Nařízení o digitální provozní odolnosti (DORA) je nové nařízení EU, které vešlo v platnost v lednu 2023, a je klíčovou součástí většího balíčku Evropské komise pro oblast digitálních financí. Hlavním cílem nařízení je zlepšení digitální odolnosti evropského finančního trhu, čehož má dosáhnout především zajištěním toho, že hráči na finančním trhu dokážou fungovat bezpečně a spolehlivě i v případě významného narušení informačních a komunikačních technologií (ICT).

Firmy a společnosti, kterých se nařízení týká, teď mají přechodné období do ledna 2025 na to, aby dosáhly souladu s požadavky nařízení.

Jak být v souladu s nařízením DORA

Governance a řízení rizik v ICT

DORA klade velký důraz na to, že zajištění provozní digitální odolnosti je zodpovědností vedoucího orgánu společnosti. Ten musí zajistit dostatečnou ochranu proti narušením ICT technologií a kyber útokům.

DORA předpokládá komplexní rámec řízení rizik v ICT jako základ pro budování odolných finančních společností. Tento rámec by měl umožnit identifikaci, vyhodnocování, řízení a monitoring rizik v oblasti ICT. Příkladem implementace požadavků nařízení je vytváření odolných systémů informačních a komunikačních technologií, které splňují standard Evropského hospodářského prostoru.

Právní aspekty

DORA stanovuje požadavky na to, co má být součástí smluv s třetími stranami, které finančním subjektům poskytují ICT řešení. Nařízení vyžaduje kategorizaci stávajících smluv, nastavení cílových požadavků, provádění GAP analýz a řešení potenciálních mezer. Kromě toho DORA mění odpovědnosti a odpovědnostní rizika společností a vedoucích pracovníků v souvislosti s ICT riziky třetích stran, což bude vyžadovat revizi a případnou úpravu pojistného krytí.

Incidenty v oblasti ICT

Cílem nařízení je standardizovat reportingové povinnosti pro hlášení závažných incidentů v oblasti ICT pro celý evropský finanční sektor, aby na ně bylo možné lépe reagovat a zajistit efektivní spolupráci mezi úřady na národní a evropské úrovni. Implementace zahrnuje zavedení jednotných procesů pro monitoring, klasifikaci a hlášení incidentů v oblasti ICT příslušným úřadům.

Testování digitální provozní stability

Pravidelné testování provozní stability a zabezpečení klíčových informačních a komunikačních systémů je pro hladký chod finančních podniků zásadní. Aby bylo možné potenciální narušení ICT systémů identifikovat a řešit, je testování nutné provádět na základě rizik. Příkladem implementace je provádění penetračních testů v živých produkčních systémech alespoň jednou za tři roky, aby bylo možné identifikovat slabá místa a čelit potenciálním útočným vektorům.

Kontrola rizik třetích stran v oblasti ICT

DORA usnadňuje efektivní monitorování rizik na straně poskytovatelů ICT řešení, což je zásadní opatření, jelikož právě na služby třetích stran se finanční společnosti spoléhají v oblasti informačních technologií a procesů čím dál víc. Implementace nařízení zahrnuje sankce a možnosti ukončení spolupráce s nevyhovujícími poskytovateli, což zajišťuje důkladné monitorování rizik ze strany finančních společností.

Ochrana a prevence

Finanční firmy a instituce musí mít ICT systémy a procesy, které dokážou rychle a efektivně odhalovat potenciální hrozby a reagovat na ně. Nařízení upravuje požadavky na procesy a systémy pro rychlé odhalování takových hrozeb a obranu vůči nim. Příkladem implementace je automatická izolace sítě v případě kyber útoku, což minimalizuje ztráty dat a selhání systému, a naopak zrychluje návrat k běžnému provozu.

Výzvy pro zákazníky

Nařízení DORA může pro řadu finančních společností znamenat výzvu a nutnost aktualizace informačních a komunikačních systémů, optimalizaci procesů a proškolení zaměstnanců, aby mohly požadavky nařízení plnit.

Visual representation

S čím umí experti z KPMG pomoct

Strategie souladu s nařízením a manažerské poradenství

Dokážeme finančním společnostem pomoct s vytvořením a plněním efektivních strategií pro dosažení souladu s nařízením DORA, včetně oblastí jako je governance nebo zlepšení řízení rizik.


