Na přelomu roku má vstoupit v platnost nové evropské nařízení o digitální provozní odolnosti. Jmenuje se DORA a týkat se bude takřka celého finančního systému.
Téma kybernetická bezpečnost nabírá na významu zejména díky digitalizaci, s jejímž rozšířením může docházet také k možnému zvýšení kybernetických hrozeb. Z tohoto důvodu Evropská komise připravila Nařízení o digitální provozní odolnosti (DORA), jehož cílem je snížit rizika v rámci užívání informačních technologií a zvýšit tak odolnost finančního systému, a to prostřednictvím jednotných pravidel platných v celé EU.
DORA stanovuje, že všechny společnosti spojené s finančním světem musí být schopny zabezpečit své informační a komunikační systémy proti případným narušením a hrozbám a v případě problémů okamžitě reagovat.
Vstoupit by mělo v platnost na přelomu roku 2022/2023 a použije se po uplynutí 24 měsíců. Tyto přísné standardy budou muset respektovat nejen banky a ostatní finanční instituce, ale také třetí strany poskytující tomuto sektoru kritické služby související s informačními a komunikačními technologiemi (IKT). Cílem je zabránit a snížit dopady takových incidentů.
Co všechno DORA upravuje?
DORA stanovuje jednotné požadavky týkající se bezpečnosti sítí a informačních systémů využívaných finančními subjekty k dosažení vysoké úrovně digitální provozní odolnosti. Obsahuje části týkající se například řízení rizik, testování, sdílení operativních a jiných informací souvisejících s kybernetickými hrozbami, smluvních ujednáních mezi poskytovateli služeb IKT z řad třetích stran a finančními subjekty aj.
Na koho se bude DORA vztahovat?
Z důvodu zajištění konzistentnosti celého finančního systému se nařízení bude vztahovat na řadu finančních institucí regulovaných EU, mezi něž patří úvěrové instituce, platební instituce, obchodníci s cennými papíry, pojišťovny vč. zprostředkovatelů apod. Bude také platit pro poskytovatele služeb IKT z řad třetích stran. Do této kategorie budou dle návrhu spadat zejména dodavatelé cloudových služeb, SW, datových center a jiné. Zahrnuty pod DORA pak nebudou například někteří provozovatelé platebních systémů s neodvolatelností zúčtování.
Požadavky DORA týkající se správy a řízení
Od vedoucích orgánů společností bude vyžadováno, aby zastávaly klíčovou a aktivní úlohu při zavedení rámce řízení rizik v oblasti IKT do interních procesů a zasazovaly se o dodržování těchto pravidel. Nezbytné bude přidělení jasných funkcí a odpovědností souvisejících s IKT a pravidelné přezkoumání a monitorování řízení rizik v této oblasti. Vedoucí orgány budou muset být proškoleny, aby rozuměly rizikům souvisejících s IKT, byly připraveny na jejich možná řešení a byly si vědomy své odpovědnosti. Požadavky týkající se nejen správy a řízení vychází z EBA Obecných pokynů týkajících se IKT, které DORA rozšiřuje a doplňuje.
Požadavky na řízení rizik v oblasti IKT
DORA stanovuje, že finanční subjekty musí mít solidní, ucelený a dobře zdokumentovaný rámec pro řízení rizik v oblasti informačních a komunikačních technologií. Zároveň musí zajistit vysokou míru digitální provozní odolnosti odpovídající potřebám jejich provozu, velikosti, organizační struktuře a strategii. Alespoň jednou ročně musí docházet k jeho revizi a podléhá pravidelnému auditu.
Hlášení závažných incidentů souvisejících s IKT
Jednou z důležitých částí nařízení je konsolidace požadavků na hlášení incidentů souvisejících s oblastí IKT. Cílem je sjednotit pravidla, typy a podobu nahlášených incidentů, což by mělo vést k výraznému zlepšení v oblasti detekce, analýzy, řešení a evidence. Ambicí bude udržitelnost a zajištění homogenity celého systému. To znamená, aby byl ekosystém finančních institucí schopen udržet jednotnou úroveň chápání pojmu „závažný incident související s IKT“, a to bez ohledu na typ společnosti či zemi, ve které působí.
