Preskočiť na hlavný obsah

      Čo je DORA – Nariadenie o digitálnej prevádzkovej bezpečnosti?

      Digital Operational Resiliance Act, alebo nariadenie o digitálnej prevádzkovej bezpečnosti (ďalej len „DORA“) je pripravovaná legislatíva Európskej únie a Rady zameraná na kyberbezpečnosť finančných inštitúcií. V rámci Európskej únie doteraz existovali len čiastkové regulácie v jednotlivých podsektoroch, ktoré neboli harmonizované. S príchodom tohto nariadenia sa vytvára jeden rámec pre celý finančný sektor a zároveň aj všetky oblasti súvisiace s finančným sektorom. To znamená, že aj dodávatelia informačných technológií budú podliehať regulácii. Cieľom nariadenia je dosiahnuť vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov.

      Návrh nariadenia predložila Európska únia v septembri 2020. V máji 2022 bol predbežne schválený Európskym parlamentom, no dátum, kedy by návrh mal vstúpiť do platnosti, zatiaľ nie je známy.

      Na koho sa nariadenie DORA vzťahuje?

      Nariadenie sa vzťahuje na 20 rôznych druhov entít z finančného sektora – tzv. „finančné subjekty“, od bánk, poisťovní cez investičné spoločnosti až po štatutárnych audítorov, vrátane externých dodávateľov, ktorí poskytujú digitálne a dátové služby, vrátane cloud computingu, softvéru, služieb analýzy dát, dátových centier. Výnimkou sú poskytovatelia hardvérových komponentov a spoločnosti, ktoré poskytujú elektronické komunikačné služby alebo im bolo udelené povolenie podľa práva Únie.

      Prečo Európska únia prišla s týmto nariadením?

      Po finančnej kríze v roku 2008 si Európska únia určila ako jeden zo svojich cieľov udržať a chrániť finančnú odolnosť členských štátov. Postupnou digitalizáciou a zavádzaním informačných systémov vo finančnom sektore sa ukázalo, že kyberbezpečnosť zohráva čoraz väčšiu úlohu. Finančné inštitúcie sú dnes závislé od digitálnych technológií, no zároveň sú vystavené zvyšujúcemu sa počtu kyber útokov. Európska únia si uvedomuje zraniteľnosť digitálneho systému, a preto prišla s návrhom na vytvorenia jednotného rámca pre všetky sektory finančného sektora.

      Aké sú kľúčové opatrenia?

      Aby bolo možné vytvoriť jednotný regulačný rámec pre všetky finančné sektory, musí sa zosúladiť postavenie a úloha regulátorov. Doteraz každý finančný sektor spadal pod inú reguláciu a iného regulátora. DORA prináša nový mechanizmus, kde tri orgány dohľadu: EBA (European Bank Authority), ESMA ( European Securities and Markets Authority) a EIOPA (European Insurance and Occupational Pensions Authority) vytvoria spoločnú poradnú skupinu pod názvom European Supervisory Authorities (ESAs) a spolu budú harmonizovať vykonávacie predpisy.

      DORA prináša komplexný rámec na riadenie rizík spojených so zvyšujúcou sa digitalizáciou. Požiadavky na finančné subjekty sú rozdelené do nasledujúcich oblastí kyberbezpečnosti a operatívnej bezpečnosti:

      • Riadenie rizík súvisiacich s informačno-komunikačnými technológiami

        DORA vymedzuje základné požiadavky a povinnosti na kyberbezpečnosť. Manažment finančného subjektu nesie finálnu zodpovednosť za riadenie rizík súvisiacich s informačno-komunikačnými technológiami (IKT) a členovia manažmentu sú povinní neustále si zdokonaľovať svoje znalosti o IKT rizikách. Finančné subjekty musia mať zavedený spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia rizík, ktorý im umožní riešiť IKT riziká rýchlo, efektívne a komplexne.

      • Incidenty súvisiace s informačno-komunikačnými technológiami

        Finančné subjekty sú povinné vyvinúť a zaviesť proces riadenia IKT incidentov so schopnosťou monitorovať, riešiť a dosledovať tieto incidenty. Incidenty musia byť klasifikované podľa rôznych faktorov špecifikovaných v návrhu nariadenia, ako napr. geografický rozsah incidentu, kritickosť zasiahnutých služieb alebo trvanie incidentu. Závažné incidenty musia byť nahlásené príslušným dotknutým orgánom v súlade s trojstupňovým procesom vytýčeným v návrhu.

