Jedním z klíčových nástrojů tohoto plánu je nařízení o digitální provozní odolnosti finančního sektoru, DORA (Digital Operational Resilience Act)3. DORA upravuje posílení kybernetické bezpečnosti v oblasti finančního sektoru a dopadá na činnost pojišťoven a zajišťoven, zprostředkovatelů a institucí poskytujících zaměstnanecké penzijní pojištění. Z působnosti jsou vyňaty pouze tzv. velmi malé pojišťovny s objemem hrubého výnosu z pojistného do 5 milionů EUR, zprostředkovatelé kvalifikovaní jako mikropodniky nebo malé a střední podniky a instituce poskytující zaměstnanecké penzijní pojištění maximálně 15 osobám.
Mezi hlavní povinnosti vycházející z DORA patří zavedení řídicího a kontrolního rámce, který bude účinně a obezřetně řídit rizika spojená s ICT. Tento rámec by měl být zaveden jako součást celkového procesu řízení rizik finančního subjektu. Pro účely zajištění adekvátní ochrany a odolnosti provozu musí společnosti zavést a udržovat vhodná bezpečnostní opatření k zajištění dostupnosti, důvěrnosti a integrity využívaných ICT prostředků. Nařízení DORA tato opatření dělí do několika skupin.
První skupinou jsou opatření k ochraně a prevenci, kam patří vedení bezpečnostní dokumentace, bezpečné řízení infrastruktury a sítí, omezení fyzického přístupu k aktivům, která obsahují data a informace, a využívání odolných kryptografických prostředků.
Druhou skupinou jsou opatření k detekci. Finanční subjekt musí mít zavedené mechanismy k detekci neobvyklých kybernetických aktivit, aby byl schopen včas zachytit pokusy o kybernetický incident.
Třetí skupinou jsou potom opatření pro okamžitou reakci na případný incident a správnou obnovu fungování společnosti, pokud incident naruší její fungování. Mezi tato opatření spadá příprava a pravidelné testování
Poslední skupinou jsou opatření k zajištění rozvoje bezpečnostního povědomí zaměstnanců o bezpečnosti a digitální provozní odolnosti.
Zmíněným povinnostem bude podléhat většina povinných subjektů. Některé finanční subjekty podléhají podle odvětvových právních předpisů EU mírnějším požadavkům nebo výjimkám, a to z důvodů, které vycházejí z jejich velikosti nebo typu poskytovaných služeb. Mezi tyto subjekty spadají malé a nepropojené investiční podniky, některé instituce elektronických peněz a malé instituce zaměstnaneckého penzijního pojištění. V souladu se zásadou proporcionality byl pro tyto subjekty vypracován tzv. zjednodušený rámec pro řízení rizika v IT,4 který obsahuje výčet minimálních povinností, jež musí podnik zavést.
Konzistentní harmonizaci požadavků DORA mezi různými typy subjektů finančního sektoru mají zajistit tzv. regulační technické standardy (RTS) a implementační technické standardy (ITS), které společně vypracují evropské orgány dohledu – EBA, EIOPA a ESMA. Evropské komisi je svěřena pravomoc k přijetí těchto standardů a vydání dalších aktů v přenesené působnosti, které mají například upřesnit kritéria pro určení kritických poskytovatelů služeb ICT z řad třetích stran.5 Ke dni vydání tohoto článku byl zveřejněn první balíček návrhů harmonizačních standardů, které se věnují čtyřem oblastem.
ICT Risk Management Framework
Řízení rizik je základním kamenem požadavků DORA. Návrh RTS poskytuje upřesnění specifických požadavků na řízení rizik spojených s informačními a komunikačními technologiemi (ICT) s cílem harmonizovat nástroje, metody, procesy a politiky. V návrhu jsou identifikovány klíčové prvky rámce pro řízení rizik, které jsou relevantní i pro povinné subjekty podléhající zjednodušenému rámci povinností.
