Kdo nebo co je DORA? Snaha EU o zvýšení úrovně kyberbezpečnosti finančního sektoru

Kybernetický útok v dnešní době už není doménou akčních nebo sci-fi filmů. I české podniky a instituce se na vlastní kůži přesvědčily, jaké to je, když udeří např. ransomware nebo DDoS. Evropská komise se i proto rozhodla, že je třeba nastavit jednotná pravidla pro digitální odolnost a připravenost na obdobné útoky, a pomocí nařízení DORA se snaží prosadit lepší a důslednější řízení digitálních rizik na finančních trzích. Pro samotné podniky je to na jedné straně lepší ochrana, ale na té druhé potenciálně i velká investice pro organizace, které doposud kyberbezpečnost příliš neřešily.

Nařízení o digitální provozní odolnosti finančního sektoru        Digital Operational Resilience Act       DORA

Nové nařízení o digitální provozní odolnosti finančního sektoru (dále DORA, zkratka z angl. Digital Operational Resilience Act) je součástí evropského balíčku tzv. Digitálních financí a má reagovat na aktuální technologický vývoj ve finančním sektoru, definovat jednotná kritéria pro finanční sektor a zajistit srovnatelnou úroveň kybernetické bezpečnosti a digitální provozní odolnosti.

Platnost tohoto nařízení se počítá od ledna tohoto roku a k 17. lednu roku 2025 již očekává plný soulad od regulovaných subjektů (viz Obr. 1). V průběhu roku 2024 budou také vydány upřesňující regulační technické normy (RTS, zkratka z angl. Regulatory Technical Standards), které budou podrobně popisovat vybrané oblasti požadavků DORA, a prováděcí technické normy (ITS, zkratka z angl. Implementing Technical Standards), jež budou fungovat jako návod pro implementaci vybrané oblasti požadavků. Nařízení je závazné pro všechny členské státy EU, a to v celém rozsahu, není tudíž nutná jeho transpozice do českého právního řádu.

Rozsah regulovaných entit, na které dopadají požadavky nařízení, je nastaven široce na celý finanční sektor včetně bankovních entit, pojišťoven, investičních společností, společností zajišťujících platební styk, poskytovatelů služeb v oblasti kryptoměn, ICT dodavatelů finančního sektoru a dalších. Odhaduje se, že DORA dopadne na více než 22 000 finančních subjektů a dodavatelů ICT. [3]

Z pohledu požadavků DORA pokrývá následujících pět oblastí, které budou podrobněji popsány dále:

• Řízení rizika v oblasti ICT.
• Řízení, klasifikace a hlášení incidentů souvisejících s ICT.
• Testování digitální provozní odolnosti.
• Řízení rizika v oblasti ICT spojeného s třetími stranami.
• Sdílení informací. 

Vztah k dalším právním předpisům a oborovým standardům

Pro zdárnou implementaci všech požadavků a dosažení souladu s nařízením DORA budou organizace muset vynaložit značné úsilí, a to jak z hlediska času a lidských zdrojů, tak samozřejmě i financí. Pozitivní zprávou ale je, že v mnoha případech nemusejí implementace začínat od nuly. Digitální provozní odolnost a s ní i kybernetická bezpečnost již jsou v českém prostředí etablovány a také regulovány. A právě finanční sektor, na nějž se DORA vztahuje, patří mezi ty nejregulovanější.

Na evropské úrovni se o to zasazují např. Evropský orgán pro bankovnictví (EBA) nebo Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA), jež regulují banky a pojišťovny. Dále je třeba zmínit Bezpečnostní směrnici NIS (Network Information Security), která byla v České republice transponována do zákona č. 181/2014 Sb., o kybernetické bezpečnosti, navazující vyhlášku č. 82/2018 Sb., o kybernetické bezpečnosti, a v neposlední řadě Bezpečnostní směrnici NIS2, která byla vydaná koncem roku 2022 a u které se předpokládá, že účinnost její transpozice v rámci české legislativy se očekává v roce 2025.

Nad rámec zákonných a regulatorních požadavků na kybernetickou bezpečnost jsou také využívány standardy, které jsou všeobecně pokládány za dobrou praxi v oboru. Jedná se např. o standardy z rodiny ISO/IEC 27000 (častěji v evropských státech) či NIST Cybersecurity Framework (častěji ve Spojených státech).

Jedním z cílů článku je poskytnout čtenářům přehled o tom, do jaké míry se požadavky nařízení DORA překrývají s požadavky již existujících regulací či standardů, a zároveň přiblížit, kde budou moci jejich organizace při implementaci požadavků DORA využít synergie plynoucí ze skutečnosti, že jsou v souladu s některými ze zmíněných standardů a regulací.

