Koncem minulého roku totiž došlo k publikaci nařízení v Úředním věstníku EU, jehož finální verzi máme aktuálně k dispozici, která však ještě bude v následujícím období doplněna početnými level 2 předpisy, a to především regulačními technickými standardy (RTS) a implementačními technickými standardy (ITS). Otázkou tedy zůstává, jestli DORA není tak trochu Pandorou.
COVID-19 ovlivnil kyberbezpečnost
V následujících odstavcích představím již známé požadavky DORA vymezené v samotném nařízení a stručně i kontext celkového legislativního rámce, na který tento významný předpis navazuje. Důležitost odolných informačních a komunikačních technologií (ICT) se výrazně projevila v souvislosti s pandemií covidu-19, která vedla k bezprecedentnímu nárůstu kybernetické aktivity, což s sebou přináší výzvy, příležitosti, avšak rozhodně i možnosti zneužití. Silnou politickou motivaci Evropské komise k přijetí komplexního legislativního rámce upravujícího kybernetickou bezpečnost finančního sektoru, který by posílil jeho odolnost a reakceschopnost v kontextu rychlého technologického vývoje a souvisejících nových hrozeb, lze dovodit také z rychlosti vyjednávání DORA.
Evropská komise publikovala návrh tohoto nařízení v září 2020 v rámci balíčku k digitálním financím obsahujícím i digitální finanční strategii. Po navazující veřejné konzultaci, do které se ČAP vzhledem k relevanci předpisu zapojila, započaly lednem 2022 trialogy. Ve srovnání s tradičním evropským legislativním procesem, který bývá častokrát táhlý, tyto netrvaly ani půl roku.
Rychlé přijetí nařízení
DORA, kterou doplňuje změnová směrnice2, tak nabyla platnosti dne 16. 1. 2023 a účinnost započne dne 17. 1. 2025. Vzhledem k povaze právního podpisu, a tedy nařízení, je DORA závazná v celém rozsahu a přímo použitelná ve všech členských státech. DORA je dle článku 2 aplikována na všechny finanční sektory, včetně pojišťoven, zajišťoven, zprostředkovatelů. Optikou našeho sektoru je relevantní, že podniky vyňaté z působnosti článku 4 Solventnosti II jsou vyňaté rovněž z působnosti DORA.
Neboť je jejím cílem odstranění národní dohledové i regulační fragmentace a co nejvyšší míra unifikace digitální odolnosti finančního sektoru v EU, což by mělo posílit i jeho globální konkurenceschopnost, byla zvolena forma nařízení. Od toho si evropský zákonodárce slibuje posílení právní jistoty a spolupráce, odstranění přeshraničních překážek, což povede k rovné hospodářské soutěži, posílení důvěry a jistoty na finančních trzích a obzvláště posílení digitální odolnosti, prevence a stability evropského finančního systému vůči kybernetickým zranitelnostem a rizikům. Finanční sektor nejenže se digitalizoval jako celek, ale v důsledku digitalizace se rovněž prohloubila jeho vzájemná propojení a závislosti mezi ním a poskytovateli infrastruktury a služeb z řad třetích stran, čímž jsou myšleni poskytovatelé ICT. Proto DORA zavádí a harmonizuje požadavky na digitální operativní odolnost, a to tak, že dotčené společnosti jsou povinny zajistit, že dokážou odolat, reagovat a zotavit se ze všech typů narušení a hrozeb spojených s ICT.
DORA a povinnosti pro pojišťovny
Jednou z priorit pojistného sektoru byla proporcionalita. To se v textu DORA průběžně odráží, např. právě u působnosti a výjimek pro mikropodniky, jelikož DORA rozumně bere v potaz nejenom velikost, povahu, charakter služeb dané finanční instituce, ale zejména její celkový rizikový profil. Vychází zde z racionálního předpokladu, že větší finanční subjekty mají k dispozici více prostředků a kapacit na rozvoj řídicích struktur, podnikových strategií apod.
