Implementace nařízení DORA (č. 2022/2554 o digitální provozní odolnosti finančního sektoru) z dílny Evropského parlamentu a Rady EU začíná v letošním roce. Nařízení vstoupilo v platnost v lednu 2023 a jeho dvouleté prováděcí období skončí 17. ledna 2025. Během této doby vypracují evropské orgány dohledu širokou škálu sekundárních technických norem.

Nařízení DORA bude mít dopad prakticky na všechny regulované instituce v odvětví finančních služeb v EU. Mnoho z nich pro něj však dosud nevytvořilo dobře definovanou implementační strategii. A vzhledem k tomu, že do termínu splnění požadavků DORA zbývají méně než dva roky, čeká instituce v krátkém čase velký kus práce.

Britské instituce poskytující finanční služby mají se zaváděním vlastního rámce provozní odolnosti dvouletý náskok. Společnosti z EU, jichž se nařízení DORA týká, by měly tyto zkušenosti využít ve svůj prospěch a při nastavování implementační strategie se britským modelem inspirovat.

Nařízení DORA a britský rámec digitální provozní odolnosti

Britský rámec a evropský rámec pro digitální provozní odolnost se regulují stejnou oblast, v řadě aspektů se však odlišují. Některé z jejich nejvýznamnějších rozdílů jsou následující:

• Top-down vs. bottom-up. Nařízení DORA zaujímá normativní postoj, neboť je založeno na souboru právně závazných legislativních požadavků pro finanční subjekty. Naproti tomu regulátoři Spojeného království vytvořili dohledový rámec primárně založený na zásadách, který ponechává orgánům dohledu prostor k tomu, aby při posuzování širšího souboru výsledků odolnosti využily svůj úsudek.
• Zaměření na rizika. EU se zaměřuje především na definovaný soubor rizik vyplývajících z disrupce rizikového perimetru IKT. Rámec Spojeného království zaujímá v souvislosti s riziky agnostický přístup (přístup založený na výsledcích).
• Dodatečná ustanovení. DORA obsahuje v některých oblastech další požadavky, včetně ustanovení o dohledu nad kritickými třetími stranami, klasifikaci incidentů/hrozeb a jejich reporting. Tato témata budou ve Spojeném království v budoucnu diskutována, nicméně aktuálně nejsou součástí rámce provozní odolnosti.

Zmíněné rozdíly však nevylučují příležitost pro instituce EU ponaučit se z britské implementace. Řada jiných aspektů těchto dvou režimů je totiž stejná či podobná:

• Vnitřní visibilita. Oba rámce očekávají, že instituce zlepší mapování základních politik, procesů, lidí, technologií, dat a dodavatelů, kteří podporují jejich hlavní obchodní služby. Tento požadavek představuje klíčový předpoklad pro pochopení řetězového dopadu interního (provozního, finančního atd.) i externího narušení (zákazníci, trhy atd.).
• Regulační konzistentnost. Oba režimy jsou v souladu se zásadami operační odolnosti Basilejského výboru z roku 2021. V zásadách provozní odolnosti se mezinárodní regulace liší podstatně méně než v mnoha jiných oblastech regulační činnosti.
• Změna myšlení. V době rostoucí geopolitické a geoekonomické dislokace oba přístupy zavádějí „změnu myšlení“ – oba naznačují, že by instituce měly ohrožení v oblasti odolnosti ICT vnímat jako nevyhnutelné a pracovat na vybudování takové úrovně vyspělosti procesů, která jim umožní včas obnovit nejdůležitější služby v případě výpadku.

Pět britských lekcí pro firmy zvažující implementaci DORA

Přejděme nyní od obecného ke konkrétnímu. Shrnuli jsme pro vás pětici konkrétních přístupů, které se osvědčily u britských finančních institucí a kterými by se evropské společnosti při implementaci změn, které vyžaduje nařízení DORA, mohly inspirovat.

1. Určení správné úrovně granularity pro mapování operací

Podle nařízení DORA budou muset společnosti zemí EU vytvořit rámec pro řízení rizik, který bude obecně v souladu s některými klíčovými povinnostmi režimu Spojeného království. Přestože požadavky na mapování operací a identifikaci závislostí třetích stran hrají v rámci svých režimů různou roli, jsou klíčovou součástí přístupů obou jurisdikcí k provozní odolnosti.

Během prvního roku implementace britského režimu se ukázalo, že míra podrobnosti při mapování důležitých obchodních služeb (Important Business Services IBSs) – hrubého ekvivalentu kritických nebo důležitých funkcí (Critical or Importnant Functions CIFs) DORA – automaticky nezjednodušuje proces budování odolnosti. Současně mapování na mimořádně nízké úrovni granularity neodhalilo zranitelná místa, která je v konečném důsledku třeba napravit prostřednictvím operačního programu odolnosti.

