbytných analýz GAP a vlastnictví pro implementaci)
  • vypracování plánu provádění (opatření, průběžné cíle a stanovení priorit)
  • zlepšení pokynů a postupů (harmonizace s DORA)
  • školení a zvyšování informovanosti
  • monitorování (pravidelné hodnocení účinnosti opatření, sledování) a neustálé zlepšování

Přehled kapitol

PILÍŘ 1

Řízení rizik v oblasti ICT (článek 5-16): Řízení a kontrola vrcholového vedení s ohledem na jeho aktivní roli v oblasti řízení rizik ICT a rámce kybernetických rizik. Soubor požadavků a klíčových zásad pro rámec řízení rizik v oblasti ICT.

PILÍŘ 2

Hlášení incidentů ICT (článek 17-23): Standardizace reportování a rozšíření ohlašovacích povinností. Finanční organizace musí mít zaveden proces řízení incidentů souvisejících s ICT, včetně hlášení závažných bezpečnostních incidentů orgánu EIOPA.

PILÍŘ 3

Digitální provozní testování odolnosti (článek 24-27): Finanční firmy musí provádět základní a pokročilé testování (TLPT - Thread-Led Pentration Tests: simulace hackerského útoku prostřednictvím etického hackingu) a zavést robustní a komplexní program testování digitální provozní odolnosti.

PILÍŘ 4

Řízení rizik třetí strany (článek 28-44): Finanční organizace musí jako nedílnou součást svého systému řízení rizik ICT řídit i rizika třetích stran. Vytvoření pravidel založených na zásadách pro sledování rizik třetích stran, definice smluvních ustanovení a vytvoření přehledového rámce pro kritické ICT TPP (Third Party Providers).

PILÍŘ 5

Ujednání o sdílení informací (článek 45): Finanční společnosti si navzájem poskytují informace a poznatky o kybernetických hrozbách.

L2 RTS - regulační technické normy DORA Level 2

17. leden 2023 - zveřejnění první skupiny L2 RTS:

  • Rámec pro řízení rizik v oblasti ICT (čl. 15, 16): Nástroje, metody, procesy a strategie řízení rizik, proporcionalita a přístup založený na rizicích, flexibilita při provádění, podávání zpráv o rámci řízení rizik, podávání zpráv o zranitelnosti a rámec řízení rizik v řadě funkcí.
  • Incidenty související s ICT (čl. 18 odst. 3): Klasifikace incidentů v oblasti ICT s pomocí kritérií, jako je dopad na pověst, doba trvání, výpadek služby a ovlivněné transakce.
  • Služby ICT poskytované třetími stranami (čl. 28.9, 28.10): Podrobnosti o obsahu zásad týkajících se smluvních ujednání a o typech informací, které mají být zahrnuty do registru informací o ICT službách TPP

10. prosinec 2023 - zveřejnění druhé skupiny L2 RTS:

  • do 4. března 2024 otevřena ke konzultacím.

Souhrnné informace týkající se relevantních zákonů a směrnic pro bezpečnost informací naleznete v naši první letošní aktualitě "Významné legislativní novinky v oblasti kybernetické bezpečnosti v roce 2024" :

  • NIS 2 (Network and Information Security Directive 2 - Směrnice o bezpečnosti sítí a informací)
  • CRA (Cyber Resilience Act - Zákon o kybernetické odolnosti)
  • AIA (Artificial Intelligence Act - Zákon o umělé inteligenci)
  • TISAX (Trusted Information Security Assessment Exchange)
  • a v neposlední řadě i DORA (Digital Operational Resilience Act)

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

20. Čvn 2024

Online kurz: Refreshing kurz pro auditory a manažery IS

2024: podzimní termín

13. Čvn 2024

Inovace v oblasti ISO norem

Zahrnutí aspektů změny klimatu do norem pro systémy řízení

28. Kvě 2024

Jaký způsob získávání znalostí je nejúčinnější?

Co očekáváte od dalšího vzdělávání?

20. Kvě 2024

Online kurz: Refreshing kurz pro manažery a auditory IS

2024: nový termín

17. Kvě 2024

Podrobněji o TISAX®: 12 cílů hodnocení

Bezpečnost informací v automobilovém průmyslu

15. Kvě 2024

Podrobněji o TISAX®: tři úrovně hodnocení

Bezpečnost informací v automobilovém průmyslu

02. Kvě 2024

TISAX®: Bezpečnost informací v automobilovém průmyslu

V rychlém pruhu

22. Dub 2024

ISO 42001 – nová norma pro umělou inteligenci

První světový standard pro umělou inteligenci

+420 733 180 494