DORA je tedy výrazně principově založená a future proof a innovation friendly, a to proto, aby obstála při turbulentním vývoji i z dlouhodobého hlediska. To text skutečně reflektuje v jednotlivých ustanoveních, která nejsou nadbytečně preskriptivní co do způsobu řešení, ale spíš vymezují cíle, které je finanční instituce povinna naplnit. Tato orientace na výsledek souvisí také s rizikovou a principovou založeností.
DORA byla inspirována mezinárodními normami pro kybernetickou bezpečnost z řady ISO/IEC 27000, což by mohlo zjednodušit implementaci požadavků. Jednotné požadavky na finanční subjekty se vztahují na řízení rizika v oblasti ICT, ohlašování, testování, sdílení operativních a jiných informací. Kromě toho je zásadní, že se evropský zákonodárce snažil zastat svého slova a konsolidoval, nebo se o to alespoň značně pokusil, také v praxi častokrát problematické asymetrické smluvní vztahy s poskytovateli ICT v postavení třetích stran (ICT TPPs). Neopomněl ani pravidla pro dohled nad ICT TPPs a obecná pravidla pro spolupráci dohledových orgánů.
Kapitola II nařízení je věnována řízení rizik. Finanční subjekty mají mít zavedený interní řídicí a kontrolní rámec a jsou povinné stanovit odborný a nezávislý vedoucí orgán, který je plně odpovědný za dohled a jejich provádění. Za myšlenkou kybernetické hygieny na všech úrovních obsahuje DORA požadavky na identifikaci, ochranu a prevenci, detekci, reakceschopnost, vzdělávání i komunikaci interně i navenek. Cílem je, aby finanční subjekt měl spolehlivý, ucelený a dobře zdokumentovaný rámec pro řízení rizik, který vytváří předpoklady pro rychlé, účinné a komplexní řešení. Avšak, i když mohou finanční subjekty zadat ověřování kompatibility interně anebo externímu subjektu, nese sám nadále odpovědnost. A ačkoli poskytování služeb ICT v rámci skupiny s sebou nese specifická rizika a přínosy, nemělo by být automaticky považováno za méně rizikové než poskytování služeb ICT poskytovateli mimo finanční skupinu, a proto by mělo podléhat stejnému regulačnímu rámci. Principový a proporcionální charakter formulací v DORA je znát i v požadavcích na aktualizované systémy, protokoly a nástroje ICT, které mají být přiměřené rozsahu operací, spolehlivé, vybaveny dostatečnou kapacitou ke správnému zpracování dat potřebných k výkonu činností a včasnému poskytování služeb a k realizaci vysokých objemů objednávek, zpráv nebo transakcí, a to i v případě zavádění nové technologie, a technologicky odolné.
Jako součást rámce pro řízení rizik finanční subjekty identifikují, klasifikují a náležitě zdokumentují veškeré obchodní funkce, úlohy a povinnosti podporované ICT, informační aktiva a aktiva v oblasti ICT podporující tyto funkce a jejich úlohy a závislosti ve vztahu k rizikům v oblasti ICT. Finanční subjekty podle potřeby a alespoň jednou ročně přezkoumají přiměřenost této klasifikace a dokumentace.
Dále DORA vymezuje požadavky na nepřetržité sledování a kontrolu bezpečnosti a fungování systémů a nástrojů ICT a minimalizaci dopadu rizik.
Kromě toho mají finanční subjekty povinnost mít zavedeny mechanismy včasné detekce neobvyklých aktivit, včetně problémů s fungováním sítě ICT a incidentů souvisejících s ICT, a mechanismy identifikace potenciálních významných kritických míst. Všechny detekční mechanismy se pravidelně testují. Primárním cílem je zde prevence těchto nežádoucích aktivit do budoucna.