„Odolnost jako prostředek, nikoli cíl“
Doba, kdy výklad pojmu „testování digitální a provozní odolnosti“ začínal a končil u Business Continuity managementu (BCM) a penetračních testů, je pryč. Rostoucí digitalizace přináší nová rizika, a proto musí být v neustálém vývoji i obranné a detekční strategie.
Tímto směrem uvažuje i Evropská strategie kybernetické bezpečnosti, což se projevuje také v nařízení DORA. Požadavky na zajištění kybernetické odolnosti vyžadují adopci nových principů řízení kybernetické bezpečnosti. Klíčem k silné kybernetické odolnosti je konzistentní monitoring, identifikace rizik a automatizované ověřování efektivity bezpečnostních technologií a týmů.
Ačkoliv dílčí požadavky na externí testery ve spojitosti s DORA jsou v nařízení již uvedeny, jednotlivé metodiky testování zatím nejsou součástí návrhu. Lze očekávat, že budou vycházet z principů TIBER-EU metodiky, jejíž testy simulují taktiky, techniky a postupy skutečných útočníků na základě hrozeb, které jsou pro testovaný subjekt relevantní (například dle odvětví nebo geolokace podnikání). Jsou šité na míru tak, aby simulovaly útok na kritické funkce entity a její základní systémy.
Rizika spojená s řízením třetích stran
Každá banka má povinnost sledovat a kontrolovat rizika vyplývající ze vztahu s dodavateli. DORA nařízení doplňuje stávající mechanismus bankovního dohledu. Zatímco bankovní dohled se zaměřuje na rizika a dohled významných bank, DORA otevírá evropským orgánům přístup k dodavatelům kritických IKT komponent ve finančních institucích a v případě potřeby lze využívat „motivačních“ sankcí.
DORA jako revoluce, nebo spíše evoluce?
Nejde o žádnou převratnou revoluci, významné bankovní instituce byly již dříve pod drobnohledem kontrolních orgánů. Vztahovala se na ně řada regulací v oblasti kybernetické bezpečnosti, které vycházejí ve své podstatě ze stejných principů jako v případě DORA. Zejména menší finanční instituce, které do teď nejsou významněji regulovány z pohledu kybernetické bezpečnosti, budou čelit relativně krátkému období, během kterého musí uvést své systémy do souladu s nařízením.
Jaká jsou rizika?
Relativně krátká doba, po které se nařízení stane použitelným, může ve spojitosti s dalšími regulacemi z balíčku kybernetické odolnosti EU dle našeho očekávání vyvolat ještě větší nedostatek odborníků kybernetické bezpečnosti na pracovním trhu. Očekáváme, že přístup a myšlení firem se bude muset změnit, zejména u menších subjektů nebude možné sestavit plnohodnotný tým odborníků na kybernetickou bezpečnost. Stejně jako jsme se naučili využívat car/bikesharing, tak i v oblasti kybernetické bezpečnosti lze očekávat zajišťování některých komponent formou sdílené služby.
Dalšími důležitými aspekty jsou automatizace, umělá inteligence a strojové učení. Je produkováno stále větší množství dat, ale s nedostatkem zaměstnanců klesá schopnost společností analyzovat a vyhodnocovat relevantní data. I přesto, anebo právě proto, je nutné orientovat se na relevantní hrozby a automatizované testování kybernetické odolnosti vůči nim.
Finanční instituce by měly také zkontrolovat své interní předpisy, procesy a smluvní dokumenty a zajistit jejich soulad s nařízením DORA.
Rostoucí digitalizace přináší nová rizika, a proto musí být v neustálém vývoji i obranné a detekční strategie. Tímto směrem uvažuje i Strategie kybernetické bezpečnosti EU, což se projevuje v nařízení DORA.
Každá banka má povinnost sledovat a kontrolovat rizika vyplývající ze vztahu s dodavateli. DORA nařízení doplňuje stávající mechanismus bankovního dohledu, otevírá evropským orgánům přístup k dodavatelům kritických IKT komponent ve finančních institucích a v případě potřeby lze využívat „motivačních“ sankcí.
