Nariadenie o digitálnej prevádzkovej bezpečnosti finančného sektora (DORA)

Digital Operational Resiliance Act, alebo nariadenie o digitálnej prevádzkovej bezpečnosti (ďalej len „DORA“) je pripravovaná legislatíva Európskej únie a Rady zameraná na kyberbezpečnosť finančných inštitúcií. V rámci Európskej únie doteraz existovali len čiastkové regulácie v jednotlivých podsektoroch, ktoré neboli harmonizované. S príchodom tohto nariadenia sa vytvára jeden rámec pre celý finančný sektor a zároveň aj všetky oblasti súvisiace s finančným sektorom. To znamená, že aj dodávatelia informačných technológií budú podliehať regulácii. Cieľom nariadenia je dosiahnuť vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov.

Návrh nariadenia predložila Európska únia v septembri 2020. V máji 2022 bol predbežne schválený Európskym parlamentom, no dátum, kedy by návrh mal vstúpiť do platnosti, zatiaľ nie je známy.

Nariadenie sa vzťahuje na 20 rôznych druhov entít z finančného sektora – tzv. „finančné subjekty“, od bánk, poisťovní cez investičné spoločnosti až po štatutárnych audítorov, vrátane externých dodávateľov, ktorí poskytujú digitálne a dátové služby, vrátane cloud computingu, softvéru, služieb analýzy dát, dátových centier. Výnimkou sú poskytovatelia hardvérových komponentov a spoločnosti, ktoré poskytujú elektronické komunikačné služby alebo im bolo udelené povolenie podľa práva Únie.

Po finančnej kríze v roku 2008 si Európska únia určila ako jeden zo svojich cieľov udržať a chrániť finančnú odolnosť členských štátov. Postupnou digitalizáciou a zavádzaním informačných systémov vo finančnom sektore sa ukázalo, že kyberbezpečnosť zohráva čoraz väčšiu úlohu. Finančné inštitúcie sú dnes závislé od digitálnych technológií, no zároveň sú vystavené zvyšujúcemu sa počtu kyber útokov. Európska únia si uvedomuje zraniteľnosť digitálneho systému, a preto prišla s návrhom na vytvorenia jednotného rámca pre všetky sektory finančného sektora.

Aby bolo možné vytvoriť jednotný regulačný rámec pre všetky finančné sektory, musí sa zosúladiť postavenie a úloha regulátorov. Doteraz každý finančný sektor spadal pod inú reguláciu a iného regulátora. DORA prináša nový mechanizmus, kde tri orgány dohľadu: EBA (European Bank Authority), ESMA ( European Securities and Markets Authority) a EIOPA (European Insurance and Occupational Pensions Authority) vytvoria spoločnú poradnú skupinu pod názvom European Supervisory Authorities (ESAs) a spolu budú harmonizovať vykonávacie predpisy.

DORA prináša komplexný rámec na riadenie rizík spojených so zvyšujúcou sa digitalizáciou. Požiadavky na finančné subjekty sú rozdelené do nasledujúcich oblastí kyberbezpečnosti a operatívnej bezpečnosti:

• Riadenie rizík súvisiacich s informačno-komunikačnými technológiami
  DORA vymedzuje základné požiadavky a povinnosti na kyberbezpečnosť. Manažment finančného subjektu nesie finálnu zodpovednosť za riadenie rizík súvisiacich s informačno-komunikačnými technológiami (IKT) a členovia manažmentu sú povinní neustále si zdokonaľovať svoje znalosti o IKT rizikách. Finančné subjekty musia mať zavedený spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia rizík, ktorý im umožní riešiť IKT riziká rýchlo, efektívne a komplexne.

• Incidenty súvisiace s informačno-komunikačnými technológiami
  Finančné subjekty sú povinné vyvinúť a zaviesť proces riadenia IKT incidentov so schopnosťou monitorovať, riešiť a dosledovať tieto incidenty. Incidenty musia byť klasifikované podľa rôznych faktorov špecifikovaných v návrhu nariadenia, ako napr. geografický rozsah incidentu, kritickosť zasiahnutých služieb alebo trvanie incidentu. Závažné incidenty musia byť nahlásené príslušným dotknutým orgánom v súlade s trojstupňovým procesom vytýčeným v návrhu.

• Testovanie prevádzkovej digitálnej odolnosti
  DORA zavádza povinnosť testovania digitálnej prevádzkovej odolnosti. Testovanie bolo bežnou súčasťou veľkých firiem, teraz sa však dostáva so systematickej úrovne, kde okrem povinnosti testovania Európska únia ustanovuje špecifické požiadavky na testujúce subjekty. Pre vybrané finančné subjekty sa testovanie posúva od bežného testovania až na testovanie treťou stranou, kde sa simuluje bežný incident alebo útok, aby sa overilo, nielen aký je bezpečnostný stav systémov, ale aj riadenie incidentov a schopnosť rozpoznať útok a reagovať.

• Zdieľanie informácií medzi finančnými subjektami
  Aby sa posilnila digitálna prevádzková bezpečnosť a zvýšilo sa povedomie o aktuálnych hrozbách, finančné subjekty môžu medzi sebou zdieľať informácie o útokoch a rizikách. Táto výmena informácií bude prebiehať v rámci dôveryhodných spoločenstiev a v súlade s ochranou dát, obchodného tajomstva a konkurencie schopnosti.

• Riziká tretích strán súvisiace s informačno-komunikačnými technológiami
  Digitálny ekosystém finančných subjektov je zabezpečovaný tretími stranami. DORA vyžaduje od finančných subjektov, aby viedli register zmlúv a zmluvných podmienok so všetkými dodávateľmi informačno-technologických služieb. Návrh naradenia taktiež určuje kľúčové kroky, ktorými sa finančné subjekty musia riadiť pri obstarávaní nového IKT dodávateľa ako aj pri rozviazaní kontraktu. Okrem toho ustanovuje určité podmienky, ktoré musia byť zahrnuté v zmluve s IKT dodávateľom.
  
  Pre IKT dodávateľov sa jedná o novinku, keďže doposiaľ sa nich žiadna regulácia nevzťahovala. Po novom budú IKT firmy hodnotené dohľadnými orgánmi ESAs. Firmy, ktoré sa dostanú na zoznam kritických dodávateľov, budú mať pridelený jeden z troch dohľadných orgánov ESA. Ten zabezpečí, že IKT firma spĺňa požiadavky vychádzajúce z nariadenia o digitálnej prevádzkovej bezpečnosti.

Všetky detaily nariadenia ešte nie sú známe, no slovenské finančné inštitúcie by sa už teraz mali zaujímať o novú reguláciu, aby mali základné povedomie o jej požiadavkách. Inštitúcie, ktoré sú súčasťou nadnárodných finančných skupín, implementujú nový regulačný systém priamo cez skupinu a budú cez skupinu aj dohladované. Menšie inštitúcie, ktoré doteraz nevenovali dostatočnú pozornosť kyberbezpečnosti, by mali spraviť inventarizáciu svojich systémov a porovnať ich s novými požiadavkami. Nová regulácia vychádza z aktuálnych trendov zvyšujúcich sa kyber útokov, a preto má svoje opodstatnenie.

V KPMG na Slovensku sa venujeme rôznym oblastiam a pracujeme s rôznymi legislatívami.  Máme skúsenosti ako efektívne nastaviť a zosúladiť viaceré regulačné rámce a požiadavky vychádzajúce z rôznych regulačných zdrojov tak, aby naši klienti získali čo najjednoduchší systém a s čo najmenším úsilím dosiahli čo najviac.