Kybernetická bezpečnost

Informační bezpečnost

Legislativa

Kybernetická odolnost ve finančním sektoru: Co znamená nařízení DORA pro vaši firmu

V tomto článku zjistíte, co je to nařízení DORA, koho se týká, co vyžaduje a jak se na něj připravit.

Finanční sektor prochází digitální transformací, která přináší nové příležitosti, ale i výzvy jako jsou kybernetické hrozby. Nařízení DORA pomáhá bankám, pojišťovnám, investičním společnostem a dalším finančním institucím lépe zvládat tato rizika, chránit klienty a posilovat stabilitu celého trhu.

Nechce se vám článek číst? Poslechněte si jeho shrnutí

Co je to DORA

Nařízení DORA (Digital Operational Resilience Act) představuje jednotný rámec pro zajištění digitální provozní odolnosti subjektů finančního trhu v rámci EU. Zaměřuje se na to, jak finanční instituce spravují rizika spojená s ICT (informačními a komunikačními technologiemi) a stanovuje povinnosti v oblasti prevence, detekce, reakce a obnovy po incidentech.

Na rozdíl od dosavadních rámců, které byly roztříštěné a lišily se napříč členskými státy, DORA zavádí jednotná pravidla pro celý finanční sektor v rámci EU. V platnost vstoupila 16. ledna 2023, účinná je od 17. ledna 2025.

Proč DORA vznikla

Výpadky IT služeb mohou mít vážné dopady na klienty, finanční trhy i stabilitu celé ekonomiky. Stačí jenom několikahodinový výpadek. DORA vznikla jako reakce na potřebu:

- posílit digitální odolnost organizací vůči narušení ICT služeb

- lépe řídit rizika spojená s třetími stranami (např. cloudovými poskytovateli)

- sjednotit regulaci v celé EU

- zvýšit transparentnost a důvěru

Koho se DORA týká

Nařízení DORA má široký dosah a vztahuje se na různé subjekty ve finančním sektoru, například:

- Banky a družstevní záložny

- investiční společnosti,

- obchodníky s cennými papíry

- pojišťovny

- zajišťovny

- platební instituce

- poskytovatele služeb souvisejících s kryptoaktivy

- fintech firmy.

Nově se týká také významných poskytovatelů ICT služeb, kteří zajišťují technologie a infrastrukturu pro tyto finanční subjekty, například cloudové služby, datová centra nebo softwarové platformy.

Povinnosti se vztahují i na mikro a malé podniky, přičemž rozsah těchto povinností je přiměřený velikosti a rizikovosti subjektu. To znamená, že menší subjekty mohou mít některé povinnosti zjednodušené nebo méně rozsáhlé, aby odpovídaly jejich kapacitám a významu na finančním trhu. Tento princip proporcionality zajišťuje, že regulace je efektivní a zároveň přiměřená.

Klíčové požadavky DORA

Nařízení DORA stanovuje 5 hlavních oblastí, které musí organizace pokrýt:

1. Řízení ICT rizik

1. Řízení a hlášení incidentů

1. Testování digitální odolnosti

1. Řízení rizik třetích stran

1. Sdílení informací o hrozbách

1. Řízení ICT rizik

Organizace musí zavést rámec řízení rizik spojených s ICT, který zahrnuje:

- klasifikaci a hodnocení ICT aktiv

- pravidelnou identifikaci hrozeb a zranitelností

- kontrolní mechanismy pro předcházení a zmírnění dopadů incidentů

2. Řízení a hlášení incidentů

DORA zavádí povinnost hlásit závažné incidenty do 4 hodin od okamžiku, kdy je incident klasifikován jako závažný. Alternativně do 24 hodin od okamžiku, kdy si finanční subjekt incidentu poprvé povšimne, pokud k formální klasifikaci dojde později (viz. RTS MIR čl. 6). Organizace musí mít plán reakce na incidenty, vést záznamy a informovat příslušné orgány.

3. Testování digitální odolnosti

Organizace musí pravidelně provádět testování svých ICT systémů – od penetračních testů až po tzv. „Threat-Led Penetration Testing“ (TLPT), simulující reálné útoky.

4. Řízení rizik třetích stran

DORA klade důraz na řízení vztahů s externími poskytovateli ICT služeb – musí být uzavřeny smlouvy s jasně definovanými bezpečnostními parametry a organizace musí mít přehled o tom, jaké služby outsourcují.

5. Sdílení informací o hrozbách

Organizace mají být motivovány ke sdílení informací o hrozbách a incidentech v rámci tzv. kolektivní kybernetické obrany – za přesně definovaných právních a technických podmínek.

Jak se připravit na DORA

Splnění požadavků DORA vyžaduje důkladný a systematický přístup. Následující kroky vám pomohou se připravit:

1. Gap analýza
  Zhodnoťte současný stav a identifikujte nedostatky vůči požadavkům DORA.

1. Zavedení rámce řízení ICT rizik
  Definujte politiku, procesy a odpovědnosti pro efektivní řízení rizik.

1. Vytvoření plánů řízení incidentů a obnovy provozu
  Zahrňte školení zaměstnanců a pravidelné testování plánů.

1. Zavedení smluvních a bezpečnostních kontrol nad ICT dodavateli
  Zajistěte jasné smluvní podmínky a průběžný dohled.

1. Testování odolnosti systémů
  Provádějte pravidelné kontroly včetně pokročilých testů až po TLPT.

1. Dokumentace a reportování
  Připravte procesy pro vedení záznamů a včasné hlášení incidentů příslušným orgánům.

Jaké výhody přináší DORA

Implementace nařízení DORA vyžaduje čas a zdroje, ale přináší organizacím významné dlouhodobé přínosy:

- Zvýšení provozní odolnosti – minimalizace rizika výpadků a ztráty dat.

- Posílení důvěry klientů a partnerů – zlepšení reputace a konkurenční pozice na trhu.

- Zajištění souladu s regulacemi – snížení rizika sankcí a právních komplikací.

- Lepší přehled o ICT infrastruktuře a rizicích – zvýšení efektivity a bezpečnosti provozu.

Závěr: DORA jako nový standard odolnosti ve finančním sektoru

Nařízení DORA není jen další formální předpis, ale klíčový rámec pro zvýšení digitální odolnosti finančního sektoru. Pro organizace, které chtějí působit bezpečně a důvěryhodně, představuje DORA nejen povinnost, ale také příležitost k optimalizaci ICT procesů, posílení bezpečnosti a zvýšení odolnosti vůči krizím.