By Luděk Kortus
Evropské nařízení o digitální provozní odolnosti, známé jako DORA je stěžejním iniciativou v sektoru digitální a kybernetické odolnosti finančních služeb. Norma zavádí komplexní rámec pro řízení IT rizik a oficiálně vstoupí v platnost v lednu 2025.
Nařízení se týká primárně platebních institucí jako jsou banky, pojišťovny a investiční podniky. Zajišťuje jejich odolnost vůči současným kybernetickým hrozbám, technickým poruchám a dalším rizikům, které v digitálním prostředí neustále narůstají.
Jedním z hlavních požadavků DORA je zavedení strategií pro řízení ICT rizik a posílení ochrany před kybernetickými incidenty. Platební instituce budou muset splňovat vysoké standardy, které zaručí, že systémy budou schopné odolávat útokům a v případě potřeby zajistí rychlou obnovu operací.
Kromě ochrany interních systémů se DORA zaměřuje i na řízení rizik spojených s třetími stranami, protože finanční instituce často využívají externí partnery pro provoz svých ICT služeb. Tímto způsobem nařízení zavádí také přísné požadavky na výběr, monitoring a samotné testování dodavatelů a subdodavatelů.
Implementace DORA sebou přinese také nové provozní náklady. Ty budou spojeny s povinným testováním digitální odolnosti a zavedením mechanismů na hlášení incidentů. Na druhou stranu však tyto kroky mohou v dlouhodobém horizontu zvýšit důvěryhodnost finančního sektoru a posílit klientskou důvěru. Pro instituce, které se rozhodnou implementovat DORA včas, může tato regulace přinést i konkurenční výhodu, pokud bude správně komunikovaná.
Nařízení DORA se zásadně odlišuje od předešlých směrnic známých ve veřejném prostoru. Za všechny jmenujme například směrnici NIS2 nebo regulaci PSD3. Přestože všechna tato nařízení usilují o zvýšení bezpečnosti v evropském finančním a technologickém prostředí, mají výrazně odlišná zaměření. Směrnice NIS2 míří na široké spektrum sektorů, nejen platební instituce, a na bezpečnost kritické infrastruktury, kam spadají například energetika či zdravotnictví. Jejím cílem je zavedení obecných kybernetických standardů v celé EU. Oproti tomu DORA se úzce zaměřuje na finanční instituce a přináší detailní požadavky, které zahrnují řízení rizik třetích stran a přísné postupy při hlášení incidentů. DORA tak vyžaduje od finančních institucí specifické postupy a přísnější opatření, než jaké stanovuje NIS2 pro širší sektor kritické infrastruktury. PSD3 zase primárně podporuje inovace a transparentnost v platebních službách, zvyšuje ochranu spotřebitelů a zavádí nová opatření pro otevřené bankovnictví a přístup k platebním účtům. Cílem tedy není digitální odolnost nebo kybernetická bezpečnost finančních institucí, ale podpora konkurenceschopnosti a inovace.
Můžeme říct, že nařízení DORA klade důraz na zajištění kybernetické bezpečnosti v evropském finančním sektoru prostřednictvím důkladného řízení ICT rizik a kontroly dodavatelských vztahů. To zahrnuje například zavedení přísných požadavků na správu rizik spojených s externími dodavateli a pravidelné testování odolnosti ICT systémů (většina institucí bude muset začít provádět takzvané „threat-led penetration tests“ alespoň jednou za tři roky), což by mělo pomoci předejít kybernetickým útokům a narušením. Tento přístup může přispět ke zvýšení důvěry ve finanční instituce a dlouhodobě posílit bezpečnostní standardy v sektoru.
Na druhou stranu, implementace DORA může být pro mnoho institucí, zejména těch menších, náročná a nákladná. Kritici poukazují na finanční a provozní zátěž spojenou s přísnými požadavky na testování a hlášení incidentů, což může představovat překážku pro firmy s omezenými zdroji. Přesto podle většiny odborníků je DORA krok správným směrem, který bude hrát významnou roli v posilování digitální odolnosti evropského finančního sektoru.
Autor komentáře: Matěj Novák, CEO Easy Change