Výzvy implementace DORA
Od 17. ledna 2025 nabývá účinnosti nařízení (EU) 2022/2554 o digitální provozní odolnosti (DORA) a do tohoto data mají instituce zohlednit nová pravidla ve svých postupech. Nařízení DORA bylo publikováno v Úředním věstníku Evropské unie dne 27. prosince 2022 a vstoupilo v platnost dne 16. ledna 2023. Na platný text nařízení DORA dále navazují s další podrobnější úpravou pravidel návrhy evropské prováděcí legislativy, které byly zveřejněny v rámci veřejné konzultace evropských orgánů dohledu a jejich vypracování bylo rozděleno do dvou časově oddělených balíčků.
DORA představuje zásadní harmonizační iniciativu, která významným způsobem ovlivní standardy v oblasti kybernetické bezpečnosti institucí ve finančním sektoru Evropské unie (EU) i výkon dohledu v této oblasti na straně národních i evropských dohledových autorit. Současně zavádí přímý dohled nad kritickými poskytovateli IT služeb.
Hlavním cílem DORA je zvýšení digitální odolnosti finančního trhu EU prostřednictvím harmonizace požadavků kladených na instituce i dohledové autority. Kromě nastavení postupů pro zmírňování dopadů kybernetických incidentů a událostí je cílem nařízení také jejich prevence. Primárním tématem DORA je tedy operační a digitální odolnost institucí finančního trhu EU včetně jejího testování. DORA reflektuje současný význam informačních technologií ve finančním sektoru, kdy se neomezuje pouze na procesní rámec řízení kybernetických rizik, ale zavádí také systematický přístup k testování digitální odolnosti, reaguje na rostoucí koncentraci IT služeb včetně zvyšující se závislosti na službách poskytovaných třetími stranami a významně reflektuje potřebu spolupráce a výměny informací na národní i evropské úrovni.
Tento příspěvek je věnován hlavním výzvám, které provází a budou provázet implementaci nařízení DORA v regulovaných institucích, upozornění na některé změny v požadavcích kladených na instituce i v nástrojích používaných orgány dohledu. Přednáška se v této souvislosti dotýká nesporných přínosů, ale i potenciálních úskalí nové regulace. Podstatným předpokladem ke zvládnutí výzev spojených s implementací DORA je připravenost ke změně přístupu k zajištění kybernetické bezpečnosti napříč organizací, vedením společností počínaje. Součástí příspěvku je i zasazení DORA do kontextu dalších souvisejících evropských legislativních iniciativ zejména ve vztahu ke směrnici Network and Information Security 2 (NIS2).
Přístup navržený v DORA může být velmi dobrou inspirací nejen pro subjekty v působnosti nařízení, ale i pro odborníky na zlepšování procesů v ICT mimo finanční sektor.
Martin Fleischmann
V dohledových sekcích České národní banky pracuje od roku 1998. Významně se podílel na koncipování, implementaci a rozvoji dohledu v oblasti IS/ICT, operačních rizik a rizik spojených s outsourcingem. Od roku 2017 je ředitelem Odboru kontroly finančního trhu III v Sekci dohledu nad finančním trhem a zodpovídá za provádění dohledu v oblasti řízení operačního rizika, řízení rizik IS/ICT a v oblasti prevence legalizace výnosů z trestné činnosti a financování terorismu. Je členem stálého výboru AMLSC (AML Standing Committee) a SGIT (Subgroup on ICT risk supervision) při Evropském orgánu pro bankovnictví (EBA). Martin je absolventem VŠE v Praze. V roce 2010 dokončil doktorské studium na fakultě Informatiky a statistiky téže školy v oboru aplikovaná infromatika.