Udržování průběžné spolupráce s vlastníky IBS bylo pro mnoho institucí obtížné, zejména když se snažily zvýšit granularitu svých mapovacích činností. Týmy provozní odolnosti proto musely identifikovat extrahovatelné a spolehlivé zdroje informací, které by bylo možné pravidelně aktualizovat.

Instituce, které mapovaly důležité obchodní služby, tak činily s vědomím, že se zaměří především na jejich odolnost (spíše než jen na řízení rizik). Strukturovaly proto toto mapování tak, aby získaly hlubší povědomí o fungování běžných operací, a to včetně zranitelných míst (např. hlavních bodů selhání) v navržení služeb. Instituce musely věnovat zvláštní pozornost mapování externě a vnitroskupinově poskytovaným službám a pochopení toho, jak jejich struktura ovlivňuje jejich odolnost.

Toto cvičení se stalo klíčem k pochopení, jak by se instituce mohla reorganizovat v případě narušení, a to za stanovení realistických tolerancí dopadu (koncept blízký úrovním tolerance rizika DORA). Mapování procesů se také stalo zásadním při informování o souvisejících investičních výdajích a návrhu cílového provozního modelu, který řeší zranitelná místa a pomáhá vytvářet dostatečnou odolnost tak, aby zůstala v rámci požadovaného rizikového apetitu.

2. Využití již existující struktury 

Povinnosti Spojeného království v oblasti provozní odolnosti často nutily instituce aktualizovat stávající procesy a kontroly (např. business continuity, operační riziko, disaster recovery, finanční odolnost atd.), aby se zvýšila celková odolnost. To vedlo k přechodu od „siloed“ dodržování předpisů ke komplexnímu přístupu. Příslušné týmy musely vzájemně spolupracovat, sladit své procesy a postupy a nastavit nové komunikační kanály.

Například bylo nutné, aby různé týmy – například change nebo incident response – přijaly stejnou terminologii provozní odolnosti. Klíčovou součástí tohoto procesu bylo vytvoření struktur, ve kterých nominovaní experti provozní odolnosti fungovali jako „point of reference“ pro zbytek instituce.

Podobně bude i DORA pravděpodobně vyžadovat vývoj nových procesních struktur, případně rozšíření nebo přeskupení těch stávajících. Instituce budou motivovány reorganizovat své funkce v oblasti řízení rizik IKT, řízení kybernetických rizik, kontinuity provozu a řízení rizik třetích stran (TPRM), aby podpořily rozvoj nové kapacity provozní odolnosti napříč institucí.

Mnoho institucí, které již investovaly do své kybernetické bezpečnosti nebo funkcí TPRM, může mít schopnosti nezbytné pro splnění některých požadavků DORA (např. na provádění pokročilých testů, vyjednávání smluv TP atd.). Měly by však pamatovat na to, že rozvíjející se očekávání orgánů dohledu ohledně provádění zmíněného nařízení na ně pravděpodobně vyvinou i další tlak, aby prokázaly, jak v praxi zvýšily svou provozní odolnost spíše, než aby pouze prokázaly, že splnily literu požadavků.

3. Začlenění provozní odolnosti do každodenních operací

Zkušenosti Spojeného království jasně ukázaly, že provozní odolnost nemá být jen „box-ticking“ cvičením. Ve stále složitějším technologickém, geopolitickém a ekonomickém prostředí je provozní odolnost oblastí, skrze kterou se regulátoři snaží přimět finanční instituce k začlenění preventivních a recovery postupů jako standardních kritických funkcí.

Pro subjekty, které se řídí pravidly DORA, to znamená, že odolnost by se měla stát hnacím faktorem již ve fázi návrhu struktury ICT a během implementace by měla přerůst v trvalý závazek. Zakotvení odolnosti by proto mělo ovlivnit diskuse o investicích, organizační restrukturalizaci i rozhodnutí týkající se fúzí a akvizic či navrhování nových provozních modelů. Jinými slovy, při zvažování jakéhokoli významného programu IKT nebo obchodních změn by měla být věnována dostatečná pozornost aspektu provozní odolnosti.

To bude vyžadovat, aby se instituce dobře seznámily s vlastním provozním modelem, vnitroskupinovými závislostmi, externě zajišťovanými službami a způsobem, jakým jsou nejdůležitější finanční služby zákazníkům a dalším externím zúčastněným stranám poskytovány. Na tomto základě by pak instituce měly vyhodnotit, jak zajistit trvalou odolnost způsobem přiměřeným jejich rizikovému apetitu.

