V první řadě v polovině května 2022 dosáhly Evropský parlament a Rada politické dohody, čímž byl ukončen projekt revize stávající směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (NIS2). Zajímavostí je, že původní verze směrnice NIS vycházející z užití performativních pravidel a chytré regulace byla výrazně inspirována kvalitní předlohou (aktuálně novelizovaného) českého zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Avšak vzhledem k minimálně harmonizační povaze byla s postupem času a rychlého vývoje v dotčené oblasti revize nutná, což Evropská komise deklarovala ve své strategii Shaping Europe’s digital future1 již před několika lety. Smyslem revize bylo zlepšit odolnost ve vztahu k incidentům, které mohou nastat v souvislosti se sítí a informačními systémy ze stran veřejného i soukromého sektoru, jakož i EU jako celku.
Směrnice NIS2 bude meziodvětvovým souborem pravidel
NIS2 ukládá nově i veřejné správě a rozšířené skupině podniků v rámci „essential“ a „important“ kategorií seznam požadavků, jako např. záplatování zranitelných míst softwaru, přípravy opatření k řízení rizik, sdílení informací a informování úřadů o incidentech, ale vymezuje také sankce. Nutno dodat, že tato regulace se nadále týká pouze jednoho subjektu na českém pojistném trhu. Evropský pojistný sektor během vyjednávání přizvukoval na evropské i národní úrovni, že vzhledem k očekávané, sektorově specifické regulaci DORA není potřeba dopad explicitně rozšiřovat taktéž na finanční služby, popř. pojišťovnictví. Zachování stávajícího modelu vychází především z důvodu prevence duplicitní, popř. kontradiktorní úpravy NIS2 a DORA. Směrnice NIS2 bude horizontálním meziodvětvovým souborem pravidel kybernetické bezpečnosti pro EU, přičemž ekvivalent DORA je ve vztahu k ní lex specialis s dopadem výlučně na finanční sektor. DORA tudíž obsahuje podrobnější, rozsáhlejší a především perspektivou finančního sektoru konkrétnější úpravu ICT rizik, řízení, hlášení incidentů, zátěžové testování a ujednání s třetími stranami atd. než NIS2. To bylo ve finální verzi NIS2 zohledněno.
Evropská komise však předpokládá silné vazby mezi předpisy, účast ESAs a příslušných orgánů podle DORA (ČNB), které budou povinny sdílet podrobnosti o významných případech souvisejících s ICT s jednotným kontaktním místem dle NIS2 (NÚKIB), pokud se týkají subjektů, na které se vztahuje směrnice.
Implementační lhůta byla stanovena v délce 21 měsíců a začne běžet po publikaci směrnice v Úředním věstníku EU.
Jednání k návrhu DORA pokračují velmi rychle
Navzdory očekávanému přesunu trialogů k návrhu DORA pod české předsednictví v Radě EU v druhé polovině roku 2022 se Evropskému parlamentu a Radě povedlo dosáhnout předběžné dohody rovněž v polovině května 2022. Trialogy tak netrvaly ani půl roku, z čehož lze dedukovat, že DORA je nezbytnou reakcí evropských orgánů na dynamicky se vyvíjející a kriticky důležitou oblast kybernetické bezpečnosti. Z hlediska zvyšující se digitalizace, konkurenceschopnosti a hospodářské stability EU to platí zejména pro finanční služby, jež jsou významným prvkem vnitřního trhu s volným pohybem služeb a kapitálu. Evropské orgány tak reflektují, že u sektoru finančních služeb dochází ke zvyšování rizika a sofistikovanosti kybernetických útoků a hrozeb. To může mít i negativní dopad na zabezpečení osobních údajů. Jen pro představu, začátek pandemie vedl k 200% nárůstu kybernetických útoků.2
Evropská komise publikovala návrh DORA na podzim roku 2020, a to v rámci balíčku k digitálním financím.3 Jeho cílem je zvýšení úrovně kybernetické bezpečnosti subjektů finančního trhu prostřednictvím unifikovaných pravidel. Je třeba zmínit, že horizontální rámec DORA nedopadne pouze na stabilní, tradiční instituce, jako jsou pojišťovny nebo banky, ale také na fintech, start-upy či obchodníky s kryptoaktivy, u nichž tak může dojít k radikálnějším změnám v oblasti zabezpečení kybernetické bezpečnosti než u klasických poskytovatelů finančních služeb. DORA v rámci možností zakotvuje proporcionální zohlednění velikosti, povahy, složitosti a rizikového profilu. Z důvodu požadované vysoké míry harmonizace a možná i jako poučení z nedostatků minimálně harmonizační povahy NIS byla proto zvolena forma nařízení.
