6 min. čtení 11. listopadu 2022
Jmenuje se DORA a vyžaduje větší bezpečí. Nové nařízení pro finanční instituce

Jmenuje se DORA a vyžaduje větší bezpečí. Nové nařízení pro finanční instituce

Autoři
Petr Plecháček

EY Česká republika, Associate Partner oddělení technologického consultingu a IT

Petr vede tým kybernetické bezpečnosti. Zaměřuje se na hrozby, opatření proti útokům, bezpečnostní testy a analytiku, ochranu osobních údajů a citlivých dat. Tyto oblasti propojuje s IT consultingem.

Kristýna Ročeň Dudková

EY Česká republika, Manager oddělení Financial Services Advisory – Regulatory Services

Kristýna zodpovídá v rámci FSRM týmu za regulatorní témata s hlavní specializací na obecné compliance, digitalizaci, spotřebitelské právo, pojištění, platební styk, AML a CFT.

6 min. čtení 11. listopadu 2022

Na přelomu roku vstupuje v platnost nové evropské zařízení o digitální provozní odolnosti. Jmenuje se DORA a týkat se bude takřka celého finančního systému. 

Téma kybernetická bezpečnost nabírá na významu zejména díky digitalizaci, s jejímž rozšířením může docházet také k možnému zvýšení kybernetických hrozeb. Z tohoto důvodu Evropská komise připravila Nařízení o digitální provozní odolnosti (DORA), jehož cílem je snížit rizika v rámci užívání informačních technologií a zvýšit tak odolnost finančního systému, a to prostřednictvím jednotných pravidel platných v celé EU.

DORA stanovuje, že všechny společnosti spojené s finančním světem musí být schopny zabezpečit své informační a komunikační systémy proti případným narušením a hrozbám a v případě problémů okamžitě reagovat.

Vstoupit by mělo v platnost na přelomu roku 2022/2023 a použije se po uplynutí 12 měsíců s pár výjimkami. Tyto přísné standardy budou muset respektovat nejen banky a ostatní finanční instituce, ale také třetí strany poskytující tomuto sektoru kritické služby související s informačními a komunikačními technologiemi (IKT). Cílem je zabránit a snížit dopady takových incidentů.

Co všechno DORA upravuje?

DORA stanovuje jednotné požadavky týkající se bezpečnosti sítí a informačních systémů využívaných finančními subjekty k dosažení vysoké úrovně digitální provozní odolnosti. Obsahuje části týkající se například řízení rizik, testování, sdílení operativních a jiných informací souvisejících s kybernetickými hrozbami, smluvních ujednáních mezi poskytovateli služeb IKT z řad třetích stran a finančními subjekty aj.

Na koho se bude DORA vztahovat?

Z důvodu zajištění konzistentnosti celého finančního systému se nařízení bude vztahovat na řadu finančních institucí regulovaných EU, mezi něž patří úvěrové instituce, platební instituce, obchodníci s cennými papíry, pojišťovny vč. zprostředkovatelů apod. Bude také platit pro poskytovatele služeb IKT z řad třetích stran. Do této kategorie budou dle návrhu spadat zejména dodavatelé cloudových služeb, SW, datových center a jiné. Zahrnuty pod DORA pak nebudou například někteří provozovatelé platebních systémů s neodvolatelností zúčtování.

Požadavky DORA týkající se správy a řízení

Od vedoucích orgánů společností bude vyžadováno, aby zastávaly klíčovou a aktivní úlohu při zavedení rámce řízení rizik v oblasti IKT do interních procesů a zasazovaly se o dodržování těchto pravidel. Nezbytné bude přidělení jasných funkcí a odpovědností souvisejících s IKT a pravidelné přezkoumání a monitorování řízení rizik v této oblasti. Vedoucí orgány budou muset být proškoleny, aby rozuměly rizikům souvisejících s IKT, byly připraveny na jejich možná řešení a byly si vědomy své odpovědnosti. Požadavky týkající se nejen správy a řízení vychází z EBA Obecných pokynů týkajících se IKT, které DORA rozšiřuje a doplňuje.

Požadavky na řízení rizik v oblasti IKT

DORA stanovuje, že finanční subjekty musí mít solidní, ucelený a dobře zdokumentovaný rámec pro řízení rizik v oblasti informačních a komunikačních technologií. Zároveň musí zajistit vysokou míru digitální provozní odolnosti odpovídající potřebám jejich provozu, velikosti, organizační struktuře a strategii. Alespoň jednou ročně musí docházet k jeho revizi a podléhá pravidelnému auditu.

Hlášení závažných incidentů souvisejících s IKT

Jednou z důležitých částí nařízení je konsolidace požadavků na hlášení incidentů souvisejících s oblastí IKT. Cílem je sjednotit pravidla, typy a podobu nahlášených incidentů, což by mělo vést k výraznému zlepšení v oblasti detekce, analýzy, řešení a evidence. Ambicí bude udržitelnost a zajištění homogenity celého systému. To znamená, aby byl ekosystém finančních institucí schopen udržet jednotnou úroveň chápání pojmu „závažný incident související s IKT“, a to bez ohledu na typ společnosti či zemi, ve které působí.

