DORA - Odolnost ve finančním sektoru

Co je cílem DORA?

DORA, navržená tak, aby zvýšila odolnost finančního sektoru vůči kybernetickým hrozbám a přerušením podnikání, si klade za cíl vytvořit komplexní a zastřešující rámec digitální provozní odolnosti s pravidly pro všechny regulované finanční instituce.

Týká se to především rizik v oblasti ICT systémů a operací, kybernetické bezpečnosti, přerušení provozu, IT incidentů a rizik kritických poskytovatelů služeb třetích stran.

Koho se DORA týká?

DORA se bude vztahovat na více než 20 000 finančních společností, které budou muset dodržovat stanovené standardy pro prevenci a omezení dopadu rizik souvisejících s informační a komunikační technologií (ICT).

Nařízení bude muset být implementováno do 17. ledna 2025.

Co požaduje DORA z hlediska obsahu?

Pokud jde o samotnou DORA - jednotlivé požadavky jsou rozděleny do kapitol (pilířů) a ty se zase dělí na články. To usnadňuje interní rozdělení a pojmenování vnitřních pracovních postupů s prováděcími kroky:

• posouzení GAP a audit připravenosti (provedení nezbytných analýz GAP a vlastnictví pro implementaci)
• vypracování plánu provádění (opatření, průběžné cíle a stanovení priorit)
• zlepšení pokynů a postupů (harmonizace s DORA)
• školení a zvyšování informovanosti
• monitorování (pravidelné hodnocení účinnosti opatření, sledování) a neustálé zlepšování

Přehled kapitol

PILÍŘ 1

Řízení rizik v oblasti ICT (článek 5-16): Řízení a kontrola vrcholového vedení s ohledem na jeho aktivní roli v oblasti řízení rizik ICT a rámce kybernetických rizik. Soubor požadavků a klíčových zásad pro rámec řízení rizik v oblasti ICT.

PILÍŘ 2

Hlášení incidentů ICT (článek 17-23): Standardizace reportování a rozšíření ohlašovacích povinností. Finanční organizace musí mít zaveden proces řízení incidentů souvisejících s ICT, včetně hlášení závažných bezpečnostních incidentů orgánu EIOPA.

PILÍŘ 3

Digitální provozní testování odolnosti (článek 24-27): Finanční firmy musí provádět základní a pokročilé testování (TLPT - Thread-Led Pentration Tests: simulace hackerského útoku prostřednictvím etického hackingu) a zavést robustní a komplexní program testování digitální provozní odolnosti.

PILÍŘ 4

Řízení rizik třetí strany (článek 28-44): Finanční organizace musí jako nedílnou součást svého systému řízení rizik ICT řídit i rizika třetích stran. Vytvoření pravidel založených na zásadách pro sledování rizik třetích stran, definice smluvních ustanovení a vytvoření přehledového rámce pro kritické ICT TPP (Third Party Providers).

PILÍŘ 5

Ujednání o sdílení informací (článek 45): Finanční společnosti si navzájem poskytují informace a poznatky o kybernetických hrozbách.

L2 RTS - regulační technické normy DORA Level 2

17. leden 2023 - zveřejnění první skupiny L2 RTS:

• Rámec pro řízení rizik v oblasti ICT (čl. 15, 16): Nástroje, metody, procesy a strategie řízení rizik, proporcionalita a přístup založený na rizicích, flexibilita při provádění, podávání zpráv o rámci řízení rizik, podávání zpráv o zranitelnosti a rámec řízení rizik v řadě funkcí.
• Incidenty související s ICT (čl. 18 odst. 3): Klasifikace incidentů v oblasti ICT s pomocí kritérií, jako je dopad na pověst, doba trvání, výpadek služby a ovlivněné transakce.
• Služby ICT poskytované třetími stranami (čl. 28.9, 28.10): Podrobnosti o obsahu zásad týkajících se smluvních ujednání a o typech informací, které mají být zahrnuty do registru informací o ICT službách TPP

10. prosinec 2023 - zveřejnění druhé skupiny L2 RTS:

• do 4. března 2024 otevřena ke konzultacím.