Návrh RTS vychází ze dvou hlavních principů – technologické neutrality a sektorové agnostičnosti6 – a upřesňuje požadavky na řízení rizik v oblasti předpokládaných interních dokumentů (politiky, směrnice). Tento přístup byl vyhodnocený jako nejvhodnější s ohledem na potřebu zajistit maximální jasnost požadavků a zároveň ponechat dostatek prostoru k aplikaci principu proporcionality.
Kritéria pro klasifikaci kybernetických incidentů
Přestože by se hlášení incidentů mělo vyžadovat po všech finančních subjektech, neočekává se, že je tento požadavek ovlivní stejným způsobem. Návrh RTS pro kritéria klasifikace kybernetických incidentů upřesňuje prahové hodnoty významnosti kybernetických incidentů a způsob, jakým by měla být určena hodnota jejich významnosti. Na dokumentu spolupracovala také Evropská centrální banka (ECB) a Agentura Evropské unie pro kybernetickou bezpečnost (ENISA).
Pro klasifikaci incidentů je nutné posoudit jejich dopad ve stanovených oblastech – počet dotčených klientů, počet přímo ovlivněných finančních institucí, ovlivněných finančních transakcí, reputace, doba trvání výpadku poskytovaných služeb, geografický výskyt incidentu, objem dotčených dat, rozsah postižených kritických služeb a ekonomický dopad.
Důležitou součástí je návrh kritérií a prahových hodnot pro určení tzv. závažného kybernetického incidentu. Ten se stává závažným, pokud alespoň dvě kritéria z uvedených oblastí dosáhnou určené prahové hodnoty předpokládané v návrhu, jako je například dopad na více než 10 % uživatelů dané služby nebo více než 10 % denních transakcí.
V případě závažného incidentu má povinný subjekt povinnost jej nahlásit příslušnému orgánu v souladu s čl. 19 odst. 6 a 7 DORA. Navrhované RTS v současné chvíli blíže nerozvádí, jakým způsobem by incidenty měly být oznamovány. V případě, že povinný subjekt identifikuje závažný incident, musí příslušnému orgánu vždy předložit prvotní oznámení, ve kterém informuje o existenci incidentu a jeho charakteru, průběžné zprávy, ve kterých informuje o případných změnách popsaného stavu nebo poskytne nové informace o incidentu, a závěrečnou zprávu, která bude obsahovat analýzu příčiny incidentu a jeho dopadů, a popíše zmírňující opatření, která byla uplatněna.
Strategie v oblasti ICT služeb
DORA požaduje, aby povinné subjekty zavedly a pravidelně přezkoumávaly strategii v oblasti ICT služeb podporujících kritické nebo důležité funkce, které jsou poskytovány třetími stranami. Navrhované RTS upřesňuje požadavky na obsah interních dokumentů, opět s ohledem na požadavek proporcionality přijímaných opatření pro různé typy subjektů finančního sektoru.
V praxi se lze často setkat se situací, kdy jsou kritické a důležité ICT služby zajišťovány subjektem, který patří do skupiny v rámci finančního sektoru. Návrh RTS upřesňuje, že i takové schéma je považováno za poskytování služeb třetí stranou a touto optikou je důležité posuzovat také rizika spojená s těmito poskytovateli. Ačkoliv rizika, která tito poskytovatelé představují, mohou být různá, rozsah požadavků, které se na ně vztahují, by měl být stále v souladu s požadavky DORA.
Registr smluvních požadavků
Dle DORA musí povinné subjekty zavést registr informací ve vztahu ke všem smluvním podmínkám a ujednáním o využívání služeb ICT poskytovaných třetí stranou. Registr má být zpřístupněn příslušným orgánům společně s dalšími informacemi k usnadnění výkonu účinného dohledu. Za tímto účelem byl vypracován ITS obsahující standardizované požadavky na tento registr včetně informací, které jsou společné všem smluvním ujednáním o použití služeb ICT třetích stran. Celkem byl zveřejněn návrh čtrnácti šablon pro sedm hlavních oblastí.
