Požadavky na IT risk management v kontextu evropského nařízení o digitální provozní odolnosti finančního sektoru jsou mezi finančními subjekty hojně diskutovány. Nařízení – známé pod zkratkou DORA (Digital Operational Resilience Act) – upravuje zejména pravidla ICT bezpečnostních procesů, rozdělení rolí a technických opatření s cílem zvýšit provozní odolnost širokého okruhu poskytovatelů finančních služeb od bank přes pojišťovny až po ratingové agentury nebo depozitáře cenných papírů. Řízení ICT rizik je přitom jednou z oblastí, kterých se změny dotknou nejvíce.

Nařízení DORA v kostce

Nařízení DORA si klade za cíl zvýšit digitální odolnost finančního sektoru a ukládá subjektům povinnosti v oblasti obecné governance, řízení ICT rizik, business kontinuity, řízení ICT dodavatelů, vzdělávání managementu a zaměstnanců v oblasti kybernetické bezpečnosti, threat intelligence, hlášení ICT incidentů a dalších. Jedná s o evropské nařízení, které je poměrně detailní a jehož text přímo stanovuje jednotlivé povinnosti, které jsou právně závazné v celé EU.

DORA vstoupí v účinnost 17. ledna 2025. Text nařízení již vyšel v Úředním věstníku EU a je platný, ale obsahuje dvouleté přechodové období, aby regulované subjekty měly čas na přípravu. V průběhu přechodového období také budou zveřejněny některé technické standardy, jejichž vypracování DORA deleguje na vybrané evropské instituce.

Na text nařízení DORA lze nahlížet optikou jednotlivých požadavků, kterých je kolem dvou set. Než se zaměříme přímo na konkrétní nová pravidla v oblasti IT risk managementu, podívejme se nejdříve obecněji na jednotlivé funkční kategorie. Mezi ty nejdůležitější patří:

• Dokumenty a politiky. Některé (např. Politika informační bezpečnosti organizace) jsou povinné, jiné jsou uvedeny pouze jako možnost (např. Strategie více dodavatelů IKT).
• Povinné role. Nařízení například vyžaduje určit roli odpovědnou za řízení rizik spojených s ICT dodavateli.
• Povinné pracovní procesy. Tato kategorie je nejrozsáhlejší. Nařízení DORA například ukládá subjektům mapování business funkcí společnosti a souvisejících podpůrných ICT aktiv, školení managementu společnosti v kybernetické bezpečnosti a mnohé další procesy a aktivity.
• Povinná technická opatření. Nařízení obsahuje i několik technických požadavků vztahujících se např. k segmentaci sítě nebo síťovému dohledu. Pozornost by finanční subjekty měly věnovat mimo jiné požadavkům na zálohování – nařízení DORA jim ukládá, aby při obnově dat použily „systémy IKT, které jsou fyzicky a logicky odděleny od zdrojového systému IKT“, což v kombinaci s požadavkem na včasnou obnovu služeb vyžaduje přípravu „backup warm-site“ včetně souvisejících procesů obnovy a jejich praktického testování.

Přímo v oblasti zmiňovaného IT risk managementu se DORA drží dobré praxe a zavedených standardů informační bezpečnosti. Řeší přitom zejména následující témata:

• Mapování významných obchodní funkcí, informačních aktiv, podpůrných aktiv a jejich vzájemné závislosti. Nařízení tak odpovídá modelu managementu bezpečnosti informací známému ze standardu ISO řady 27000 i českého zákona o kybernetické bezpečnosti.
• Identifikace obchodních funkcí, která jsou pro organizaci kritická. Organizace musí být schopny identifikovat podpůrná technická aktiva, která vyžadují zvláštní ochranu – může jít o software, hardware ale i relevantní fyzické součásti a prostory. Cílovým stavem by měla být i schopnost simulovat dopady výpadků konkrétních podpůrných aktiv nebo lokalit na poskytované obchodní funkce. Nařízení DORA také vyžaduje identifikaci těch obchodních funkcí, které závisí na externích ICT dodavatelích.

Identifikace a řízení ICT rizik, přičemž nařízení DORA počítá s jejich vyjádřením v podobě rizikových scénářů a stanovuje aktualizaci seznamu minimálně jednou ročně nebo po velkých změnách v oblasti ICT. Řízení rizik musí být popsáno v tzv. rámci pro řízení rizik v oblasti IKT (ICT risk management framework), který musí zahrnovat strategii digitální provozní odolnosti, v níž se stanoví způsob jeho uplatňování.

Jak se mohou poskytovatelé finančních služeb na nařízení DORA připravit?

U vyspělých aktérů kybernetické bezpečnosti, jako jsou některé banky, může nařízení DORA pouze posílit jejich stávající bezpečnostní politiky a procesy. Pro aktéry nově zahrnuté pod regulaci kybernetické bezpečnosti, jako jsou například některé pojišťovny, však může jít o zásadní změnu, která bude muset být realizována v krátkém časovém období dvou let, a bude tedy vyžadovat dedikovaný projekt a nemalé lidské, finanční i časové zdroje.

DORA některým poskytovatelům finančních služeb přinese i nutnost zavádět nové nástroje např. v rámci ICT asset managementu nebo ICT risk managementu – tyto inovace by však neměly předcházet uváženému nastavení systému řízení rizik. Pro nejlepší zhodnocení případné investice doporučujeme zmapovat i další potřeby napříč organizací – vybrané nástroje pro IT risk management lze povýšit na plnohodnotná Governance, Risk & Compliance (GRC) řešení, která pokrývají jak oblasti vyžadované nařízením DORA (ICT risk, business continuity management, vendor management), tak interní audit a další funkce.

Týkají se požadavky nařízení DORA i vaší firmy? Obraťte se na naše odborníky, kteří vám potřebná řešení pomohou nalézt i implementovat, a to plně na míru vašim potřebám. Nová pravidla, procesy i technologie by měla být vždy zaváděna v rámci kontextu a skutečné, žité praxe dané organizace, a to takovým způsobem, aby nezůstala jen na papíře a přinesla očekávanou přidanou hodnotu.