Zákon o digitálnej prevádzkovej odolnosti (DORA)
Dňa 27. decembra 2022 bol v Úradnom vestníku EÚ zverejnené nariadenie o digitálnej prevádzkovej odolnosti (DORA). To zahŕňa nariadenie a vykonávací predpis – smernicu –
o digitálnej prevádzkovej odolnosti pre finančný sektor. Cieľom nového európskeho nariadenia DORA je zaviesť komplexný rámec na harmonizáciu procesov a štandardov digitálnej odolnosti vo finančnom sektore. Nariadenie má tiež posilniť právomoci orgánov dohľadu a umožniť priamu kontrolu.
Nariadenie zavádza cielené pravidlá pre:
• Riadenie rizík informačných a komunikačných technológií (IKT).
• Riadenie, klasifikácia a podávanie správ o incidentoch súvisiacich s IKT
• Testovanie digitálnej prevádzkovej odolnosti
• Riadenie rizika IKT tretích strán (vrátane zavedenia rámca dohľadu pre kritických poskytovateľov služieb IKT tretích strán)
• Zdieľanie informácií.
Uplatňovať sa bude od 17. januára 2025 a vzťahuje sa na väčšinu kategórií dohliadaných subjektov v celej EÚ. Vykonávacie predpisy, vrátane prislúchajúcich usmernení, sa aktuálne pripravujú, a to v dvoch balíkoch.
Prvý balík predpisov európske orgány dohľadu (Európske agentúry dohľadu (ESA), Európsky orgán pre bankovníctvo (EBA) , Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA) a Európsky orgán pre cenné papiere a trhy (ESMA) ) predložili Komisii 17. januára 2024. Týka sa finálnych návrhov, ktoré upravujú oblasti:
- rámec riadenia IKT rizík (vrátane zjednodušeného rámca riadenia rizík),
- kritériá pre klasifikáciu IKT incidentov,
- vzory tabuliek pre register informácií (o externých poskytovateľoch IKT služieb),
- politika ohľadom IKT služieb od externých poskytovateľov.
Druhý balík predpisov majú európske orgány dohľadu predložiť Komisii do 17. júla 2024. Týka sa návrhov, ktoré upravujú oblasti:• reporting závažných IKT incidentov vrátane vzorov tabuliek,
• odhad celkových nákladov/strát zapríčinených závažnými IKT incidentami,
• penetračné testovanie na základe konkrétnej hrozby (Threat-Led Penetration Testing – TLPT),
• špecifikovanie sub-contractingu kritických alebo dôležitých funkcií,
• spolupráca medzi európskymi orgánmi dohľadu a národnými autoritami pri výkone dozoru nad kritickými externými poskytovateľmi IKT služieb,
• špecifikovanie informácií pre výkon dozoru nad kritickými externými poskytovateľmi IKT služieb.
Implementácia požiadaviek DORA
Regulované finančné subjekty by si mali uvedomiť podobnosti medzi množstvom kľúčových požiadaviek DORA a existujúcimi usmerneniami centrálnej ako aj v existujúcich sektorových usmerneniach. Európske regulačné orgány potvrdili, že DORA sa štandardne stane „lex specialis“ pred akýmkoľvek prekrývajúcim sa regulačným textom, ako sú napr. usmernenia NIS alebo ESA. Spoločnosti by to mali mať na pamäti pri vykonávaní internej kontroly dodržiavania predpisov a používať DORA ako hlavnú referenciu, aby sa predišlo ďalším nepredvídaným medzerám, keď DORA vstúpi do platnosti v roku 2025.
Finančné subjekty by mali plánovať kroky, ktoré budú musieť podniknúť do januára 2025, aby zabezpečili súlad s týmto nariadením a podporili zamýšľané výhody zvýšenej harmonizácie digitálnej prevádzkovej odolnosti v rámci európskeho finančného systému.
Implementácia požiadaviek DORA v počiatočnom štádiu je kľúčom k úspechu, pretože reaktívny prístup bude vždy nákladnejší ako preventívny postoj.
Ďalším dôležitým faktorom pri implementácii je aplikácia koncepcie proporcionality, ktorú zohľadňuje vo svojich predpisoch aj ESA s cieľom vytvoriť bezpečnejší a konkurencieschopnejší finančný trh.
Od finančných inštitúcií sa očakáva implementovať opatrenia v kľúčových oblastiach informačnej a kybernetickej bezpečnosti
Riadenie rizík IKT
• Identifikovať ohodnotiť IKT aktíva a kritické služby,
• nepretržite monitorovať bezpečnosť a fungovanie systémov a nástrojov IKT s cieľom minimalizovať IKT riziká a všetky zdroje rizík s cieľom nastaviť vhodné ochranné a preventívne opatrenia,
• zabezpečiť primeranú detekciu hrozieb, zraniteľností a rizík vrátane automatických upozornení,
• implementovať riadenie kontinuity podnikania vrátane procesu zálohovania a plánov obnovy po havárii a ročného testovania plánov.
Riadenie, klasifikácia a podávanie správ o incidentoch súvisiacich s IKT
• Implementovať proces riadenia incidentov súvisiacich s IKT vrátanie procesu nahlasovania,
• zaviesť klasifikáciu incidentov a kybernetických hrozieb súvisiacich s IKT podľa kritérií DORA a usmernení ESA,
• testovať reakciu na incidentu vrátane procesu komunikácie (internej/externej) aspoň 1 x ročne,
• vykonávať včasné analýzy základných príčin incidentov súvisiacich s IKT vrátane podávania správ interným a externým zainteresovaným stranám.
Testovanie digitálnej prevádzkovej odolnosti
• Vypracovať proces na testovanie digitálnej prevádzkovej odolnosti spoločnosti vrátane testovacích scenárov – testovanie je nutné vykonať min. 1 x ročne,
• testovať nástroje a IKT systémy (na prípadné zistenia implementovať implementáciu nápravných opatrení),
• pravidelne vykonávať nezávislé penetračné testovanie (TLPT) pre kritické služby IKT ak je to nutné aj za súčinnosti tretích strán podieľajúcich sa na prevádzke IKT.
Riadenie rizika IKT tretích strán
• Pravidelne prehodnocovať stratégie v oblasti IKT rizika tretích strán,
• definovať stratégiu viacerých dodávateľov s povinnosťou vykonávať hodnotenia rizika celého subdodávateľského reťazca,
• zaviesť efektívny proces na overenie súladu poskytovateľov IKT tretích strán pred fázou uzatvárania zmlúv,
• zabezpečiť, aby zmluvy s poskytovateľmi IKT tretích strán obsahovali všetky požadované náležitosti nariadenia,
• zabezpečiť dôkladné monitorovanie rizík, ktoré plynú od poskytovateľov IKT tretích strán.
Zdieľanie informácií.
• Uzavrieť dohody s partnermi vo finančnom sektore o výmene informácií (aj spravodajských) o kybernetických hrozbách v súlade s nariadením DORA a GDPR