Článek
Evropské nařízení o digitální provozní odolnosti, známé pod zkratkou DORA, začalo platit 17. ledna. Obsahuje nové požadavky na kybernetickou odolnost finančních institucí. V praxi to bude znamenat zpřísnění a pro řadu společností dokonce zavádění nových systémů řízení rizik spojených s provozem digitálních informačních a komunikačních technologií.
Z nařízení DORA vyplývá, že v rámci ochrany bezpečnosti v digitálním prostředí budou hrát zásadní roli přísné kontroly třetích stran. Realitou dneška je, že finanční instituce pro provoz svých ICT služeb často využívají externí partnery. Unie v rámci prevence možných incidentů přichází s přísnými požadavky na výběr a testování dodavatelů těchto služeb, včetně monitoringu subdodavatelů.
Nenechte se zaskočit legislativními změnami.
Pro každého podnikatele je důležité průběžně sledovat legislativní změny a informovat se o jejich dopadu na vlastní podnikání. Je-li třeba provést v souvislosti se změnami legislativy jakékoliv kroky, vždy je dobré se na ně včas připravit. Proto připravují Seznam Zprávy ve spolupráci s právníky předních poradenských společností Právní poradnu pro podnikatele.
Sledujte důležité změny
- Nový způsob danění prodeje podílů ve společnostech.
- Přípravy na zavedení „uhlíkového cla“, kdo a jak reportuje emise dovážených komodit.
- Nové podmínky pro registraci a placení DPH.
- NIS2 – Zákon o kybernetické bezpečnosti.
- Data Act – Další nové povinnosti ve vztahu k datům.
- Rostou zálohy na pojistné i paušální daň. Zmatek s dohodami o provedení práce trvá.
- Co zaměstnavatelům přinesla „malá novela“ zákoníku práce.
- Nařízení proti odlesňování se blíží, týká se i palet.
- Mění se povinnost platit DPH z prodeje nemovitosti
- Své účetnictví nezveřejňuje ani polovina podnikatelů, na něž se povinnost vztahuje. Nepatříte mezi ně i vy?
- Zákon proti praní špinavých peněz (AML) už se dotýká velkého množství podnikatelů.
Podněty a návrhy na další témata pro Právní poradnu posílejte na pravniporadna@sz.cz
Nařízení se týká primárně platebních institucí, jako jsou banky, pojišťovny a investiční podniky, zprostředkovaně však bude mít mnohem širší dopad. „Kromě posílení vlastní kybernetické odolnosti těchto organizací klade zvláštní důraz i na řízení rizik vyplývajících ze vztahů se třetími stranami. A právě řízení rizik spojených se třetími stranami se jeví jako největší výzva nového nařízení,“ říká Michaela Lenochová, specialistka na řízení rizik a GRC systémy v Deloitte ČR.
V praxi se řízení rizik třetích stran v podnicích často nachází na pomezí několika oddělení, nejčastěji se jedná o oddělení nákupu a oddělení compliance nebo řízení operačních rizik. Oddělení nákupu obvykle zodpovídá za řízení smluvního vztahu s dodavatelem, zatímco oddělení compliance nebo řízení operačních rizik zajišťuje proces prověřování dodavatele. Je to neefektivní a ve výsledku to může vést k nedostatečnému řízení rizik.
Mnoha společnostem pak strukturovaný rámec a metodika řízení těchto vztahů zcela chybí. „Aby byly společnosti schopny efektivně identifikovat a řídit rizika spojená s využíváním služeb třetích stran, musí pohled na tuto problematiku změnit. I ty, které mají proces pro řízení rizik třetích stran již zavedený, budou muset tento proces s příchodem DORA revidovat,“ míní Lenochová.
NIS2 vs. DORA
Přestože obě nařízení usilují o zvýšení bezpečnosti v evropském finančním a technologickém prostředí, mají výrazně odlišná zaměření. Směrnice NIS2 míří na široké spektrum sektorů, nejen platební instituce, a na bezpečnost kritické infrastruktury, kam spadají například energetika či zdravotnictví. Jejím cílem je zavedení obecných kybernetických standardů v celé EU.
Oproti tomu DORA se úzce zaměřuje na finanční instituce a přináší detailní požadavky, které zahrnují řízení rizik třetích stran a přísné postupy při hlášení incidentů. DORA tak vyžaduje od finančních institucí specifické postupy a přísnější opatření, než jaké stanovuje NIS2 pro širší sektor kritické infrastruktury.
