Aplikovatelnost nařízení o digitální provozní odolnosti DORA se blíží

17. ledna 2025 nabude účinnosti nové nařízení o digitální provozní odolnosti finančního sektoru, zkráceně označované jako DORA (Digital Operational Resilience Act). Jedná se o specifické nařízení pravidel kybernetické bezpečnosti pro finanční sektor, na který se tak (v zásadě) neuplatní směrnice NIS2, potažmo nyní připravovaný zákon o kybernetické bezpečnosti. 

V reakci na narůstající množství kybernetických hrozeb a útoků ve finančním sektoru zavádí nařízení DORA pro finanční instituce nové požadavky na zabezpečení, udržování a provozování informačních systémů. Cílem nařízení DORA je zavést komplexní rámec pro sjednocení procesů a standardů pro zvýšení odolnosti finančních institucí proti digitálním rizikům a kybernetickým hrozbám.

Vztahuje se na Vás nařízení DORA? Máte dostatečně zajištěnou bezpečnost informačních systémů? Ověřte si Vaši připravenost v našem online self-assessment dotazníku.

Co je třeba provést?

Finanční instituce budou mít nové povinnosti ohledně vytvoření interních pravidla pro prevenci, sledování a hlášení bezpečnostních hrozeb v oblasti informačních a komunikačních technologií (ICT), reagovat na tyto hrozby a přijmout plány pro obnovu provozu v případě vážnějšího kybernetického incidentu.

Koho se nařízení DORA týká?

DORA se vztahuje na banky a platební instituce, investiční společnosti a investiční fondy, obchodníky s cennými papíry, pojišťovny a zajišťovny, penzijní společnosti pojišťovny a další finanční instituce, které jsou regulované pod Českou Národní Bankou.

Jaké hlavní změny DORA přináší?

DORA zavádí nové povinnosti ohledně řízení rizik v oblasti ICT nejen v rámci interních procesů, ale i v rámci spolupráce s třetími stranami. Finanční instituce tak budou muset například upravit smlouvy uzavírané se svými dodavateli a poskytovateli služeb ICT. Součástí požadavků je také reportingová povinnost pro klasifikaci a hlášení kybernetických incidentů do 24 hodin příslušným orgánům. DORA dále zavádí povinnost testování digitální provozní odolnosti v rámci penetračních testů pro identifikaci slabých míst a zavedení mechanismu pro sdílení informací o kybernetických hrozbách.

Jaké sankce hrozí v případě nesplnění povinností?

Finančním institucím, které nedodrží povinnosti vyplývající z nařízení DORA, hrozí vysoké pokuty až do výše 50 miliónů korun. Kromě finančních sankcí může porušení vést ke ztrátě dat, dobré pověsti, důvěry u zákazníků a mít negativní vliv na budoucí obchodní příležitost.

Více informací o povinnostech a implementaci naleznete v tomto přehledu. Rádi Vám pomůžeme provést detailní analýzu dopadů na Vaši společnost a poradíme Vám, jak správně implementovat povinnosti vyplývající z DORA.