Pro podrobnější srovnání a analýzu vybrali autoři tohoto článku standard ISO 27001 (dále jako ISO), a to z následujících tří důvodů:

1. Standard není zaměřený na specifický typ organizací nebo konkrétní odvětví, ale obecně na jakoukoli organizaci i všechny subjekty spadající pod DORA.
2. V České republice je to velmi hojně využívaný standard pro řízení informační bezpečnosti.
3. Bezpečnostní směrnice NIS a NIS2 včetně českého zákona o kybernetické bezpečnosti z tohoto standardu vycházejí nebo se jím alespoň velmi významně inspirovaly.

Následující kapitoly budou popisovat jak požadavky DORA na danou oblast, tak zároveň i porovnání se standardem ISO 27001 v dané oblasti.

Řízení rizika v oblasti ICT

DORA v této části definuje požadavky pro tzv. rámec pro řízení rizik (viz cyklus na Obr. 2).

Řídit rizika spojená s ICT je stěžejním principem DORA. Analogicky hlavním principem standardu ISO 27001 je řídit rizika informační bezpečnosti. Zavedený systém řízení bezpečnosti informací (ISMS) je pro organizaci velmi dobrým výchozím bodem k souladu s nařízením DORA.

Podobně jako ISO vyžaduje i DORA zavedení řady opatření s cílem snižovat, eliminovat či řídit ICT rizika. V řadě požadavků je ale DORA velmi konkrétní a definuje je do větší úrovně detailu, zatímco ISO nechává organizacím poměrně volnou ruku ve způsobu implementace za předpokladu, že dodrží hlavní principy a smysl opatření.

Výrazná a aktivní role vedoucího (vrcholového) orgánu organizace nebo formální zavedení strategie digitální provozní odolnosti jsou pak příklady požadavků DORA, které nejsou standardem ISO 27001 přímo adresovány. DORA podobně jako NIS2 zdůrazňuje důležitost zapojení nejvyššího vedení v celém procesu.

Zároveň je nutné upozornit, že DORA si klade za cíl řídit všechna rizika spojená s ICT, avšak ISO pouze rizika v oblasti informační bezpečnosti, což nejsou nutně totožné množiny. V případě této kapitoly DORA by organizace měly být zvláště obezřetné při posuzování svého souladu s nařízením. Autoři proto hodnotí celkovou implementační náročnost pro organizace s vyspělým ISMS jako střední až vysokou.

Řízení, klasifikace a hlášení incidentů souvisejících s ICKT

Požadavky nařízení v oblasti řízení incidentů dávají organizacím za úkol zavést proces pro identifikaci, sledování, zaznamenávání a klasifikaci incidentů souvisejících s ICT. Součástí tohoto procesu má být také povinnost reportovat incidenty při jejich vzniku, v průběhu a po jejich vyřešení příslušným dozorovým orgánům, vrcholovému vedení organizace a v některých případech i zákazníkům.

Požadavky DORA z oblasti řízení incidentů ICT mají největší potenciál využít synergie se stávajícím systémem ISMS v organizaci. Jak samotný proces pro zvládání incidentů, tak i následné reportovací povinnosti jsou běžnou součástí ISMS a celkovou implementační náročnost pro organizace s vyspělým ISMS autoři hodnotí jako nízkou až střední.

Testování digitální provozní odolnosti

Cílem této části nařízení je, aby organizace byly co nejlépe připraveny na významné incidenty spojené s ICT, jakými mohou být např. kybernetické útoky typu ransomware apod. Aby toho organizace dosáhly, musejí zavést komplexní program pro testování digitální provozní odolnosti, a to jak jednotlivých (kritických) systémů, tak organizace jako celku.

Program může zahrnovat různé formy testování, jako jsou skenování či jiné hodnocení zranitelností, posuzování bezpečnosti IT prostředí, revize zdrojového kódu, zátěžové testování, end-to-end testování nebo penetrační testování (včetně penetračního testování na základě hrozeb). Smyslem testů je pak odhalit mezery v odolnosti organizace a následně je odstranit.

Přestože volba konkrétních testů a frekvence jejich vykonávání má být založena na riziku (analýze rizik), DORA preskriptivně požaduje vykonávání některých z nich. DORA také stanovuje požadavky na osoby provádějící některé z testů a jejich kvalifikaci.

Zavedený systém ISMS může organizacím usnadnit soulad s požadavky DORA zejména při nastavování procesů pro zpracování výsledků testů. Tím, že je systém ISMS založený na PDCA cyklu (Plan-Do-Check-Act), vyžaduje po organizacích zpětnovazební smyčku, která má za úkol výsledky zpracovat, a celý systém tak průběžně zlepšovat. Co se týká jednotlivých typů testů, není ISO natolik preskriptivní, aby bylo možné tvrdit, že všechny organizace budou nějaký z typů testů mít již zavedený. Ze zkušeností autorů má ale řada organizací zavedeny procesy např. pro skenování zranitelností, funkční a bezpečnostní testování SW nebo audity IT prostředí, které budou moci do programu pro testování digitální provozní odolnosti zařadit. Přesto však celkovou implementační náročnost pro organizace s vyspělým ISMS autoři hodnotí jako vysokou.

