Finanční sektor prochází digitální transformací, která přináší nové příležitosti, ale i výzvy jako jsou kybernetické hrozby. Nařízení DORA pomáhá bankám, pojišťovnám, investičním společnostem a dalším finančním institucím lépe zvládat tato rizika, chránit klienty a posilovat stabilitu celého trhu.
🎧 Nechce se vám článek číst? Poslechněte si jeho shrnutí
Co je to DORA
Nařízení DORA (Digital Operational Resilience Act) představuje jednotný rámec pro zajištění digitální provozní odolnosti subjektů finančního trhu v rámci EU. Zaměřuje se na to, jak finanční instituce spravují rizika spojená s ICT (informačními a komunikačními technologiemi) a stanovuje povinnosti v oblasti prevence, detekce, reakce a obnovy po incidentech.
Na rozdíl od dosavadních rámců, které byly roztříštěné a lišily se napříč členskými státy, DORA zavádí jednotná pravidla pro celý finanční sektor v rámci EU. V platnost vstoupila 16. ledna 2023, účinná je od 17. ledna 2025.
Proč DORA vznikla
Výpadky IT služeb mohou mít vážné dopady na klienty, finanční trhy i stabilitu celé ekonomiky. Stačí jenom několikahodinový výpadek. DORA vznikla jako reakce na potřebu:
- posílit digitální odolnost organizací vůči narušení ICT služeb
- lépe řídit rizika spojená s třetími stranami (např. cloudovými poskytovateli)
- sjednotit regulaci v celé EU
- zvýšit transparentnost a důvěru
Koho se DORA týká
Nařízení DORA má široký dosah a vztahuje se na různé subjekty ve finančním sektoru, například:
- Banky a družstevní záložny
- investiční společnosti,
- obchodníky s cennými papíry
- pojišťovny
- zajišťovny
- platební instituce
- poskytovatele služeb souvisejících s kryptoaktivy
- fintech firmy.
Nově se týká také významných poskytovatelů ICT služeb, kteří zajišťují technologie a infrastrukturu pro tyto finanční subjekty, například cloudové služby, datová centra nebo softwarové platformy.
Povinnosti se vztahují i na mikro a malé podniky, přičemž rozsah těchto povinností je přiměřený velikosti a rizikovosti subjektu. To znamená, že menší subjekty mohou mít některé povinnosti zjednodušené nebo méně rozsáhlé, aby odpovídaly jejich kapacitám a významu na finančním trhu. Tento princip proporcionality zajišťuje, že regulace je efektivní a zároveň přiměřená.
Klíčové požadavky DORA
Nařízení DORA stanovuje 5 hlavních oblastí, které musí organizace pokrýt:
- Řízení ICT rizik
- Řízení a hlášení incidentů
- Testování digitální odolnosti
- Řízení rizik třetích stran
- Sdílení informací o hrozbách
1. Řízení ICT rizik
Organizace musí zavést rámec řízení rizik spojených s ICT, který zahrnuje:
- klasifikaci a hodnocení ICT aktiv
- pravidelnou identifikaci hrozeb a zranitelností
- kontrolní mechanismy pro předcházení a zmírnění dopadů incidentů
2. Řízení a hlášení incidentů
DORA zavádí povinnost hlásit závažné incidenty do 4 hodin od okamžiku, kdy je incident klasifikován jako závažný. Alternativně do 24 hodin od okamžiku, kdy si finanční subjekt incidentu poprvé povšimne, pokud k formální klasifikaci dojde později (viz. RTS MIR čl. 6). Organizace musí mít plán reakce na incidenty, vést záznamy a informovat příslušné orgány.
3. Testování digitální odolnosti
Organizace musí pravidelně provádět testování svých ICT systémů – od penetračních testů až po tzv. „Threat-Led Penetration Testing“ (TLPT), simulující reálné útoky.
4. Řízení rizik třetích stran
DORA klade důraz na řízení vztahů s externími poskytovateli ICT služeb – musí být uzavřeny smlouvy s jasně definovanými bezpečnostními parametry a organizace musí mít přehled o tom, jaké služby outsourcují.
5. Sdílení informací o hrozbách
Organizace mají být motivovány ke sdílení informací o hrozbách a incidentech v rámci tzv. kolektivní kybernetické obrany – za přesně definovaných právních a technických podmínek.
Jak se připravit na DORA
Splnění požadavků DORA vyžaduje důkladný a systematický přístup. Následující kroky vám pomohou se připravit:
- Gap analýza
Zhodnoťte současný stav a identifikujte nedostatky vůči požadavkům DORA.
- Zavedení rámce řízení ICT rizik
Definujte politiku, procesy a odpovědnosti pro efektivní řízení rizik.
- Vytvoření plánů řízení incidentů a obnovy provozu
Zahrňte školení zaměstnanců a pravidelné testování plánů.
- Zavedení smluvních a bezpečnostních kontrol nad ICT dodavateli
Zajistěte jasné smluvní podmínky a průběžný dohled.
- Testování odolnosti systémů
Provádějte pravidelné kontroly včetně pokročilých testů až po TLPT.
- Dokumentace a reportování
Připravte procesy pro vedení záznamů a včasné hlášení incidentů příslušným orgánům.
Jaké výhody přináší DORA
Implementace nařízení DORA vyžaduje čas a zdroje, ale přináší organizacím významné dlouhodobé přínosy:
- Zvýšení provozní odolnosti – minimalizace rizika výpadků a ztráty dat.
- Posílení důvěry klientů a partnerů – zlepšení reputace a konkurenční pozice na trhu.
- Zajištění souladu s regulacemi – snížení rizika sankcí a právních komplikací.
- Lepší přehled o ICT infrastruktuře a rizicích – zvýšení efektivity a bezpečnosti provozu.
Závěr: DORA jako nový standard odolnosti ve finančním sektoru
Nařízení DORA není jen další formální předpis, ale klíčový rámec pro zvýšení digitální odolnosti finančního sektoru. Pro organizace, které chtějí působit bezpečně a důvěryhodně, představuje DORA nejen povinnost, ale také příležitost k optimalizaci ICT procesů, posílení bezpečnosti a zvýšení odolnosti vůči krizím.
Připravte se na nařízení DORA s BESECURED
Náš tým odborníků vám pomůže projít procesem přípravy na DORA od A do Z:
- Provedeme detailní audit vaší současné úrovně odolnosti.
- Pomůžeme vám vytvořit a zavést rámec řízení ICT rizik.
- Navrhneme konkrétní kroky ke splnění požadavků DORA.
- Připravíme vás na testování odolnosti i správné reportování incidentů.
- Zajistíme školení pro vaše zaměstnance i podporu při řízení dodavatelů ICT služeb.
