Nařízení o digitální provozní odolnosti (DORA) v kostce

Návrh nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014 (dále jen DORA) je součástí souboru opatření, který Komise připravuje v rámci strategie v oblasti digitálních financí pro finanční sektor EU.

Součástí iniciativy jsou dále návrh nařízení o trzích s kryptoaktivy, návrh nařízení o pilotním režimu pro tržní infrastruktury vedené na technologii sdíleného registru a návrh směrnice s cílem vyjasnit či změnit některá související pravidla EU pro oblast finančních služeb.

Legislativní balíček má za cíl umožnit a podpořit rozvoj potenciálu digitálních financí, pokud jde o inovace a konkurenceschopnost, a současně zmírnit s nimi související rizika.

Návrh nařízení DORA konsoliduje a aktualizuje pravidla v oblasti informačních a telekomunikačních technologií (IKT). V rámci jediného legislativního aktu shrnuje ustanovení zabývající se digitálními riziky v odvětví financí. Cílem nařízení je zaplnit mezery a narovnat nesrovnalosti v dosud roztříštěné úpravě a výslovně řešit rizika v oblasti IKT. Nová, cílená pravidla se budou vztahovat na řízení rizik, hlášení a testování, ale také monitoring rizik spojených s třetími stranami. Součástí nařízení je jednotný soubor pravidel a systém dohledu a rozšíření mandátů orgánů finančního dohledu pověřených sledováním a ochranou finanční stability a integrity trhu.

Osobní působnost

Za účelem zajištění konzistence v souvislosti s požadavky na řízení rizik by se osobní působnost nařízení měla vztahovat na širokou množinu finančních subjektů regulovaných na úrovni EU (např. na úvěrové instituce, platební instituce, instituce elektronických peněz, investiční podniky, pojišťovny a zajišťovny, zprostředkovatele pojištění, statutární auditory a další). Nově návrh nařízení rozšiřuje také perimetr regulovaných osob na poskytovatele služeb IKT z řad třetích stran.

4 okruhy požadavků nařízení DORA

Návrh nařízení DORA představuje harmonizační předpis, jehož ustanovení budou po přijetí dále konkretizována 14 regulačními technickými normami. DORA přináší požadavky na bezpečnost sítí a informačních systémů využívaných finančními subjekty při provozování jejich činnosti a definuje rámec dohledu pro kritické poskytovatele služeb IKT z řad třetích stran při poskytování služeb finančním subjektům.

1. Požadavky na řízení rizik v oblasti IKT. Zahrnují soubor klíčových zásad a požadavků na rámec řízení rizik v oblasti IKT, s důrazem na jeho specifické funkce řízení rizik (identifikace, ochrana a prevence, detekce, reakce a obnova provozu, vzdělávání a rozvoj a komunikace). Převážná část těchto požadavků bude konkretizována formou regulačních technických norem.
2. Požadavky na hlášení incidentů souvisejících s IKT. Ty představují zejména harmonizující pravidla procesu pro zajištění, řízení a hlášení incidentů a procesu pro zajištění konzistentního a integrovaného řešení zjištěných incidentů. Současně jsou upraveny obecné požadavky na hlášení významných incidentů dohledového orgánu. Finanční subjekty budou mít povinnost předkládat prvotní, průběžné a závěrečné zprávy a informovat své uživatele a klienty v případech, kdy incident má nebo může mít dopad na jejich finanční zájmy.
3. Testování digitální provozní odolnosti. Finanční subjekty budou mít povinnost udržovat ucelený program testování digitální odolnosti jako nedílnou součást rámce pro řízení v oblasti IKT. Zatímco testování IKT nástrojů a systémů budou mít povinnost provádět všechny subjekty, pokročilé testování prostřednictvím penetračních testů by se mělo týkat pouze subjektů klasifikovaných jako významné.
4. Rizika v oblasti IKT spojená s třetími stranami. Tento okruh pravidel definuje obecné zásady pro správné řízení rizik a poskytuje výčet hlavních smluvních ustanovení, které budou mít povinnost finanční subjekty zohlednit v outsourcingových a vendor smlouvách po nabytí platnosti nařízení (např. úplný výpis služeb, příslušná ustanovení o přístupnosti, dostupnosti, integritě, právo na přístup, kontrolu a audit finančním nebo určeným třetím subjektem).

Časový rámec implementace

Zatímco legislativní trialog týkající se návrhu nařízení již začal, lze očekávat, že po ukončení legislativní procedury a přijetí návrhu bude následovat poměrně dlouhá lhůta, která umožní finanční subjektům přizpůsobit vnitřní procesy. Původní návrh Evropské komise obsahoval roční lhůtu pro obecná pravidla a tříletou lhůtu pro požadavky týkající se penetračního testování. Evropský parlament a Rada však upřednostňují obecnou dvouletou periodu.

Nicméně primární část požadavků bude konkretizována až technickým standardy (zejména v oblasti řízení rizik IKT), jejichž vypracování a platnost je při současném znění návrhu dále odložena o jeden až dva roky po účinnosti nařízení.

DORA Readiness

I přes poměrné pohodlný časový rámec pro zavedení potřebných změn by finanční subjekty měly diskuzi týkající se návrhu nařízení bedlivě sledovat. Připomínky stakeholderů mohou postupně odhalovat potenciální budoucí znění zejména regulačních technických norem, které ovlivní aktuální stav procesů řízení rizik v oblasti IKT.

V důsledku široké osobní působnosti, a i přes uplatněný princip proporcionality, nemusí být implementační časová period dostatečná, a to zejména u subjektů, které nemají dosavadní zkušenosti s uvedenými oblastmi řízení rizik IKT nebo maturita jejich procesů nedosahuje relevantní úrovně.