12. Led 2024

Zákon o digitální provozní odolnosti

DORA - Odolnost ve finančním sektoru

DORA je nařízení Evropské unie, jehož cílem je vytvořit závazný komplexní rámec pro řízení rizik a odolnost informačních a komunikačních technologií (ICT) pro finanční sektor EU. Zveřejněno bylo 16. ledna 2023 a jeho prováděcí lhůta je stanovena na dva roky.

Co je cílem DORA?

DORA, navržená tak, aby zvýšila odolnost finančního sektoru vůči kybernetickým hrozbám a přerušením podnikání, si klade za cíl vytvořit komplexní a zastřešující rámec digitální provozní odolnosti s pravidly pro všechny regulované finanční instituce.

Týká se to především rizik v oblasti ICT systémů a operací, kybernetické bezpečnosti, přerušení provozu, IT incidentů a rizik kritických poskytovatelů služeb třetích stran.

Koho se DORA týká?

DORA se bude vztahovat na více než 20 000 finančních společností, které budou muset dodržovat stanovené standardy pro prevenci a omezení dopadu rizik souvisejících s informační a komunikační technologií (ICT).

Nařízení bude muset být implementováno do 17. ledna 2025.

Dotčenými společnostmi jsou finanční instituce a poskytovatelé ICT služeb třetích stran působící v Evropské unii:

  • Banky
  • Úvěrové a splátkové instituce
  • Pojišťovny
  • Burzy cenných papírů
  • Obchodní platformy
  • Poskytovatelé digitálních služeb

Co požaduje DORA z hlediska obsahu?

Pokud jde o samotnou DORA - jednotlivé požadavky jsou rozděleny do kapitol (pilířů) a ty se zase dělí na články. To usnadňuje interní rozdělení a pojmenování vnitřních pracovních postupů s prováděcími kroky:

  • posouzení GAP a audit připravenosti (provedení nezbytných analýz GAP a vlastnictví pro implementaci)
  • vypracování plánu provádění (opatření, průběžné cíle a stanovení priorit)
  • zlepšení pokynů a postupů (harmonizace s DORA)
  • školení a zvyšování informovanosti
  • monitorování (pravidelné hodnocení účinnosti opatření, sledování) a neustálé zlepšování

Přehled kapitol

PILÍŘ 1

Řízení rizik v oblasti ICT (článek 5-16): Řízení a kontrola vrcholového vedení s ohledem na jeho aktivní roli v oblasti řízení rizik ICT a rámce kybernetických rizik. Soubor požadavků a klíčových zásad pro rámec řízení rizik v oblasti ICT.

PILÍŘ 2

Hlášení incidentů ICT (článek 17-23): Standardizace reportování a rozšíření ohlašovacích povinností. Finanční organizace musí mít zaveden proces řízení incidentů souvisejících s ICT, včetně hlášení závažných bezpečnostních incidentů orgánu EIOPA.

PILÍŘ 3

Digitální provozní testování odolnosti (článek 24-27): Finanční firmy musí provádět základní a pokročilé testování (TLPT - Thread-Led Pentration Tests: simulace hackerského útoku prostřednictvím etického hackingu) a zavést robustní a komplexní program testování digitální provozní odolnosti.

PILÍŘ 4

Řízení rizik třetí strany (článek 28-44): Finanční organizace musí jako nedílnou součást svého systému řízení rizik ICT řídit i rizika třetích stran. Vytvoření pravidel založených na zásadách pro sledování rizik třetích stran, definice smluvních ustanovení a vytvoření přehledového rámce pro kritické ICT TPP (Third Party Providers).

PILÍŘ 5

Ujednání o sdílení informací (článek 45): Finanční společnosti si navzájem poskytují informace a poznatky o kybernetických hrozbách.

L2 RTS - regulační technické normy DORA Level 2

17. leden 2023 - zveřejnění první skupiny L2 RTS:

  • Rámec pro řízení rizik v oblasti ICT (čl. 15, 16): Nástroje, metody, procesy a strategie řízení rizik, proporcionalita a přístup založený na rizicích, flexibilita při provádění, podávání zpráv o rámci řízení rizik, podávání zpráv o zranitelnosti a rámec řízení rizik v řadě funkcí.
  • Incidenty související s ICT (čl. 18 odst. 3): Klasifikace incidentů v oblasti ICT s pomocí kritérií, jako je dopad na pověst, doba trvání, výpadek služby a ovlivněné transakce.
  • Služby ICT poskytované třetími stranami (čl. 28.9, 28.10): Podrobnosti o obsahu zásad týkajících se smluvních ujednání a o typech informací, které mají být zahrnuty do registru informací o ICT službách TPP

10. prosinec 2023 - zveřejnění druhé skupiny L2 RTS:

  • do 4. března 2024 otevřena ke konzultacím.

Souhrnné informace týkající se relevantních zákonů a směrnic pro bezpečnost informací naleznete v naši první letošní aktualitě "Významné legislativní novinky v oblasti kybernetické bezpečnosti v roce 2024" :

  • NIS 2 (Network and Information Security Directive 2 - Směrnice o bezpečnosti sítí a informací)
  • CRA (Cyber Resilience Act - Zákon o kybernetické odolnosti)
  • AIA (Artificial Intelligence Act - Zákon o umělé inteligenci)
  • TISAX (Trusted Information Security Assessment Exchange)
  • a v neposlední řadě i DORA (Digital Operational Resilience Act)

25. Lis 2024

6 kroků k úspěšné implementaci ISO 42001

Nová norma pro AI

11. Lis 2024

6 výhod certifikace ISO 42001

Nová norma pro AI

05. Lis 2024

Vyšší bezpečnost s ISO 27001

ISO 27001 zvyšuje bezpečnost informací pro 81 % certifikovaných společností

30. Říj 2024

Společnost CIS udělila první certifikát ISO 42001

Novinky z oblasti AI

18. Říj 2024

CIS Compliance Summit 2024: CISO of the Year

Ocenění pro inovátory, kteří dělají kybernetický život bezpečnější a jednodušší

17. Říj 2024

Jaký byl CIS Compliance Summit 2024

Etika AI zajišťuje infrastrukturu v úzké spolupráci se směrnicemi a certifikačními standardy

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

16. Srp 2024

DORA v praxi – díl II.

Technické možnosti a výzvy

07. Srp 2024

DORA v praxi – díl I.

Správa IT a systém řízení rizik

+420 733 180 494