Tento týden pokračuje ve sněmovních výborech projednávání návrhu zákona o kybernetické bezpečnosti. Poslanci se v úterý a ve čtvrtek budou zabývat pozměňovacími návrhy svých kolegů. Vyjádřit se k nim měl i tvůrce normy, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). V úterý bude materiál na programu schůze Výboru pro obranu, ve čtvrtek se jím bude zabývat Hospodářský výbor a garanční Výbor pro bezpečnost. Projednávání budeme samozřejmě i tentokrát sledovat.
Na plénu se Sněmovna k regulaci kyberbezpečnosti vrátí nejdříve ve druhé polovině listopadu, což dál snižuje šance, že by norma mohla být účinná od nového roku, jak optimisticky stále doufá NÚKIB. A zatímco na národní úrovni se prohlubuje zpoždění, které má Česko s transpozicí směrnice NIS2, na té evropské se daří postupně doplňovat regulaci kybernetické bezpečnosti ve specifických oblastech, kde by samotná směrnice NIS2 ke sledovanému cíli nestačila.
V minulém díle seriálu jsme se věnovali dopracovanému Aktu o kybernetické odolnosti (EU Cyber Resilience Act – CRA), který má zajistit bezpečnost spotřebičů s digitálním prvkem, dnes se podíváme na novinky v pravidlech pro banky, ale také obchodníky s kryptoměnami, v evropském nařízení DORA o digitální provozní odolnosti finančních institucí (Digital Operation Resilience Act).
Banky i fintech firmy s kryptoměnami mají vlastní pravidla
DORA jsme si v základních parametrech představili už dříve. Je to stěžejní předpis pro finanční sektor Sedmadvacítky, který už v lednu příštího roku budou muset banky, stavební spořitelny, pojišťovny, investiční společnosti nebo obchodníci s cennými papíry či fintech společnosti pracující s kryptoměnami mít zohledněný ve svých procesech. Oproti jiným regulovaným subjektům musejí mít daleko podrobnější strategii řízení ICT rizik.
Očekává se od nich i provádění pravidelného testování digitální odolnosti, školení svých zaměstnanců a přísnější metr bude platit i pro smlouvy s externími dodavateli. DORA totiž nerozlišuje mezi externím a vnitropodnikovým outsourcingem. Požaduje řízení míry expozice vůči konkrétnímu dodavateli.
DORA je na rozdíl od NIS2 nařízení, takže bude přímo aplikovatelná a nehrozí tak nebezpečí, že vinou přílišné legislativní kreativity regulátorů v členských státech se její uvedení do praxe zbrzdí.
Evropská komise na sklonku října k DORA vydala dvojici zpřesňujících prováděcích předpisů, které by rozhodně neměly uniknout pozornosti těch, kdo mají přípravu na nové povinnosti v peněžních institucích na starosti. Jsou to jednak regulační technické normy, jimiž se stanoví obsah a lhůty pro prvotní oznámení a průběžnou a závěrečnou zprávu o závažných incidentech a obsah dobrovolného oznámení o významných kybernetických hrozbách. A dále Komise vydala standardizované formuláře, šablony a postupy, jak v režimu DORA hlásit závažný incident související s ICT technologiemi a oznamovat významné kybernetické hrozby.
Předně je potřeba zdůraznit, že se bankám v rámci veřejných konzultací s Komisí podařilo dosáhnout významného prodloužení lhůt pro splnění povinností k hlášení případných problémů. Úlev se jim dostane také v případě incidentů, k nimž dojde mimo pracovní dny, tedy o víkendech a státních svátcích.
Pro ohlášení incidentu bude více času
Podle původního návrhu regulace měly mít finanční instituce povinnost reportovat prvotní oznámení do jedné hodiny, ať už se jednalo o den, nebo noc, o všední den, nebo víkend. To by znamenalo držet nepřetržitou pohotovost nejen u dohledu nad příslušnými bankovními systémy, ale hlavně u managementu nebo osob oprávněných za finanční instituci jednat, incident náležitě vyhodnotit a pak jej i dohledovým orgánům oznámit.
Pokud půjde o menší finanční ústavy, které neprovozují vlastní obchodní systémy nebo nejsou považovány za základní nebo důležité subjekty, prodlužuje se jim lhůta do poledne nejbližšího pracovního dne. Jinak u prvotní zprávy platí povinnost oznamování do 24 hodin poté, co se banka o incidentu dozvěděla, a do 4 hodin, co ho jako závažný vyhodnotila.
Následně pak musí poslat průběžnou zprávu nejpozději do 72 hodin od prvotní zprávy, a to i v tom případě, že se jí problém vyřešit nepodaří. Po obnovení chodu svých systémů instituce musejí zaslat vždy aktualizovanou průběžnou zprávu a do měsíce poté i závěrečnou zprávu. Tyto zprávy bude možné podat i současně, nebo je sloučit do jedné, podaří-li se dokončit analýzu hlavních příčin problému velmi rychle a banka stihne vše sepsat do vypršení základních lhůt.
Evropská pravidla totiž po ní chtějí opravdu zevrubnou analýzu. V závěrečné zprávě musí zmapovat příčiny incidentu i časovou osu jeho řešení. Banky také budou muset odkrýt karty, co se týče nákladů a ztrát s incidentem souvisejících, jak přímých, tak i nepřímých. Regulátory bude zajímat i to, z jaké části se finanční prostředky podaří získat zpět, nebo jestli šlo o opakující se incident.
Nařízení DORA počítá i s možností, že si banky dohled nad svými kritickými systémy sjednají externě. Potom budou moci i komunikaci s regulátorem přenechat tomuto třetímu subjektu, avšak jen za předpokladu, že mu dopředu oznámí, s kým mají takovou dohodu o zajištění oznamovacích povinností uzavřenu. A domluví-li se více bank na stejném outsourcingu, pak bude jednodušší i hlášení incidentů postihujících více peněžních ústavů najednou. Takový útok půjde oznamovat jedním souhrnným hlášením.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
