Náš seriál o regulaci kyberbezpečnosti se dosud zaobíral otázkami souvisejícími s novými povinnostmi, které přinese směrnice NIS2 a které se nově budou týkat celé řady středních a velkých podniků (i menších subjektů poskytujících specificky regulované služby).

Dnes u kybernetické bezpečnosti samozřejmě zůstaneme, ale od NIS2 trochu odbočíme. Představíme si regulaci podle evropského nařízení DORA o digitální provozní odolnosti finančních institucí (Digital Operation Resilience Act). Ta byla přijata spolu s NIS2 a směrnicí CER o odolnosti kritických subjektů, jakými jsou například dodavatelé a distributoři pitné vody nebo potravinářské podniky.

DORA v brzké době významným způsobem ovlivní celý finanční sektor EU, včetně toho v České republice. O jaké době je tu řeč? Nařízení vstoupilo v platnost 16. ledna 2023 a od tohoto dne mají instituce 24 měsíců na zohlednění nových pravidel ve svých procesech. Tedy zatím jsme ani ne v poločase příprav.

Tento komplexní a jednotný soubor pravidel kybernetické bezpečnosti začne zkraje roku 2025 platit prakticky pro všechny finanční instituce, ať už jsou to banky a stavební spořitelny, pojišťovny, investiční společnosti, nebo obchodníci s cennými papíry. Vztahovat se bude ale i na správce a obhospodařovatele investičních fondů, ratingové agentury nebo fintech poskytovatele služeb souvisejících s kryptoaktivy. Na každého však jinou měrou. Aplikace předpisu se bude řídit zásadou proporcionality, a přihlížet se proto bude k velikosti, rizikovému profilu nebo složitosti poskytovaných služeb.





Cílem nařízení je chránit finanční subjekty a jejich zákazníky před stále častějšími kybernetickými útoky. V tomto záměru jsou si s NIS2 podobné. DORA zavádí ale mnohem více povinností. „DORA je přísnější a stanoví konkrétní požadavky, jejichž adaptace bude složitější,“ upozorňuje Josef Donát z advokátní kanceláře Rowan Legal.

Finanční instituce budou muset vypracovat komplexní strategii řízení ICT rizika a v jejím rámci zavést vhodná bezpečnostní opatření, detekovat incidenty, provádět pravidelná testování své digitální odolnosti, školit své pracovníky a upravit své smlouvy s dodavateli tak, aby požadavkům nařízení vyhověly. Ve smlouvě tak bude například muset být dojednán přesný a srozumitelný popis všech dodávaných služeb, za jakých podmínek lze smlouvu ukončit nebo jak má vypadat součinnost dodavatele vůči finanční instituci v případě, dojde-li k bezpečnostnímu incidentu.

Pozor na míru expozice dodavatele vůči skupině

Jak bylo zmíněno, hlavním rozdílem DORA oproti směrnici NIS2 je mnohem větší detail, co všechno bude muset regulovaný subjekt zajistit. Například u vztahů s dodavateli se nebude rozlišovat mezi externím a vnitroskupinovým outsourcingem a peněžní ústavy budou muset řídit i míru expozice vůči konkrétnímu dodavateli. Přísnější budou pravidla i pro odhalování, klasifikaci a hlášení incidentů, které zavádějí velmi krátké reakční lhůty.

Když už se stane něco nepředvídaného, je stanoveno, jak má být o incidentu referováno jak směrem dovnitř firmy, tak k jejím klientům. A značný důraz se klade také na konečnou osobní odpovědnost vedoucích osob. To znamená, že nebudou-li povinnosti podle DORA plněny, bude tu možnost ukládání sankcí také přímo fyzickým osobám, které za nedostatek odpovídají. Jako pokutu za neplnění povinností bude možné obecně uložit až jedno procento průměrného denního celosvětového obratu.

Podle advokáta Josefa Donáta se zatím nedá míra regulace do detailů určit. „Stále čekáme, jaké povinnosti stanoví prováděcí předpisy (RTS/ITS). Jejich finální znění bude publikováno až v lednu a červenci příštího roku,“ upozorňuje Donát. Konkrétní dopady z pohledu finanční instituce se přitom mohou velmi lišit i podle toho, v jaké oblasti finančního sektoru instituce podniká a jak přísná regulace kybernetické bezpečnosti na ni dopadala doposud.

Zkušenosti Rowan Legal potvrzují, že zejména banky se už na nové požadavky DORA začaly připravovat, protože vědí, že času není mnoho. Analyzují tak svou stávající pozici a mapují využívané IT systémy a aplikace, dodavatelské smlouvy a jejich obsah a provádějí tzv. gap analýzy (aktuálních nedostatků, které je třeba napravit) vůči požadavkům nařízení. „Z hlediska připravenosti je vidět velký rozdíl mezi těmi, kdo už v současnosti podléhají regulaci dle zákona o kybernetické bezpečnosti, a těmi ostatními, pro které může být příprava na DORA složitý a časově náročný proces,“ dodává Josef Donát. Principiálně totiž DORA jen zpřesňuje a zpřísňuje nároky na zabezpečení systémů a aplikací.





Penetrační testy za provozu a od pověřených firem

Co bude pro finanční instituce nové, to je pravidelné testování jejich postupů zálohování a obnovy, které se budou spouštět v případě incidentů. Vedle těchto testů bude organizace muset mít i komplexní program prověření své IT bezpečnosti. V rámci něho si stanoví také frekvenci provádění jednotlivých testů.

Nejméně jednou ročně tak budou muset testem projít IT systémy a aplikace podporující zásadní nebo důležité funkce. Ty finanční instituce, kterým to nařídí dozorové orgány, navíc budou muset povinně provádět penetrační testy, a to za provozu. „Aktuálně stanoví DORA povinnost toto penetrační testování provádět jednou za 3 roky, přitom alespoň jeden ze tří testů musí být proveden externím subjektem splňujícím požadavky nařízení,“ upozorňuje advokát Donát s tím, že zejména toto externí testování může do budoucna pro instituce představovat významný náklad, obzvlášť tehdy, pokud bude častější. „Objevují se hlasy, že frekvence stanovená DORA by měla být absolutním minimem, které půjde zpřísnit v prováděcích předpisech,“ dodává.

Srovnáme-li NIS2 s DORA v pohledu na dodavatelský řetězec, i ve finančním sektoru hrozí, že budou muset být ukončeny smlouvy s některými dodavateli. Půjde o případy, kdy buď nedojde k dohodě na změněném obsahu smluv, nebo ukončení vztahu vyplyne z povinného prozkoumání míry expozice vůči jednomu dodavateli. To může být zvlášť nepříjemné v případech, kdy celá finanční skupina využívá pro určitou dodávku kolektivní outsourcing.

Experti proto doporučují začít už teď s mapováním dodavatelských vztahů, aby byl dostatek času na provedení nezbytných změn.