Spolu s nařízením DORA byly přijaty také směrnice NIS2[3] a směrnice CER[4] upravující taktéž oblast IT a kybernetické bezpečnosti. Směrnice NIS2 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii reguluje cca 60 služeb v 18 různých odvětvích (např. oblast dopravy či chemický průmysl)[5]. DORA je pak k této směrnici ve vztahu speciality, když pokrývá problematiku kybernetické bezpečnosti především finančních subjektů. Poslední norma, směrnice CER, se zaměřuje na odolnost tzv. kritických subjektů, jakými jsou např. dodavatelé a distributoři pitné vody, banky nebo potravinářské podniky[6].

Předmět a oblast působnosti

Generálně můžeme říci, že cílem[7] je zvýšení úrovně IT bezpečnosti v oblasti bankovnictví a kapitálového trhu. Nařízení ukládá povinnosti finančním subjektům jako takovým, ale i na poskytovatelům služeb v oblasti ICT, a stanovuje minimální požadavky na smlouvy uzavírané mezi těmito osobami.

Co si však pod předcházením kybernetickým hrozbám představit a jak toho má být dosaženo? Hlavními oblastmi jsou ICT risk management, ohlašování významných incidentů[8] a hrozeb spojených s ICT, sdílení informací o kybernetických hrozbách či preventivní testování odolnosti informačních systémů.

Reklama

Digitální služby (online - živé vysílání) - 6.6.2023

6.6.2023 09:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Veškeré subjekty, na něž regulace dopadá, jsou definovány jako finanční subjekty, a jsou jimi např. banky, pojišťovny, obchodníci s cennými papíry, správci a obhospodařovatelé investičních fondů[9], ratingové agentury či poskytovatelé služeb souvisejících s kryptoaktivy podle nařízení MiCA[10].

DORA se tak vztahuje téměř na celý finanční trh. Z tohoto důvodu je třeba řídit se při aplikaci předpisu zásadou proporcionality a přihlédnout k velikosti, rizikovému profilu či složitosti služeb poskytovaných finančním subjektem[11]. Zároveň je v určitých částech nařízení stanoven odlišný režim pro skupinu mikropodniků[12].

Vnitřní implementace

V rámci vnitřní implementace nařízení musí být na prvním místě vypracovány vnitřní předpisy upravující řešení ICT incidentů (včetně komunikace s regulátorem[13]) a jejich klasifikaci. Stanovují se postupy pravidelných kontrol, je třeba jmenovat osoby odpovědné za ICT risk management a zajistit průběžné školení zaměstnanců v této oblasti. Svou strategii digitální odolnosti musí finanční subjekt také pravidelně vyhodnocovat. 

Odpovědným za risk management, za schvalování celkové strategie digitální odolnosti i za rozdělení konkrétních povinností a úkolů souvisejících s ICT je vedoucí orgán finančního subjektu. Vedoucím orgánem[14] zde přitom nemusí být pouze statutární orgán, ale také všechny osoby ve vedoucím postavení v rámci vnitřní struktury finančního subjektu (např. vedoucí oddělení risk managementu nebo vedoucí oddělení compliance).

Prevence – jak hrozbám předcházet?

Finanční subjekty nemají povinnost pravidelného reportingu a s regulátorem v zásadě komunikují pouze v případě hrozícího či již proběhlého incidentu/kybernetické hrozby, případně na základě výslovné žádosti regulátora o poskytnutí určitých dat či informací[15].  

K předejití či ubránění se kybernetickým hrozbám má přispět povinné testování odolnosti finančních subjektů. Standardní testování systémů a aplikací by mělo probíhat alespoň jednou ročně[16]. Penetrační testování na základě hrozeb[17], tedy jakési simulování kybernetické hrozby, pak musí probíhat alespoň jedenkrát za tři roky[18]. Penetrační testování může probíhat také hromadně a může být zajišťováno třetí stranou pro více finančních subjektů najednou (např. testování prováděné poskytovatelem cloudových služeb).

Nařízení dále stanoví minimální požadavky na smlouvy uzavírané mezi finančním subjektem a poskytovatelem služeb ICT[19]. Ve smlouvě musí být např. ujednán přesný a srozumitelný popis všech dodávaných služeb, podmínky ukončení smlouvy nebo povinnost poskytovatele poskytnout pomoc finančnímu subjektu, dojde-li k incidentu v oblasti ICT.

Jak postupovat v případě incidentu?

V případě incidentu (kybernetického útoku, ohrožení řádného fungování informačních systémů) je kladen důraz především na zachování provozu (business continuity) při současném odstranění vzniklého rizika. Postupuje se podle předem připravených krizových plánů, komunikováno je s klienty, obchodními partnery i regulátorem. Proběhlé incidenty jsou hlášeny orgánu dohledu, který o nich sepíše zprávu, a ta by pak měla sloužit ostatním finančním subjektům jako inspirace k vylepšení vlastní strategie odolnosti.

Závěrem

Nařízení bylo schváleno před třemi měsíci a přímo použitelným se stane až na začátku roku 2025. Přesto by finanční subjekty (zejména ty menší) již dnes měly zpozornět a začít se na dodržování nových pravidel připravovat. Ke správnému aplikování nové regulace, věřme, přispějí také unijní prováděcí předpisy (na které zatím čekáme), jelikož samo nařízení je psáno, i na poměry evropské legislativy, velmi obecným jazykem. Stejně tak je možné očekávat stanoviska a vyjádření orgánů dohledu (ESMA a v České republice ČNB, příp. NÚKIB).

Mgr. Ondřej Kučera,
právník

Filip Jindra  

 

KLB Legal, s.r.o., advokátní kancelář