DORA: Nařízení o digitální provozní odolnosti finančního sektoru 

/ Uncategorized / Napsal
zpět na Aktuality

Dne 17.1.2025 nabude účinnosti nové Nařízení (EU) 2022/2554, o digitální provozní odolnosti finančního sektoru (dále jen „DORA“), které stanoví jednotná regulační pravidla pro zlepšení kybernetické bezpečnosti v oblasti finančních služeb. Tento nový právní rámec se týká obvyklých poskytovatelů finančních služeb (banky, PI, EMI, OCP apod.), které už dnes musí dodržovat přísná pravidla týkající se řízení rizik v oblasti informačních a komunikačních technologií (IKT). Působnost DORA však dopadá i na další vyjmenované subjekty, např. poskytovatele služeb spojených s kryptoaktivy, poskytovatele služeb skupinového financování (crowdfunding) či dokonce třetí strany, které takovým subjektům poskytují služby související s IKT, jako jsou dodavatelé cloudových řešení, datových center apod. 

DORA přináší celou řadu plošných regulačních povinností a požadavků ve vztahu k nastavení a udržování systému řízení rizik v oblasti IKT, ovšem při aplikaci tohoto předpisu je třeba řídit se zásadou proporcionality a přihlédnout k velikosti, rizikovému profilu či složitosti poskytovaných finančních služeb. Mnoho výjimek se vztahuje např. na mikropodniky (méně než 10 zaměstnanců a roční obrat do 10 milionů EUR), malé a nepropojené investiční podniky apod. 

Mezi stěžejní pravidla, které DORA přináší a finanční subjekty je musí ve výše uvedeném termínu implementovat, patří:   

  1. Zpracování interního rámce pro řízení rizik spojených s provozem IKT;
  2. Zavedení kybernetického zabezpečení na požadované úrovni, což zahrnuje jak technická opatření (např. firewall, antivirová ochrana, zálohování dat), tak i organizační opatření (např. vnitřní kontrolní funkce, školení zaměstnanců);
  3. Vytvoření plánů zachování (kontinuity) provozu IKT vč. plánů pro řízení krizových situací a krizových scénářů, včetně vytvoření interních politik pro zachování provozu IKT; 
  4. Důsledné monitorování a hlášení případných IKT incidentů pomocí zavedeného jednotného systému;
  5. Pravidelné testování bezpečnostní odolnosti informačních systémů, včetně vytvoření interních rámců pro provádění testování;
  6. Prověřování a monitorování kybernetické odolnosti poskytovatelů (dodavatelů) služeb IKT.

Porušení povinností vyplývajících z DORA může mít za následek uložení správních sankcí včetně vysokých správních pokut a nápravných opatření ze strany dohledového orgánu.