Dále mají finanční subjekty zavést ucelenou politiku zachování provozu ICT, kterou uplatňují prostřednictvím specializovaných postupů a mechanismů zaměřených na zajištění kontinuity zásadních nebo důležitých funkcí. Ve výsledku by měla být zajištěna rychlá, vhodná, účinná reakce na všechny incidenty, omezení škod a obnova činnosti. K tomu je potřeba neprodleně aktivovat specializované plány a dále odhad předběžných dopadů, škod a ztrát, popř. realizovat i krizovou komunikaci. Ta je založena na připravené krizové komunikační strategii, přičemž pro tyto účely je pověřena alespoň jedna osoba.
Na to navazuje nutnost politiky zálohování a postupy a metody obnovy, přičemž při obnově zálohových dat pomocí vlastních systémů finanční subjekty použijí systémy ICT, které jsou fyzicky a logicky odděleny od zdrojového systému. Při obnově provozu jednotlivých funkcí finanční subjekty zohlední, zda se jedná o zásadní nebo důležitou funkci a potenciální celkový dopad na tržní efektivitu.
Dále finanční subjekty shromažďují informace o zranitelnostech a kybernetických hrozbách a o incidentech souvisejících s ICT, zejména kybernetických útocích, a analyzují jejich pravděpodobný dopad. O tyto informace může požádat i dohledový orgán.
Kromě toho klade DORA důraz i na školení zaměstnanců a povědomí o bezpečnosti v oblasti ICT a průběžné sledování relevantního technologického vývoje.
Kapitola III upravuje povinnosti finančních subjektů v oblasti řízení, klasifikace a hlášení incidentů, tedy zavést a uplatňovat konzistentní a integrovanou detekci, řízení a hlášení prostřednictvím ukazatelů včasného varování, postupy k identifikaci, sledování, evidenci, kategorizaci a klasifikaci ICT incidentů, postupy ke zmírnění dopadů apod. Klasifikace incidentů probíhá na základě několika kritérií vymezených v článku 18. Jedná se o počet dotčených klientů nebo transakcí, dobu trvání, územní rozsah, ztrátu údajů, význam zasažených služeb a ekonomický dopad.
K incidentům, které jsou klasifikované jako závažné, se vztahují další úkoly – povinné ohlašování dohledu (ČNB) a předložení relevantní dokumentace. Také je však možné dobrovolné ohlašování dohledu/CSIRT, pokud se finanční subjekty domnívají, že hrozba je relevantní pro finanční systém, uživatele služeb nebo klienty. Interakce, poskytnutí zpětné vazby dohledového orgánu, je vymezena jako možnost totožně jako poskytnutí informací veřejným nefinančním orgánům, např. právě ÚOOÚ. I u ohlašování DORA umožňuje outsourcing na třetí stranu, ale nadále platí plná a konečná odpovědnost finančního subjektu. Bližší informace a očekávanou standardizaci mají upravit level 2 předpisy.
Testování odolnosti proti kyberútokům
Kapitola IV je dedikována testování digitální provozní odolnosti zásadních a důležitých funkcí. Pro účely posuzování připravenosti na řešení incidentů, identifikace slabých míst, vad a nedostatků a rychlého zavedení nápravných opatření finanční subjekty (jiné než mikropodniky) při zohlednění kritérií proporcionality vytvoří, udržují a aktualizují spolehlivý a ucelený program testování digitální provozní odolnosti jakožto nedílnou součást rámce pro řízení rizika. Tento program lze realizovat formou různých hodnocení, testů, nástrojů a politik, jako např. hodnocení a zjišťování zranitelnosti, analýzy otevřených zdrojů, posouzení bezpečnosti sítě, analýzy nedostatků, přezkumy fyzické bezpečnosti, dotazníky a antivirová softwarová řešení, v případě proveditelnosti přezkumy zdrojových kódů atd. Testování mohou realizovat externí či interní nezávislé subjekty, u kterých je nutná prevence střetů zájmů. Frekvence je minimálně jednou do roka.