Systém řízení bezpečnosti informací (ISMS)



Jsme experty v oblasti zlepšování opatření pro zabezpečení informací. Postaráme se o to, aby všechny ICT systémy a procesy odpovídaly požadavkům nařízení a zajistíme tak digitální provozní odolnost.


Řízení informačních rizik (IRM)



Pomůžeme s odhalováním, vyhodnocováním, řízením a monitoringem rizik v oblasti ICT, tak, aby firmy měly robustní rámec pro řízení rizik, v souladu s požadavky nařízení.


Outsourcing a cloudová řešení



Pomůžeme vám s vyhodnocováním poskytovatelů ICT služeb a spoluprací s nimi tak, aby byla rizika co nejmenší, a nastavíme systém správy smluv s třetími stranami tak, aby byl v souladu s nařízením.

Máme znalosti a zkušenosti z celé řady oborů, které jsou pro směrnici DORA relevantní, jako manažerské poradenství, řízení bezpečnosti informací (ISMS), řízení informačních rizik (IRM), řízení kontinuity (BCM), testování technického zabezpečení, outsourcing a cloudová řešení. Naše specializované poradenské služby dokážou pokrýt nejrůznější aspekty všech těchto oborů a těžit přitom z důkladné znalosti procesů, rizik, i řídících struktur.

Jako globální organizace máme přístup k odborníkům a know-how z celého světa a díky spolupráci s mezinárodními týmy dokážeme pro finanční sektor vytvářet vlastní digitální řešení, která skutečně odpovídají jeho potřebám. Kromě toho naši experti přináší klientům i nástroje pro efektivní správu rizik a řízení kontroly, včetně koordinace dodavatelů a jejich smluv v oblasti ICT.

Související články

ilustrační foto
ilustrační foto
KPMG SARA – komplexní nástroj pro řízení rizik kybernetické a informační bezpečnosti
KPMG SARA – komplexní nástroj pro řízení rizik kybernetické a informační bezpečnosti
KPMG SARA – komplexní nástroj pro řízení rizik kybernetické a informační bezpečnosti

Analýza rizik v grafické podobě vám poskytne detailní a srozumitelnější informace.

Analýza rizik v grafické podobě vám poskytne detailní a srozumitelnější informace.

Analýza rizik v grafické podobě vám poskytne detailní a srozumitelnější informace.

NIS 2: Na koho dopadá a jaké povinnosti ukládá?
NIS 2: Na koho dopadá a jaké povinnosti ukládá?
NIS 2: Na koho dopadá a jaké povinnosti ukládá?

Do českého zákona o kybernetické bezpečnosti se NIS 2 promítne v roce 2024.

Do českého zákona o kybernetické bezpečnosti se NIS 2 promítne v roce 2024.

Do českého zákona o kybernetické bezpečnosti se NIS 2 promítne v roce 2024.

Ukázka CASE STUDY: – Modelování scénáře kybernetické bezpečnosti v nástroji SARA
Ukázka CASE STUDY: – Modelování scénáře kybernetické bezpečnosti v nástroji SARA
Osm zásadních témat kybernetické bezpečnosti. Řešíte je všechna?
Osm zásadních témat kybernetické bezpečnosti. Řešíte je všechna?
Osm zásadních témat kybernetické bezpečnosti. Řešíte je všechna?
5 min. čtení

S kybernetickým útokem se téměř jistě setká každá firma. Je na něj připravena ta vaše?

S kybernetickým útokem se téměř jistě setká každá firma. Je na něj připravena ta vaše?

S kybernetickým útokem se téměř jistě setká každá firma. Je na něj připravena ta vaše?

Nejčastější bezpečnostní pochybení: zadní vrátka i chybějící plány obnovy
Nejčastější bezpečnostní pochybení: zadní vrátka i chybějící plány obnovy
Nejčastější bezpečnostní pochybení: zadní vrátka i chybějící plány obnovy
3 min. čtení

Kybernetické útoky jsou stále častější a závažnější. Přesto firmy kyberbezpečnost berou na lehkou váhu.

Kybernetické útoky jsou stále častější a závažnější. Přesto firmy kyberbezpečnost berou na lehkou váhu.

Kybernetické útoky jsou stále častější i závažnější.

 

 

Kontakty

Tomáš Kudělka blog posts
Tomáš Kudělka
Director, Management Consulting
KPMG Česká republika
Profil | | Telefon
Eliška Kühnerová blog posts
Eliška Kühnerová
Senior Consultant, Management Consulting - Cyber Security
KPMG Česká republika
Profil | | Telefon