12. Led 2024

Zákon o digitální provozní odolnosti

DORA - Odolnost ve finančním sektoru

DORA je nařízení Evropské unie, jehož cílem je vytvořit závazný komplexní rámec pro řízení rizik a odolnost informačních a komunikačních technologií (ICT) pro finanční sektor EU. Zveřejněno bylo 16. ledna 2023 a jeho prováděcí lhůta je stanovena na dva roky.

Co je cílem DORA?

DORA, navržená tak, aby zvýšila odolnost finančního sektoru vůči kybernetickým hrozbám a přerušením podnikání, si klade za cíl vytvořit komplexní a zastřešující rámec digitální provozní odolnosti s pravidly pro všechny regulované finanční instituce.

Týká se to především rizik v oblasti ICT systémů a operací, kybernetické bezpečnosti, přerušení provozu, IT incidentů a rizik kritických poskytovatelů služeb třetích stran.

Koho se DORA týká?

DORA se bude vztahovat na více než 20 000 finančních společností, které budou muset dodržovat stanovené standardy pro prevenci a omezení dopadu rizik souvisejících s informační a komunikační technologií (ICT).

Nařízení bude muset být implementováno do 17. ledna 2025.

Dotčenými společnostmi jsou finanční instituce a poskytovatelé ICT služeb třetích stran působící v Evropské unii:

  • Banky
  • Úvěrové a splátkové instituce
  • Pojišťovny
  • Burzy cenných papírů
  • Obchodní platformy
  • Poskytovatelé digitálních služeb

Co požaduje DORA z hlediska obsahu?

Pokud jde o samotnou DORA - jednotlivé požadavky jsou rozděleny do kapitol (pilířů) a ty se zase dělí na články. To usnadňuje interní rozdělení a pojmenování vnitřních pracovních postupů s prováděcími kroky:

  • posouzení GAP a audit připravenosti (provedení nezbytných analýz GAP a vlastnictví pro implementaci)
  • vypracování plánu provádění (opatření, průběžné cíle a stanovení priorit)
  • zlepšení pokynů a postupů (harmonizace s DORA)
  • školení a zvyšování informovanosti
  • monitorování (pravidelné hodnocení účinnosti opatření, sledování) a neustálé zlepšování

Přehled kapitol

PILÍŘ 1

Řízení rizik v oblasti ICT (článek 5-16): Řízení a kontrola vrcholového vedení s ohledem na jeho aktivní roli v oblasti řízení rizik ICT a rámce kybernetických rizik. Soubor požadavků a klíčových zásad pro rámec řízení rizik v oblasti ICT.

PILÍŘ 2

Hlášení incidentů ICT (článek 17-23): Standardizace reportování a rozšíření ohlašovacích povinností. Finanční organizace musí mít zaveden proces řízení incidentů souvisejících s ICT, včetně hlášení závažných bezpečnostních incidentů orgánu EIOPA.

PILÍŘ 3

Digitální provozní testování odolnosti (článek 24-27): Finanční firmy musí provádět základní a pokročilé testování (TLPT - Thread-Led Pentration Tests: simulace hackerského útoku prostřednictvím etického hackingu) a zavést robustní a komplexní program testování digitální provozní odolnosti.

PILÍŘ 4

Řízení rizik třetí strany (článek 28-44): Finanční organizace musí jako nedílnou součást svého systému řízení rizik ICT řídit i rizika třetích stran. Vytvoření pravidel založených na zásadách pro sledování rizik třetích stran, definice smluvních ustanovení a vytvoření přehledového rámce pro kritické ICT TPP (Third Party Providers).

PILÍŘ 5

Ujednání o sdílení informací (článek 45): Finanční společnosti si navzájem poskytují informace a poznatky o kybernetických hrozbách.

L2 RTS - regulační technické normy DORA Level 2

17. leden 2023 - zveřejnění první skupiny L2 RTS:

  • Rámec pro řízení rizik v oblasti ICT (čl. 15, 16): Nástroje, metody, procesy a strategie řízení rizik, proporcionalita a přístup založený na rizicích, flexibilita při provádění, podávání zpráv o rámci řízení rizik, podávání zpráv o zranitelnosti a rámec řízení rizik v řadě funkcí.
  • Incidenty související s ICT (čl. 18 odst. 3): Klasifikace incidentů v oblasti ICT s pomocí kritérií, jako je dopad na pověst, doba trvání, výpadek služby a ovlivněné transakce.
  • Služby ICT poskytované třetími stranami (čl. 28.9, 28.10): Podrobnosti o obsahu zásad týkajících se smluvních ujednání a o typech informací, které mají být zahrnuty do registru informací o ICT službách TPP

10. prosinec 2023 - zveřejnění druhé skupiny L2 RTS:

  • do 4. března 2024 otevřena ke konzultacím.

Souhrnné informace týkající se relevantních zákonů a směrnic pro bezpečnost informací naleznete v naši první letošní aktualitě "Významné legislativní novinky v oblasti kybernetické bezpečnosti v roce 2024" :

  • NIS 2 (Network and Information Security Directive 2 - Směrnice o bezpečnosti sítí a informací)
  • CRA (Cyber Resilience Act - Zákon o kybernetické odolnosti)
  • AIA (Artificial Intelligence Act - Zákon o umělé inteligenci)
  • TISAX (Trusted Information Security Assessment Exchange)
  • a v neposlední řadě i DORA (Digital Operational Resilience Act)

19. Úno 2024

Norma EN 50600 podporuje udržitelnost

12. Úno 2024

Nově jsme certifikačním orgánem pro EN 50600

Nyní v naší nabídce!

05. Úno 2024

Barometr rizik: kybernetické útoky

Celosvětové riziko číslo 1

04. Led 2024

Významné legislativní novinky v oblasti kybernetické bezpečnosti v roce 2024

Zákony a směrnice zabývající se bezpečností informací

16. Lis 2023

TISAX: VDA vydala nový katalog ISA

Nová edice - verze 6

15. Lis 2023

Aktuality týkající se EN 50600

EN 50600 - Design

07. Lis 2023

O normě EN 50600

Vaše otázky - naše odpovědi

29. Zář 2023

CIS Compliance Summit 2023 / část II

Jaký byl ročník 2023/část II.

26. Zář 2023

CIS Compliance Summit 2023 / část I

Jaký byl ročník 2023/část I.

22. Zář 2023

Aktuální témata kybernetické bezpečnosti

S H. Erkingerem a Ch. Mondlem o příležitostech a rizicích New Work

01. Zář 2023

Silný štít pro naše data v éře umělé inteligence

Ochrana údajů a GDPR

04. Srp 2023

Zpráva o globálních hrozbách 2023

Zjištění, trendy a doporučení k opatřením

+420 733 180 494