Nařízení DORA: klíč k odolnosti finančního sektoru vůči digitálním hrozbám

Uvedené platí o to víc, že vysoká míra digitalizace ve spojení s vysokou mírou vzájemného propojení finančních subjektů a vzájemné závislosti systémů IKT mohou představovat systémovou zranitelnost, a to především s ohledem na možnost geograficky neomezeného rozšíření kybernetického incidentu vzniklého v kterémkoliv z přibližně 22 000 finančních subjektů Evropské unie na celý finanční systém.[1] I dílčí, na první pohled malé kybernetické útoky, tudíž mohou ohrozit stabilitu celého finančního sektoru. Tato stabilita je přitom úzce spjatá s důvěrou společnosti v daný sektor, a tato důvěra se dále zrcadlí na celkové výkonnosti ekonomiky.

Nutnost chránit finanční sektor od kybernetických útoků je proto nepřehlédnutelná. Evropská unie reaguje na tuto potřebu nařízením Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011, známým také jako DORA (Digital Operational Resilience Act) (dále jen „Nařízení“ nebo „DORA“), které s cílem zabezpečení kontinuity služeb finančních subjektů přináší pro tyto subjekty řadu nových požadavků. Následující řádky Vám proto v krátkosti představí hlavní prvky Nařízení a regulované subjekty. Aby ovšem nebyly jenom o povinnostech, dotknou se i výhod, které s sebou implementace nových opatření přináší.

Hlavní prvky Nařízení

Svého cíle má DORA dosáhnout prostřednictvím 4 základních pilířů, kterými jsou (i) řízení IKT rizik, (ii) řízení kybernetických incidentů, (iii) penetrační testy a (iv) kontrola nejen dodavatelů IKT, ale také subdodavatelů a ostatních článků dodavatelského řetězce.

Reklama

ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025

5.8.2025 13:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

První pilíř, tedy řízení rizik IKT, je založen především na zavedení bezpečnostních opatřeních. Bezpečnostními opatřeními se přitom rozumí opatření technická, organizační a procesní. Rozsah zavedení těchto opatření bude u jednotlivých subjektů založen na zásadě proporcionality, a tedy s přihlédnutím k jejich velikosti, celkovému rizikovému profilu, povaze a rozsahu a složitosti služeb, činností či operací.

V rámci druhého pilíře, a tedy v rámci řízení kybernetických bezpečnostních incidentů, se vyžaduje především implementace funkčního systému pro řízení kybernetických útoků.  Zahrnuje nejen opatření pro identifikaci útoků, ale také postup pro zvládaní incidentu, obnovu dat a oznámení incidentu České národní bance jako dozorovému orgánu.

Jak je již uvedeno, třetí pilíř je založen na povinnosti finančních institucí pravidelně testovat svou digitální odolnost. Rozsah testování přitom zahrnuje nejen testování systémů a aplikací, ale také ověřování funkčnosti procesů řízení kybernetických incidentů. Nařízení přitom klade na vykonavatele penetračních testů poměrně přísné nároky v podobě nejen auditu vlastních penetračních testů, dobré reputace či certifikace, ale tak v podobě dostatečného profesního pojištění.

Čtvrtý pilíř je představován především řízením rizik spojených s třetími osobami, tedy osobami napříč dodavatelským řetězcem. Finanční subjekty budou povinně prověřovat důvěryhodnost poskytovatelů IKT služeb a využívat pouze dodavatele uplatňující aktuální a kvalitní normy bezpečnosti informací. Nároky na dodavatelský řetězec se, přirozeně, promítnou také ve smluvní dokumentaci s jednotlivými (sub)dodavateli.

Regulované subjekty

Jak již bylo výše uvedeno, Nařízení se vztahuje na finanční subjekty. Co všechno si ale pod tímto pojmem představit? Samozřejmě, nejedná se pouze o úvěrové instituce, tedy banky a další instituce přijímající vklady a poskytující úvěr. Finančními subjekty je podle DORA i řada dalších subjektů, a to např. platební instituce, instituce elektronických peněz, vymezení poskytovatelé služeb souvisejících s kryptoaktivy, centrální depozitáře cenných papírů, registry obchodních údajů, pojišťovny a zajišťovny, zprostředkovatelé pojištění a zajištění a zprostředkovatelé doplňkového pojištění, poskytovatelé služeb IKT z řad třetích stran.[2]

Výhody implementace nových opatření

Již nyní je zřejmé, že implementace Nařízení přinese finančním subjektům značné dodatečné náklady. Tyto náklady budou ovšem z dlouhodobého hlediska kompenzovány připraveností finančních institucí čelit kybernetickým útokům, což sníží rizika ztrát a narušení služeb. Nezanedbatelnou výhodou je také posilněním důvěry zákazníků či regulační shoda, na jejímž základě budou finanční subjekty dodržující Nařízení v souladu v evropskými předpisy, čím se minimalizuje riziko pokut či sankcí.

Účinnost

Nařízení nabyde účinnosti 17. ledna 2025. V této souvislosti je nutno upozornit, že již od tohoto data budou všechny subjekty, na které Nařízení dopadá, povinny plnit povinnosti, které jim Nařízení přináší. Nařízení tedy bude na finanční subjekty dopadat přímo, bez nutnosti implementace ve vnitrostátních úpravách jednotlivých států Evropské unie.

Závěr

Stabilita finančního systému je ve velké míře ohrožena kybernetickým útoky. DORA proto představuje zásadní krok v posilňovaní kybernetické odolnosti finančních subjektů napříč celou Evropskou unii. Implementace Nařízení sice přinese od 17. ledna 2025 finančním subjektům řadu nových povinností, podepíše se ale také na zvýšení jejich ochrany proti kybernetickým útokům, na posilnění důvěry zákazníků a na zabezpečení regulační shody. Nařízení tak připraví celý finanční sektor na budoucí hrozby přicházející ruku v ruce s digitálním pokrokem.

Deborah Paláková