Řízení rizika v oblasti ICT spojeného s třetími stranami

DORA reaguje na jeden z trendů v kybernetické bezpečnosti, kterým jsou útoky přes dodavatelský řetězec. Pro útočníka může být řádově snazší napadnout nechráněného dodavatele, a získat tak přístup do organizace, než zaútočit na organizaci napřímo.

Důvodem regulace jsou jak stále častější úspěšné útoky skrze dodavatelský řetězec z poslední doby (jako tomu bylo v případech Solarwinds, Okta, LastPass a mnoho dalších), tak i zvyšující se závislosti v řetězci. V analogii z fyzického světa jsou vidět závislosti v dodavatelském řetězci u dostupnosti a cen energií a pohonných hmot v kontextu války na Ukrajině. Z pohledu kybernetické bezpečnosti mohou tyto vazby na třetí strany být daleko nenápadnější a v určitých ohledech fatálnější (např. nedávné zranitelnosti Log4j nebo OpenSSL). Pro nejkritičtější dodavatele (z pohledu finančních subjektů) DORA zavádí tzv. Unijní rámec dohledu, který evropským dozorovým orgánům umožní jejich detailní kontrolu.

DORA v této části definuje požadavky pro zavedení procesu řízení bezpečnosti dodavatelského řetězce včetně požadavků smluvního ujednání s dodavatelem. Zvláštní péče bude věnována kritickým ICT dodavatelům, kteří budou ze strany regulátora specificky registrováni a monitorováni.

Oblast řízení rizik spojených s dodavateli ICT je v rámci požadavků ISO zohledněna, byť je to především z pohledu kybernetické bezpečnosti, zatímco DORA se neomezuje jen na bezpečnost. Organizace budou ze svého ISMS moci využít zejména aktivity spojené s hodnocením dodavatelů z pohledu bezpečnosti, klauzule a ujednání o bezpečnosti v rámci smluv s dodavateli, registr dodavatelů nebo identifikovaná bezpečnostní rizika spojená s dodavateli.

Zároveň je ale tato kapitola nařízení další z těch, kdy je DORA ve svých požadavcích velmi konkrétní, což může pro organizace přinést nutnost současné procesy značně rozšířit. Mezi takové patří požadavky na hodnocení, klasifikaci a práci s riziky spojenými s dodavateli, zavedení strategie pro rizika spojená s dodavateli ICT (včetně tzv. multi-vendor strategie) nebo požadavky na obsah smlouvy s dodavateli nad rámec bezpečnosti (včetně např. exit strategií). I díky tomu hodnotí autoři celkovou implementační náročnost pro organizace s vyspělým ISMS jako střední až vysokou.

Sdílení informací

Prostřednictvím této kapitoly se DORA snaží finanční subjekty motivovat ke spolupráci a sdílení informací o kybernetických útocích a hrozbách mezi sebou. Sdílení informací s dalšími organizacemi není přímou součástí ISO 27001, avšak obdobně jako v kapitole zabývající se řízením incidentů mohou i zde organizace využít nastavených procesů PDCA cyklu pro neustálé zlepšování a informace, které prostřednictvím sdílení obdrží, mohou zpracovat a využít pro svůj další rozvoj digitální provozní odolnosti.

Vzhledem k tomu, že požadavky této kapitoly nařízení jsou pro organizace nepovinné, hodnotí autoři celkovou implementační náročnost pro organizace s vyspělým ISMS jako nízkou.

DORA vs. ISO 27001 v kostce

Srovnání věcné stránky obou předpisů již na první pohled naznačuje, že ISO 27001 má předpoklady při plnění požadavků DORA pomoci. DORA reguluje zejména oblasti řízení rizik a incidentů spojených s ICT, testování digitální provozní odolnosti a řízení rizik plynoucích z užívání služeb třetích stran. ISO 27001 jako takové je založeno na řízení rizika, zabývá se řízením bezpečnostních incidentů, aspekty kontinuity ICT i bezpečností v rámci dodavatelského řetězce. Za zmínku stojí, že v úvodním návrhu DORA byl i přímo požadavek implementovat v organizaci systém řízení informační bezpečnosti dle uznávaného standardu.