Specificky je v DORA věnován prostor penetračnímu testování. Požadavky na subjekty provádějící penetrační testování vcelku extenzivně definuje v článku 26 a následujícím. Určené finanční subjekty na základě faktorů souvisejících s dopady, případných hledisek finanční stability, včetně systémové povahy finančního subjektu a konkrétního rizikového profilu v oblasti ICT, úrovně vyspělosti finančního subjektu v oblasti ICT nebo dotčených technologických prvků, provádějí alespoň jednou za tři roky pokročilé testování s využitím penetračního testování na základě hrozeb. Na základě rizikového profilu finančního subjektu a s přihlédnutím k provozním okolnostem může příslušný orgán v případě potřeby požádat finanční subjekt, aby tuto četnost snížil nebo zvýšil. Finanční subjekty posoudí, které zásadní nebo důležité funkce je třeba zahrnout do penetračního testování na základě hrozeb. Výsledek posouzení určí přesný rozsah penetračního testování na základě hrozeb a musí být potvrzen příslušnými orgány.
Pokud jsou do rozsahu penetračního testování na základě hrozeb zahrnuti ICT TPPs, přijme finanční subjekt nezbytná opatření a záruky k zajištění účasti těchto ICT TPPs na penetračním testování na základě hrozeb a po celou dobu si ponechá plnou odpovědnost. Finanční subjekty mají dále povinnost zajistit, aby ve smlouvách uzavřených s externími subjekty provádějícími testování byla požadována řádná správa výsledků penetračního testování na základě hrozeb a aby jakékoli související zpracování údajů, včetně jakéhokoli vypracování, uložení, agregace, návrhu, hlášení, sdělení nebo zničení, neohrozilo finanční subjekt.
Na konci testování a po schválení zpráv a plánů nápravných opatření finanční subjekt, resp. externí subjekt předloží orgánu souhrn příslušných zjištění, plánů nápravných opatření a dokumentaci. Orgán vydá osvědčení o provedeném testu v souladu s požadavky. I pro tuto oblast DORA zdůrazňuje, že odpovědnost vždy nese finanční subjekt.
Kromě toho DORA pro futuro počítá s alternativou, že na základě odborných znalostí, které již některé příslušné orgány získaly, zejména pokud jde o provádění rámce TIBER–EU, by toto nařízení mělo členským státům umožnit, aby na vnitrostátní úrovni určily jediný veřejný orgán jako odpovědný za všechny záležitosti penetračního testování.
Spolupráce s třetími stranami
Kapitola V upravuje outsourcing, což je snaha právě o úpravu asymetrických smluvních vztahů s ICT TPPs, vč. sledování subdodavatelských řetězců. Kapitola bude dále doplněna level 2 požadavky, prozatím jsou formulace v nařízení spíš obecné. Je opětovně zdůrazňována plná odpovědnost finančního subjektu a také proporcionalita ve vztahu k povaze, rozsahu, složitosti a významu závislostí v oblasti ICT a rizik vyplývajících ze smluvních ujednání se zohledněním toho, jak zásadní či důležité jsou příslušné služby, procesy nebo funkce a jaký je potenciální dopad na kontinuitu a dostupnost finančních služeb a činností na individuální úrovni i na úrovni skupiny.
Kromě toho je zde vymezena povinnost finančního subjektu, který jakožto součást svého rámce pro řízení rizika vede a aktualizuje registr informací s ohledem na všechna smluvní ujednání. Smluvní ujednání se řádně zdokumentují, přičemž se rozlišuje mezi těmi, která se týkají služeb ICT podporujících zásadní nebo důležité funkce, a těmi, která se jich netýkají. Finančnísubjekty alespoň jednou ročně nahlásí příslušným orgánům počet a charakter nových ujednání.