Banky a pojišťovny budou muset vést podrobný registr všech externích poskytovatelů ICT služeb, včetně informací o povaze jimi poskytovaných služeb, jejich významnosti pro danou instituci a potenciálních rizicích pro provozní kontinuitu. Klíčovou povinností je pravidelný reporting smluvních vztahů regulátorům (v České republice se jedná o vykazování České národní bance), což dle Jakuba Ptáčníka, který je v Deloitte ČR specialistou právě na nařízení DORA, zajistí transparentnost a umožní efektivnější dohled nad závislostmi na externích subjektech napříč celou Evropskou unií.
„Cílem tohoto přístupu je minimalizovat riziko, že by poruchy či kybernetické útoky u jednotlivých dodavatelů mohly ohrozit stabilitu celého finančního sektoru,“ vysvětluje Ptáčník.
DORA také stanovuje přísnější požadavky na smluvní ujednání mezi finančními institucemi a jejich dodavateli. Smlouvy musí obsahovat jasně definované povinnosti v oblasti kybernetické i fyzické bezpečnosti, dostupnosti služeb a krizového řízení. Instituce budou povinny provádět pravidelné prověrky a audity svých klíčových dodavatelů, aby zajistily soulad s regulatorními požadavky.
„Součástí kontrolního rámce je také průběžné vyhodnocování rizik a připravenost na možné provozní incidenty, což zahrnuje i testování scénářů narušení služeb a zavedení nápravných opatření,“ říká Jakub Ptáčník.
Naplňování požadavků vyplývajících z nařízení DORA povede ke zvyšování odolnosti finančních institucí vůči současným kybernetickým hrozbám a dalším rizikům, která v digitálním prostředí neustále narůstají. Minimalizace systémových rizik je podmínkou pro posílení kybernetické a provozní odolnosti celého finančního sektoru.
Firmy dodávající služby finančním institucím byly již před zavedením nového nařízení nuceny řešit řízení kybernetických a provozních rizik, jelikož musely umět pružně reagovat na požadavky společností, kterým své služby nabízely. Většina dodavatelů tak v dnešní době disponuje programy kybernetické bezpečnosti a řízení kontinuity provozu. Nicméně DORA výrazně navyšuje rozsah těchto povinností a přidává nové oblasti, které je třeba zohlednit.
Klíčovou povinností dodavatelů bude poskytovat detailní a pravidelně aktualizované informace o svých bezpečnostních politikách, opatřeních pro řízení kontinuity provozu a krizových scénářích.
„Součástí smluvních ujednání se stane povinnost umožnit finančním institucím provádět pravidelné bezpečnostní audity a testování odolnosti systémů včetně simulace kybernetických útoků. Banky a pojišťovny také budou vyžadovat, aby dodavatelé zaváděli mechanismy pro včasné hlášení bezpečnostních incidentů a zavázali se k rychlé nápravě identifikovaných zranitelností ve své infrastruktuře nebo poskytovaných službách a produktech,“ vysvětluje Ptáčník z Deloitte.
Zpřísňují se i požadavky na subdodavatele, jež dodavatelé využívají. Finanční instituce, na něž DORA dopadá, budou požadovat detailní přehled o celém dodavatelském řetězci, včetně toho, jaké služby a technologie subdodavatelé poskytují a jaká opatření přijímají pro zajištění bezpečnosti.
„V některých případech může být nutné, aby si banky a pojišťovny vyžádaly právo schvalovat nebo dokonce odmítnout konkrétní subdodavatele, pokud nebudou splňovat regulatorní požadavky,“ upozorňuje Ptáčník. Také dodavatelé tedy budou muset zavést přísnější interní procesy pro výběr a řízení svých vlastních partnerů, aby zajistili soulad s očekáváním finančních institucí a regulátorů.
„Vztahy se třetími stranami v sobě ale zahrnují celé spektrum rizik, jako jsou finanční, operační, reputační, compliance, kyberbezpečnostní nebo ESG rizika. Zavedení efektivního systému pro jejich řízení je pro instituce klíčové nejen pro zajištění souladu s nařízením DORA, ale i pro faktickou minimalizaci těchto rizik,“ doplňuje Lenochová. Organizace by dle ní měly na vztahy se třetími stranami nahlížet komplexně.
V praxi to bude znamenat vymezit zaměstnancům jasně odpovědnosti a dost možná také zajistit dostatečné personální kapacity. To se firmám nepochybně promítne do nákladů, takže není žádným překvapením, když kritici DORA už nyní poukazují na finanční a provozní zátěž spojenou zejména s přísnými požadavky na testování a hlášení kybernetických incidentů.