„Odolnost jako prostředek, nikoli cíl“

Doba, kdy výklad pojmu „testování digitální a provozní odolnosti“ začínal a končil u Business Continuity managementu (BCM) a penetračních testů, je pryč. Rostoucí digitalizace přináší nová rizika, a proto musí být v neustálém vývoji i obranné a detekční strategie.

Tímto směrem uvažuje i Evropská strategie kybernetické bezpečnosti, což se projevuje také v nařízení DORA. Požadavky na zajištění kybernetické odolnosti vyžadují adopci nových principů řízení kybernetické bezpečnosti. Klíčem k silné kybernetické odolnosti je konzistentní monitoring, identifikace rizik a automatizované ověřování efektivity bezpečnostních technologií a týmů.

Ačkoliv dílčí požadavky na externí testery ve spojitosti s DORA jsou v nařízení již uvedeny, jednotlivé metodiky testování zatím nejsou součástí návrhu. Lze očekávat, že budou vycházet z principů TIBER-EU metodiky, jejíž testy simulují taktiky, techniky a postupy skutečných útočníků na základě hrozeb, které jsou pro testovaný subjekt relevantní (například dle odvětví nebo geolokace podnikání). Jsou šité na míru tak, aby simulovaly útok na kritické funkce entity a její základní systémy.

Rizika spojená s řízením třetích stran

Každá banka má povinnost sledovat a kontrolovat rizika vyplývající ze vztahu s dodavateli. DORA nařízení doplňuje stávající mechanismus bankovního dohledu. Zatímco bankovní dohled se zaměřuje na rizika a dohled významných bank, DORA otevírá evropským orgánům přístup k dodavatelům kritických IKT komponent ve finančních institucích a v případě potřeby lze využívat „motivačních“ sankcí.

DORA jako revoluce, nebo spíše evoluce?

Nejde o žádnou převratnou revoluci, významné bankovní instituce byly již dříve pod drobnohledem kontrolních orgánů. Vztahovala se na ně řada regulací v oblasti kybernetické bezpečnosti, které vycházejí ve své podstatě ze stejných principů jako v případě DORA. Zejména menší finanční instituce, které do teď nejsou významněji regulovány z pohledu kybernetické bezpečnosti, budou čelit relativně krátkému období, během kterého musí uvést své systémy do souladu s nařízením.

Jaká jsou rizika?

Relativně krátká doba, po které se nařízení stane použitelným, může ve spojitosti s dalšími regulacemi z balíčku kybernetické odolnosti EU dle našeho očekávání vyvolat ještě větší nedostatek odborníků kybernetické bezpečnosti na pracovním trhu. Očekáváme, že přístup a myšlení firem se bude muset změnit, zejména u menších subjektů nebude možné sestavit plnohodnotný tým odborníků na kybernetickou bezpečnost. Stejně jako jsme se naučili využívat car/bikesharing, tak i v oblasti kybernetické bezpečnosti lze očekávat zajišťování některých komponent formou sdílené služby.

Dalšími důležitými aspekty jsou automatizace, umělá inteligence a strojové učení. Je produkováno stále větší množství dat, ale s nedostatkem zaměstnanců klesá schopnost společností analyzovat a vyhodnocovat relevantní data. I přesto, anebo právě proto, je nutné orientovat se na relevantní hrozby a automatizované testování kybernetické odolnosti vůči nim.

Finanční instituce by měly také zkontrolovat své interní předpisy, procesy a smluvní dokumenty a zajistit jejich soulad s nařízením DORA.

Rostoucí digitalizace přináší nová rizika, a proto musí být v neustálém vývoji i obranné a detekční strategie. Tímto směrem uvažuje i Strategie kybernetické bezpečnosti EU, což se projevuje v nařízení DORA.

Každá banka má povinnost sledovat a kontrolovat rizika vyplývající ze vztahu s dodavateli. DORA nařízení doplňuje stávající mechanismus bankovního dohledu, otevírá evropským orgánům přístup k dodavatelům kritických IKT komponent ve finančních institucích a v případě potřeby lze využívat „motivačních“ sankcí.

Shrnutí

Na přelomu roku 2022/23 vstupuje v platnost nové evropské zařízení o digitální provozní odolnosti. Jmenuje se DORA a týkat se bude takřka celého finančního systému. Jak přesně, to v článku pro magazín Bankovnictví vysvětlují naši experti Petr Plecháček a Kristýna Ročeň Dudková.

O tomto článku

Autoři
Petr Plecháček

EY Česká republika, Associate Partner oddělení technologického consultingu a IT

Petr vede tým kybernetické bezpečnosti. Zaměřuje se na hrozby, opatření proti útokům, bezpečnostní testy a analytiku, ochranu osobních údajů a citlivých dat. Tyto oblasti propojuje s IT consultingem.

Kristýna Ročeň Dudková

EY Česká republika, Manager oddělení Financial Services Advisory – Regulatory Services

Kristýna zodpovídá v rámci FSRM týmu za regulatorní témata s hlavní specializací na obecné compliance, digitalizaci, spotřebitelské právo, pojištění, platební styk, AML a CFT.