Relativně detailně jsou však definovány požadavky na finanční subjekty před uzavřením smluvního ujednání o využívání služeb ICT, avšak nadále budou doplňovány level 2 předpisy. Je nezbytné posoudit několik faktorů – zda se smluvní ujednání týká využívání služeb ICT podporujících zásadní nebo důležité funkce; zda jsou splněny podmínky dohledu pro uzavření smlouvy; identifikace a posouzení relevantních rizik, včetně možnosti, kdy smluvní ujednání může přispívat k zesílení rizika koncentrace dále definovaného článkem 29; přezkum vhodnosti ICT TPPs a identifikace případných střetů zájmů, které mohou smluvní ujednání způsobit.
DORA zakotvuje i požadavky na formu smlouvy, která musí být písemná, a to či už v listinné podobě, nebo v jiném formátu, který lze stáhnout, je trvalý a přístupný. Obsah má být srozumitelný a má zakotvovat např. úplný popis všech funkcí a služeb; ustanovení týkající se dostupnosti, hodnověrnosti, integrity a důvěrnosti; požadavky na penetrační testování; povinnost a práva ICT TPPs; právo nepřetržitě sledovat výsledky ze strany finančního subjektu; výpovědní lhůty a povinnosti hlášení; exitovou strategii atd.
Jednou z priorit, které nejenom pojistný sektor komunikoval v předchozích fázích legislativního procesu, bylo právě důkladné a praktické nastavení exitové strategie. To je v DORA obsaženo s úmyslem, aby když ICT TPPs zásadním způsobem poruší platné právní předpisy nebo smluvní podmínky; sledováním rizika se zjistí okolnosti, u nichž se má za to, že mohou změnit plnění funkcí poskytovaných prostřednictvím smluvního ujednání; v rámci celkového řízení rizika v oblasti ICT TPPs jsou zjištěna slabá místa, a to zejména s ohledem na zajištění dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů, ať již osobních,či jiných citlivých údajů, nebo jiných než osobních údajů, nebo příslušný orgán již nedokáže dále efektivně dohlížet na finanční subjekt v důsledku podmínek příslušného smluvního ujednání nebo okolností s ním souvisejících, bylo možné smluvní vztah bez dopadu na kontinuity poskytovaných služeb a dodržování regulatorních požadavků ukončit. Finanční subjekt má mít připravenou strategii ukončení smluvního vztahu, která zohlední rizika jako např. případné selhání, snížení kvality poskytovaných služeb a funkcí, jakékoli narušení činnosti v důsledku nevhodného či chybného poskytování služeb nebo jakéhokoli vážného rizika nebo v případě ukončení smluvních ujednání za kterékoli z okolností výše. Dále má mít finanční subjekt identifikována alternativní řešení a vypracovány plány přechodu, které mu umožní odebrání nasmlouvaných služeb a příslušných dat od ICT TPPs a jejich bezpečný a integrovaný přenos k alternativnímu poskytovateli nebo jejich začlenění v rámci vlastní organizace.
Dvojí dohled
DORA specificky přistupuje k oblasti dohledu. V podstatě ho lze rozdělit do 2 separátních kategorií – dohled nad finančními institucemi a nově také dohled nad kritickými ICT TPPs.
Dohledové pravomoci nad pojišťovnami a dalšími finančními institucemi náleží ČNB, nicméně hlášení a řešení incidentů spadá pod NÚKIB. Příslušné orgány mají všechny kontrolní, vyšetřovací (např. kontroly na místě, přístup k dokumentaci apod.) a sankční pravomoci nezbytné k plnění svých povinností. Rozhodnutí o uložení správních sankcí nebo nápravných opatření musí být řádně odůvodněna, aby bylo možné podat proti nim opravný prostředek.
Rozhodnutí jsou publikovaná na webu. Členské státy se mohou rozhodnout, že nestanoví správní sankce nebo nápravná opatření za ta porušení, na která se podle jejich vnitrostátního práva vztahují trestní sankce. Tak či tak však sankce musí být účinné, přiměřené a odrazující a musí zohledňovat, do jaké míry bylo porušení způsobeno úmyslně, nebo z nedbalosti, a všechny ostatní relevantní okolnosti.