      • Testovanie prevádzkovej digitálnej odolnosti

        DORA zavádza povinnosť testovania digitálnej prevádzkovej odolnosti. Testovanie bolo bežnou súčasťou veľkých firiem, teraz sa však dostáva so systematickej úrovne, kde okrem povinnosti testovania Európska únia ustanovuje špecifické požiadavky na testujúce subjekty. Pre vybrané finančné subjekty sa testovanie posúva od bežného testovania až na testovanie treťou stranou, kde sa simuluje bežný incident alebo útok, aby sa overilo, nielen aký je bezpečnostný stav systémov, ale aj riadenie incidentov a schopnosť rozpoznať útok a reagovať.

      • Zdieľanie informácií medzi finančnými subjektami

        Aby sa posilnila digitálna prevádzková bezpečnosť a zvýšilo sa povedomie o aktuálnych hrozbách, finančné subjekty môžu medzi sebou zdieľať informácie o útokoch a rizikách. Táto výmena informácií bude prebiehať v rámci dôveryhodných spoločenstiev a v súlade s ochranou dát, obchodného tajomstva a konkurencie schopnosti.

      • Riziká tretích strán súvisiace s informačno-komunikačnými technológiami

        Digitálny ekosystém finančných subjektov je zabezpečovaný tretími stranami. DORA vyžaduje od finančných subjektov, aby viedli register zmlúv a zmluvných podmienok so všetkými dodávateľmi informačno-technologických služieb. Návrh naradenia taktiež určuje kľúčové kroky, ktorými sa finančné subjekty musia riadiť pri obstarávaní nového IKT dodávateľa ako aj pri rozviazaní kontraktu. Okrem toho ustanovuje určité podmienky, ktoré musia byť zahrnuté v zmluve s IKT dodávateľom.

      Pre IKT dodávateľov sa jedná o novinku, keďže doposiaľ sa nich žiadna regulácia nevzťahovala. Po novom budú IKT firmy hodnotené dohľadnými orgánmi ESAs. Firmy, ktoré sa dostanú na zoznam kritických dodávateľov, budú mať pridelený jeden z troch dohľadných orgánov ESA. Ten zabezpečí, že IKT firma spĺňa požiadavky vychádzajúce z nariadenia o digitálnej prevádzkovej bezpečnosti.

      Ako sa slovenské finančné inštitúcie môžu pripraviť na nariadenie DORA?

      Všetky detaily nariadenia ešte nie sú známe, no slovenské finančné inštitúcie by sa už teraz mali zaujímať o novú reguláciu, aby mali základné povedomie o jej požiadavkách. Inštitúcie, ktoré sú súčasťou nadnárodných finančných skupín, implementujú nový regulačný systém priamo cez skupinu a budú cez skupinu aj dohladované. Menšie inštitúcie, ktoré doteraz nevenovali dostatočnú pozornosť kyberbezpečnosti, by mali spraviť inventarizáciu svojich systémov a porovnať ich s novými požiadavkami. Nová regulácia vychádza z aktuálnych trendov zvyšujúcich sa kyber útokov, a preto má svoje opodstatnenie.

      Ako vieme pomôcť?


      V KPMG na Slovensku sa venujeme rôznym oblastiam a pracujeme s rôznymi legislatívami.  Máme skúsenosti ako efektívne nastaviť a zosúladiť viaceré regulačné rámce a požiadavky vychádzajúce z rôznych regulačných zdrojov tak, aby naši klienti získali čo najjednoduchší systém a s čo najmenším úsilím dosiahli čo najviac.

      Kontaktujte našich odborníkov

      Pavol Adamec
      Pavol Adamec

      Associate Partner, Riadenie rizík

      KPMG na Slovensku

      Zodpovednosť za riadenie rizík by nemalo mať iba jedno oddelenie.
      Zistiť viac

      Dohodnite si konzultáciu

      Získajte ponuku, ktorá je prispôsobená potrebám vášho podnikania. Profesionáli KPMG vám radi pomôžu.

      Kontaktujte nás Prihláste sa na odber KPMG noviniek
      ludia prechadzajuci medzi dvomi stenami pri zapade slnka