Implementace do českého právního řádu
K datu zveřejnění tohoto článku byl vládou schválen zákon o digitálních financích. Tento zákon, navržený Ministerstvem financí ČR, zpracovává a rozvádí příslušná ustanovení DORA do českého právního řádu a aktuálně čeká na projednání v Poslanecké sněmovně. Předpokládaná účinnost tohoto zákona je 17. ledna 2025, přičemž je pravděpodobné, že k jeho přijetí dojde v průběhu druhé poloviny 2024.
Zákon stanovuje příslušný orgán, kterým bude v souladu s kritérii DORA Česká národní banka (ČNB). Zákon nepředpokládá, že by ČNB pravomoci sdílela s dalším subjektem, nicméně je možné, že vzhledem k obecnému charakteru DORA bude docházet k těsné spolupráci mezi ČNB a Národním úřadem pro informační a kybernetickou bezpečnost (NÚKIB).
Zákon dále rozšiřuje pravomoci příslušného orgánu nad rámec požadavků DORA. ČNB tak bude moci mimo obecných sankcí ukládat povinným subjektům nápravná opatření a uložit jim povinnost podávat potřebné informace k výkonu dohledu. V případě neplnění uložených povinností má ČNB pravomoc uložit donucovací pokutu, a to i opakovaně, až do výše 20 milionů korun. Navrhovaná úprava stanovuje také sankce za porušení předepsaných povinností. Ty jsou rozděleny do pěti skupin dle závažnosti porušení a charakteru subjektu a mohou dosahovat výše až 50 milionů korun.
DORA směřuje k posílení kybernetické bezpečnosti finančního sektoru
Pro odvětví pojišťovnictví je klíčové zaměřit se na analýzu mezer v existujících postupech řízení rizik a správy ICT. Nedílnou součástí je ověření schopnosti vhodné klasifikace a hlášení incidentů, spolu s pravidelným testováním zabezpečení a odolnosti systémů ICT. Řízení rizik poskytovatelů služeb ICT z třetích stran bude vyžadovat detailní analýzu stávajících smluv a případně také jejich úpravu v souladu s požadavky na obsah smluvních ustanovení.
Zveřejněné návrhy RTS a ITS poskytují bližší upřesnění požadavků DORA a vypracované šablony pro finanční subjekty v oblasti řízení rizik ICT, klasifikace incidentů a správy registrů smluvních požadavků. Tyto normy usilují o harmonizaci nástrojů, metod a procesů v celém finančním sektoru, což přispívá k efektivnější koordinaci a reakci na kybernetické hrozby.
Je nezbytné, aby subjekty v tomto odvětví nejen dodržovaly nové regulační požadavky, ale také aktivně pracovaly na budování odolných digitálních ekosystémů a spolupracovaly na sdílení informací, což přispěje k celkové bezpečnosti a důvěře v digitální finanční prostředí.
_________________________________________________________
1.Digitální strategie EU. Dostupné z: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/shapingeuropes-digital-future_cs.
2.Akční plán pro digitální finance. Dostupné z: https://www.consilium.europa.eu/cs/policies/digital-finance/#strategy.
3.Nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32022R2554.
4.Čl. 16 nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. Dostupné z: https://eur-lex.europa.eu/legal-content/EN-CS/TXT/?from=EN&uri=CELEX%3A32022R2554.
5.Čl. 31 nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. Dostupné z: https://eur-lex.europa.eu/legal-content/EN-CS/TXT/?from=EN&uri=CELEX%3A32022R2554.
6.„Agnostický“ v kontextu ICT a DORA označuje technologie, postupy a procesy, které jsou zobecněny tak, že dochází k maximální interoperabilitě.
7.Návrh zákona o digitálních financích dostupný z:https://odok.cz/portal/veklep/material/KORNCWHFWZ3M/.