Obecné předpisy umožní větší pružnost v praxi
Jelikož je vývoj v digitální a kybernetické oblasti značně pružný a vztah praxe a legislativy lze přirovnat k závodu zajíce a želvy, měla by být DORA i další předpisy tohoto charakteru formulovány spíš obecně. Opačný přístup, tedy zavádění příliš preskriptivních a konkrétních technických požadavků, by mohl být spíš kontraproduktivní, a to z důvodu brzké zastaralosti. Stejně tak je důležité zakotvit proporcionální přístup, jenž reflektuje reálnou rizikovost daného finančního subjektu dle jeho velikosti, povahy a prováděných operací.
Z komparativní analýzy verzí návrhu Evropské komise provedené ČAP ve vztahu k verzím Evropského parlamentu a Rady byly znatelné pozitivní posuny v souladu s těmito principy. Nadále platí postoj, podle kterého by DORA měla být rizikově a principově založená a v souladu s existujícím právním rámcem (NIS2, Solventnost II, GDPR, pokyny ESAs atd.).
Pro délku transpoziční lhůty byla nakonec zvolena kompromisní varianta 24 měsíců, která začne plynout po zveřejnění v Úředním věstníku EU.
DORA bude upřesněna regulatorními technickými standardy (RTS), na kterých již EIOPA začala pracovat, a lze očekávat veřejnou konzultaci a posouzení trhu. Dle informací z Insurance Europe panuje v EIOPA zájem o dialog se sektorem, což bude nepochybně skvělou příležitostí pro sdělení praktických a technických detailů, jež mohou být pro úspěšnou a smysluplnou implementaci nařízení do interních procesů nejenom pojišťoven rozhodující.
Rámec DORA bude detailněji představen v dalším čísle Pojistného obzoru.
Nařízení DORA má globální ambice
Sektorovou orientaci DORA je pro futuro potřeba zohlednit i během plánované regulace aktu o kybernetické odolnosti. V této věci aktuálně proběhla veřejná konzultace4 . Mezi cíle patří formou certifikace určitých produktů, služeb a procesů ICT posílit a zajistit trvale vysokou úroveň kybernetické bezpečnosti digitálních produktů a služeb, umožnit uživatelům, aby přizpůsobili bezpečnostní vlastnosti takových produktů svým potřebám, a to i prostřednictvím zvýšení transparentnosti kybernetické bezpečnosti a zlepšení fungování vnitřního trhu tím, že vyrovnává podmínky pro prodejce digitálních produktů a služeb. Podle Evropské komise by vypracování těchto norem kybernetické bezpečnosti mohlo přispět k posílení vedoucího postavení EU v oblasti normotvorby tím, že by se utvářela pravidla pro digitální produkty a doplňkové služby, která by tak mohla sloužit jako celosvětové normy. I v této věci je Evropská komise ambiciózní a návrh hodlá přijmout ve třetím čtvrtletí roku 2022.
Posun provází i sdílení dat a umělou inteligenci
Kromě těchto iniciativ je znatelný vývoj v oblasti kybernetické bezpečnosti souvisejících návrhů upravujících umělou inteligenci včetně odpovědnostního režimu či sdílení dat v obecné rovině (nařízení o správě dat, nařízení o datech) i sektorově specifické rovině, kde je pro pojistný sektor nejvíce podstatný návrh ke společnému evropskému prostoru pro sdílení dat z vozidel a v neposlední řadě zdravotnímu datovému prostoru (EHDS). Současně přetrvávající zájem EDPB a EPDS o kompatibilitu vznikající legislativy, včetně kybernetickobezpečnostní oblasti, umělé inteligence a sdílení dat s GDPR, indikuje provázanost legislativy. To lze jako nezbytný realistický přístup hodnotit i např. v souvislosti s nedávným masivním únikem osobních údajů zdravotního charakteru ve Francii5 . Konzistence kybernetické bezpečnosti a mnohých oblastí provozu soukromého i veřejného sektoru, s důrazem na práva a ochranu jednotlivců včetně ochrany osobních údajů tak na evropské půdě nadále výrazně rezonuje, což ve větší či menší míře rozšiřuje regulatorní požadavky kladené na pojišťovny. V tomto případě však lze vidět snahu o dosažení potřebného cíle smysluplnou a proporcionální formou.
1.K dispozici zde: https://ec.europa.eu/info/strategy/priorities-2019-2024/europefit-digital-age/shaping-europe-digital-future_en.
2.K dispozici zde: https://www.agcs.allianz.com/news-and-insights/expert-riskarticles/financial-services-risk-cyber.html.
3.K dispozici zde: https://ec.europa.eu/info/publications/200924-digital-financeproposals_en.
4.K dispozici zde: https://ec.europa.eu/info/law/better-regulation/ have-your-say/initiatives/13410-Cyber-resilience-actnew-cybersecurity-rules-for-digital-products-and-ancillaryservices/F_en.
5.Víc informací zde: https://edpb.europa.eu/news/national-news/2022/healthdata-breach-dedalus-biologie-fined-15-million-euros_en.