4. Nastavení jasných zásad řízení a odpovědnost vrcholového managementu

Zavedení účinné provozní odolnosti bude vyžadovat strategická rozhodnutí ze strany vedení instituce v souvislosti s ICT rámcem. Nařízení DORA vyžaduje po vrcholovém managementu přijetí konečné odpovědnosti za zajištění digitální a provozní odolnosti.

Zapojení vrcholového vedení je zásadní pro to, aby bylo možné z jeho pozice přijímat plnohodnotná, efektivní a informovaná strategická rozhodnutí (např. stanovení rizikového apetitu). Členové představenstev a leadershipu budou muset využít své strategické perspektivy k adaptaci širšího pohledu a zároveň přezkoumat vhodnost mapování, scénářů, testování a celkové strategie provozní odolnosti.

Implementační týmy budou muset při řízení a podávání zpráv v oblasti ICT upravit používanou perspektivu a formu interpretace, aby zajistily, že obstojí při kontrole vrcholového vedení. Ve Spojeném království bylo toto rozlišování rolí zjednodušeno již existujícím systémem vrcholového vedení a certifikace (Senior Manager and Certification Regime), což vedlo k přidělení rolí a alokaci souvisejících odpovědností v oblasti digitální provozní odolnosti (SMF24 role).

V EU ponechalo nařízení DORA vnitrostátním regulatorním orgánům volnější pole působnosti ohledně uvalování sankcí na členy řídicího orgánu. Orgány dohledu se proto mohou rozhodnout, zda na konkrétní vrcholové pozice, jako jsou COO, CIO nebo CISO, uplatní podobnou úroveň kontroly dodržování nařízení DORA jako Spojené Království, či nikoliv. Členové představenstev by si tohoto měli být vědomi po celou dobu implementace.

5. Udržovaní průběžné komunikace s regulatorními orgány a peer-group

Komplexnímu přístupu k tématu provozní odolnosti se celé odvětví finančních služeb bude muset teprve naučit. Ve Spojeném království museli regulátoři a instituce také nejprve lépe porozumět tomu, jak lze provozní odolnosti v praxi efektivně dosáhnout.

Z tohoto důvodu by instituce v EU neměly očekávat, že regulatorní orgány budou mít zcela jasnou představu o tom, jak vypadají „správné“ postupy dle pravidel DORA. Společnosti by spíše měly jednat proaktivně a rozvinout dialog, aby dosáhly konsensu s orgány dohledu o tom, jak správně postupovat v průběhu životního cyklu implementace a začlenění požadavků DORA. Orgány EU již dokonce plánují konzultace se zástupci z finančního odvětví, aby poskytly informace pro jejich vývoj technických norem úrovně 2. Tento dialog zároveň poskytne institucím relevantní a praktickou zpětnou vazbu.

Peer-group inciativy mohou také hrát zásadní úlohu při navrhování možných přístupů k dodržování předpisů. To platí zejména pro relativně nové oblasti, jako je zavedení možnosti společného testování pro třetí strany, které podporují CIFs. Úzká spolupráce s peer-group prostřednictvím obchodních organizací a na jiných fórech bude důležitou součástí rozvoje celosektorového přístupu ke společným výzvám při procesu implementace.

Jaké by měly být další kroky finančních institucí?

Finanční instituce, na něž se nařízení DORA vztahuje, by skutečně měly reflektovat dosavadní zkušenosti svých protějšků ve Spojeném království. To jim umožní optimalizovat implementační strategie a usnadní všechny související kroky, aby stihly dostát nárokům nařízení do konce prováděcího období v lednu 2025. Využití zkušeností může rovněž hrát důležitou roli při podpoře souladu mezi postupy institucí v klíčových jurisdikcích, což by mělo nejen podpořit provozní efektivnost v odvětví finančních služeb, ale také jeho bezpečnost a odolnost v době krize.

V první řadě by měly instituce provést podrobnou analýzu nedostatků, jichž se nařízení DORA týká. S uveřejňováním nových technických norem bude pro úspěšné splnění termínu v lednu 2025 nutný iterativní a flexibilní přístup k implementačnímu projektu v této oblasti.

Pokud se nové povinnosti nařízení DORA týkají i vaší společnosti, obraťte se na naše odborníky z týmu Risk Advisory, kteří vám pomohou nalézt a implementovat řešení přesně na míru potřebám vaší společnosti.

Tento článek je založen na publikaci Deloitte EMEA Center for Regulatory Excellence.