Značný rozdíl mezi nařízením DORA a standardem ISO 27001 však je ve způsobu, jakým definují své požadavky. DORA stanovuje konkrétní a detailní požadavky na jednotlivé regulované oblasti, zatímco ISO definuje rámec pro systém řízení bezpečnosti informací. Jednotlivá opatření pak popisuje spíše koncepčně, z pohledu jejich cílů, a způsob jejich implementace nechává v rukou každé organizace.

Pro využití již implementovaného ISMS jako základu pro soulad s požadavky DORA z výše zmíněného plynou tři důležité poznatky.

Zaprvé bude mít úroveň vyspělosti (angl. Maturity Level) jednotlivých implementovaných opatření ISO obrovský vliv na míru splnění požadavků DORA. To je důsledkem skutečnosti, že ISO definuje své požadavky spíše v rovině principů a cílů, ale DORA požadavky jsou velmi specifické. Ty tak mohou snadno jít i daleko za hranici toho, co je nezbytné pro dosažení souladu s ISO 27001 (včetně získání certifikace).

Vezměme si jako příklad oblast penetračních testů. ISO je uvádí jako jednu z možností pro zjišťování zranitelností systémů, případně celého IT prostředí. Je pak na každé organizaci, jak často, v jakém rozsahu a jestli vůbec bude testy provádět. DORA nařizuje provádět penetrační testování na základě hrozeb (angl. Threat Led Penetration Testing nebo TLPT), a to minimálně jednou za tři roky. DORA dále upravuje např. podmínky pro rozsah penetračních testů, zapojení dodavatelů ICT nebo požadavky na samotné testery. Jsou organizace, které TLPT vykonávají bez ohledu na požadavky DORA, ale pro soulad s ISO 27001 vyžadovány nejsou. Jinými slovy čím vyspělejší a robustnější je dané opatření dle ISO, tím větší je pravděpodobnost, že jeho realizace požadavky DORA naplní.

Zadruhé se ISO soustředí na řízení rizik informační bezpečnosti, avšak DORA má za cíl postihnout širší rozsah, a to veškerá rizika spojená s ICT. Je tedy nutné uvažovat i o takových provozních rizicích, která nesouvisejí s bezpečností, a tudíž nemusejí být předmětem ISMS.

Zatřetí ISO 27001 umožňuje na základě analýzy rizik některá bezpečnostní opatření neimplementovat. V případě DORA se však jedná o direktivní regulatorní požadavek dané opatření zavést.

Závěr aneb první kroky implementace požadavků nařízení Množství požadavků DORA a jejich komplexita může být pro řadu organizací paralyzující. Ke zmírnění bolesti v úvodních fázích implementace uvádíme v závěru naše doporučené úvodní kroky implementace nařízení:

• První krokem, který by měla organizace podnikající ve finančním sektoru udělat, je provést právní analýzu dopadu nařízení DORA do provozu organizace, a tím identifikovat rozsah požadavků, které jsou pro ni závazné. DORA pracuje se zásadou proporcionality, jež některým svým subjektům umožňuje aplikovat zjednodušený rámec pro řízení rizika ICT, což v praxi znamená, že se na organizaci vztahují mírnější požadavky.
• Druhým krokem je provedení rozdílové analýzy současného stavu vůči požadavkům DORA a identifikace nedostatků. Zde bychom dále upozornili, že toto se netýká pouze nařízení samotného, ale také podpůrných technických standardů (RTS, ITS), které bude postupně regulátor zveřejňovat.
• Ve třetím kroku doporučujeme definovat plán remediace identifikovaných nedostatků včetně jasné identifikace vlastníků, potřebných finančních, lidských a dalších zdrojů a závazných termínů jednotlivých aktivit, nutných pro dosažení souladu s požadavky DORA.
• Čtvrtým krokem jest realizace těchto plánů.

Změna v oblasti kybernetické bezpečnosti a digitální odolnosti, kterou dosažení souladu s požadavky DORA představuje, je zejména pro dosud méně regulované organizace (např. ty, které dosud spadaly pod regulaci orgánů ESMA či EIOPA) potenciálně tak významná, že se nabízí možnost spojit ji s redefinicí celé IT/bezpečnostní strategie. Následný transformační program by pak zajistil nejen soulad s nařízením, ale také reflektoval specifické potřeby organizace v oblasti kybernetické bezpečnosti a digitální provozní odolnosti. 

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Použité zdroje:

1. NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011. In: EU: Úřední věstník Evropské unie, 2022, (EU) 2022/2554. Dostupné také z: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32022R2554&qid=1678967667309&from=CS 
2. ISO/IEC 27001:2022, https://www.iso.org/standard/27001 
3. Nařízení DORA [online]. Praha: PwC, 2023 [cit. 2023-05-04]. Dostupné z: https://www.pwc.com/cz/cs/temata/narizeni-dora.html