Nová struktura dohledu nad kritickými ICT TPPs nese odlišné rysy. Evropské orgány dohledu (ESAs) prostřednictvím společného výboru a na základě doporučení fóra dohledu (ESAs, zástupce dohledového orgánu z každého státu, ECB, ESRB, Komise, ENISA, případně zástupci NIS úřadů) a kritérií určí ICT TPPs, kteří jsou kritičtí pro finanční subjekty, a jmenují hlavním orgánem dohledu pro jednotlivé kritické ICT TPPs 1 z ESAs na základě největšího podílu aktiv z hodnoty celkových aktiv. Relevantní kritéria jsou např. systémový dopad na stabilitu, kontinuitu nebo kvalitu poskytování finančních služeb; systémová povaha či význam finančních subjektů; počet globálních systémově významných institucí (G-SVI) nebo jiných systémově významných institucí (J-SVI), které spoléhají na daného ICT TPPs; míra nahraditelnosti ICT TPPs s přihlédnutím k těmto parametrům atd. Po finalizaci administrativního procesu ICT TPPs poté, co byl určen jako kritický, informuje daný ICT TPPs finanční subjekty, kterým poskytuje služby. DORA zvážila také specifika ICT TPPs z třetích zemí. Ty mají povinnost mít dceru v EU do 1 roka od určení kritičnosti. Zároveň je významnou odchylkou to, že kritičtí poskytovatelé platí za dohled poplatky.
Společně proti hackrům
Dále DORA prozatím na dobrovolné bázi upravuje možnost finančních subjektů vzájemně si vyměňovat operativní informace o kybernetických hrozbách a kolektivně využívat individuálních znalostí a praktických zkušeností na strategické, taktické a provozní úrovni, a zlepšit tak schopnosti adekvátního posuzování a sledování kybernetických hrozeb, obrany před nimi a reakce na ně. Do této výměny informací je dle DORA možné i zapojení veřejných orgánů a ICT TPPs. I na tuhle variantu jsme v rámci pracovní skupiny kybernetické bezpečnosti ČAP mysleli předem a již s několikaletým předstihem byl vytvořen samoregulační mechanismus pro sdílení uvedených informací.
Nařízením DORA to nekončí
DORA však není izolovaným předpisem. Během implementace je proto nutné myslet na případné návaznosti, zejména na nově revidovanou směrnici NIS23, která zavádí nová pravidla pro posílení kybernetické bezpečnosti po celé EU. Zároveň posiluje kybernetické požadavky pro středně velké a velké subjekty, které provozují a poskytují služby v klíčových sektorech.
Směrnice NIS2 pokrývá více sektorů a činností než dříve, sjednocuje hlášení o povinnostech a řeší bezpečnost dodavatelských řetězců.
Jednou z priorit pojistného sektoru bylo vymezení vztahu DORA k NIS2 jakožto lex specialis, což bylo naštěstí zohledněno. To znamená, že pro finanční sektor se primárně aplikuje DORA. Detailní informace o NIS2 lze najít na dedikovaném webu NÚKIB4.
Je nutno zohlednit i např. GDPR, které se zaměřuje na ochranu osobních údajů a práva jednotlivců v souvislosti s jejich údaji. DORA se na druhé straně zaměřuje na kybernetickou bezpečnost finančních institucí a stanovuje požadavky na odolnost proti kybernetickým incidentům. DORA vyžaduje od finančních institucí, aby měly robustní systémy a procesy pro řízení rizik spojených s ICT, včetně kybernetických útoků. To se pochopitelně dotýká i oblasti ochrany osobních údajů. Obě nařízení vyžadují od organizací, aby měly silné bezpečnostní opatření a aby byly schopny reagovat na bezpečnostní incidenty. Pokud dojde k bezpečnostnímu incidentu, který ohrožuje jak finanční odolnost podle DORA, tak ochranu osobních údajů podle GDPR, organizace budou muset dodržet požadavky na ohlašování obou nařízení (GDPR ÚOOÚ, DORA ČNB). Obě nařízení také zdůrazňují potřebu pravidelného hodnocení a aktualizace bezpečnostních opatření, aby byly v souladu se stále se vyvíjejícími kybernetickými hrozbami. DORA tak lze vnímat jako určitou nadstavbu zajištění povinností dle GDPR, např. ale ne výlučně v oblasti požadavků na technická a organizační opatření.
Dále je potřeba zohlednit Solventnost II nebo Data Act a neopomenout ani očekávané legislativní novinky, jako například návrhy nařízení o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky5 nebo nařízení, kterým se stanoví opatření k posílení solidarity a kapacit v Unii pro odhalování kybernetických bezpečnostních hrozeb a incidentů a pro připravenost a reakci na ně6.
Co se týká dalších kroků, momentálně je klíčový obsah a časový rámec vydání level 2 předpisů, které jsou relevantní pro řádnou interpretaci a implementaci. Tyto předpisy budou z pera ESAs, resp. i ECB a ENISA. Konkrétně DORA avizuje 8 RTS, 2 ITS, 2 obecné pokyny a prováděcí nařízení Komise ke klasifikaci incidentů a harmonizaci obsahu a vzorů hlášení. Kromě toho mají být vypracované technické rady Komisi ke kritériím, podle kterých jsou ICT TPPs určeni jako kritičtí pro subjekty na finančním trhu a ke zmíněným poplatkům za dohled ESAs. Vydání levelu 2 budou předcházet veřejné konzultace ve 2 kolech, do kterých se v rámci ČAP zapojíme.
Nadále tedy zůstávají nejasné některé podstatné oblasti. Délka prací a následný termín publikace levelu 2 ukážou, zda bude vytvořen dostatečný časový prostor pro implementaci doplňujících, ale určujících požadavků. Také se projeví, zda se povedlo zabránit duplicitním či kontradiktorním požadavkům DORA ve vztahu k ostatním legislativním předpisům či např. pokynům ESAs. Otázkou také zůstává, jak bude de facto probíhat ohlašování kompetentním orgánům a zda se (i v delším časovém měřítku) povede tento proces zefektivnit. Dnes by např. některé finanční instituce v případě jednoho kybernetického incidentu s dopadem na osobní údaje musely ohlašovat NÚKIB dle NIS2, ČNB dle DORA a ÚOOÚ dle GDPR.
Lepší spolupráce v EU
Evropský zákonodárce si od unifikační DORA slibuje nejenom dosažení v úvodu popsaných cílů a technologickou bezpečnost, ale taktéž tzv. bruselský efekt, po vzoru GDPR. Tím je míněno, že by principově a rizikově formulovaná DORA mohla být i v globálním kontextu pojímaná jako minimální standard v oblasti kybernetické bezpečnosti, který bude inspirací i pro jurisdikce z třetích zemí. To by pochopitelně zlepšilo i spolupráci se subjekty z EU.
1.Nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. Dostupné z: https://eur-lex.europa.eu/legal-content/EN-CS/TXT/?from=EN&uri=CELEX%3A32022R2554.
2.Směrnice Evropského parlamentu a Rady (EU) 2022/2556 ze dne 14. prosince 2022, kterou se mění směrnice 2009/65/ES, 2009/138/ES, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 a (EU) 2016/2341, pokud jde o digitální provozní odolnost finančního sektoru. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32022L2556.
3.3 Směrnice Evropského Parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2). Dostupné z: https://eur-lex.europa.eu/eli/dir/2022/2555.
4.Dostupné z: https://osveta.nukib.cz/course/view.php?id=145.
5.Dostupné z: https://eur-lex.europa.eu/legal-content/EN-CS/TXT/?from=EN&uri=CELEX%3A52022PC0454.
6.Dostupné z: https://eur-lex.europa.eu/legal-content/EN-CS/TXT/?from=EN&uri=CELEX%3A52023PC0209.
