Tento článek je věnován hlavním výzvám, které provázejí a budou provázet implementaci nařízení DORA v regulovaných institucích, upozornění na některé změny v požadavcích kladených na instituce i v nástrojích používaných orgány dohledu. Článek se v této souvislosti dotýká nesporných přínosů, ale i potenciálních úskalí nové regulace. Podstatným předpokladem ke zvládnutí výzev spojených s implementací DORA je připravenost ke změně přístupu k zajištění kybernetické bezpečnosti napříč organizací, vedením společností počínaje. Součástí příspěvku je i zasazení DORA do kontextu dalších souvisejících evropských legislativních iniciativ zejména ve vztahu ke směrnici Network and Information Security 2 (NIS2).
DORA kybernetická bezpečnost ICT rizika evropská regulace finanční instituce
Cíle, východiska a hlavní oblasti řešené nařízením DORA Informační a komunikační technologie (IKT) jsou dnes klíčové pro každodenní chod finančního sektoru a hladké fungování vnitřního trhu EU. Současná úroveň digitalizace, vzájemná propojenost finančních subjektů i klientů a využívání služeb specializovaných IKT dodavatelů představují nezbytný předpoklad pro zajištění kvalitního poskytování finančních produktů a služeb, ale současně přinášejí také nové hrozby a zvýšená kybernetická rizika. Útočníci stále hledají nové zranitelnosti a vymýšlejí nové způsoby jejich zneužití. V praxi mohou těžit např. ze zranitelností spojených s přímými distribučními kanály, platebním stykem, úvěrovým financováním, úvěrovým hodnocením, vypořádáním cenných papírů, algoritmickým obchodováním, sdíleným financováním, správou pohledávek, on-line pojištěním a řadou dalších, a to často v kombinaci s využitím technik sociálního inženýrství i výše zmíněné propojenosti jednotlivých entit.
Na vzájemné propojení finančních subjektů a rizika kybernetických incidentů upozorňuje také Evropská rada pro systémová rizika (ESRB). Při nepříznivé souhře okolností hrozí podle ESRB, že kybernetické narušení se rychle rozšíří na celý finanční systém EU, což může ohrozit jeho stabilitu. Potenciál nepříznivého systémového dopadu na finanční stabilitu může mít také nedostatečné řízení rizika koncentrace při využívání IKT dodavatelů.
Vzhledem k výše uvedenému a také s přihlédnutím k faktu, že vektory útoků se stále vyvíjejí a je třeba se připravit i na hybridní hrozby, nezbývá než zajistit a trvale udržovat potřebnou digitální provozní odolnost finančního sektoru EU a odpovídajícím způsobem harmonizovat příslušná pravidla napříč finančním trhem EU. Tomu však doposud bránily rozdílné legislativní přístupy mezi členskými státy v oblasti IKT, které poněkud ztěžují fungování vnitřního trhu a mohou vést k narušování hospodářské soutěže. Reformy provedené v reakci na finanční krizi z roku 2008 se totiž zaměřovaly zejména na zajištění konkurenceschopnosti, stabilitu trhu a obezřetnost. Aktuálně však stále chybí zavedený jednotný rámec pro řízení rizik v oblasti IKT a testování digitální odolnosti finančních subjektů na úrovni EU.
Cílem nařízení 2022/2554 o digitální provozní odolnosti finančního sektoru (DORA) je proto konsolidovat požadavky na IKT riziko jako součást požadavků na řízení operačního rizika, jež byly doposud upraveny roztříštěně v různých právních aktech EU. Tyto akty totiž upravují zejména finanční rizika a u operačního rizika se zaměřují spíše na kvantitativní aspekty (stanovení kapitálových požadavků) s tím, že dostatečně nerozpracovávají kvalitativní pravidla z hlediska celkové provozní odolnosti, řešení IKT incidentů nebo digitálního testování.
Z těchto důvodů cílí nařízení DORA na harmonizaci požadavků na riziko v oblasti IKT pro všechny finanční subjekty působící v rámci EU, zvýšení povědomí o kybernetickém riziku, zlepšení provozní odolnosti a posílení finanční stability. Nařízení také zjednodušuje právní rámec, posiluje dohled a zvyšuje právní jistotu. Konzistentní přístup k řízení rizika v oblasti.
IKT zajišťuje důvěru ve finanční systém a stabilizuje ho v době zvýšené závislosti na IKT. DORA také snižuje regulatorní náklady u finančních institucí působících přeshraničně a snižuje rizika narušení hospodářské soutěže.
DORA reflektuje význam finančního trhu EU a komplexnost IKT systémů používaných ve finančním sektoru nastavením přísnějších požadavků, než je tomu v současném právu EU (směrnice 2016/1148, NIS), a představuje vyšší úroveň harmonizace požadavků na digitální odolnost i ve srovnání s požadavky uvedenými ve směrnici 2022/2555 (NIS2). Proto představuje nařízení DORA „lex specialis“ vůči směrnici NIS2. Vzhledem k potřebě zajistit sdílení a výměnu zkušeností při řešení kybernetických hrozeb mezi finančním sektorem a ostatními odvětvími EU by měly finanční instituce uvedené v NIS2 zůstat součástí „ekosystému“ této směrnice, a to zejména z hlediska spolupráce při řešení bezpečnostních incidentů s týmy CSIRT. Komplementární souvztažnost mezi oběma regulatorními rámci se týká také poskytovatelů cloudových služeb upravených v NIS2 s tím, že celounijní dohled vytvořený nařízením DORA vztahující se na všechny kritické dodavatele IKT služeb včetně cloudových poskytovatelů z tohoto hlediska doplňuje dohled podle směrnice NIS2.
Nařízení DORA upravuje zejména následující oblasti:
- Řízení rizika v oblasti IKT (ICT risk management)
- Řízení, klasifikace a hlášení incidentů souvisejících s IKT (ICT-related incidents)
- Testování digitální provozní odolnosti (Digital operational resilience testing)
- Řízení rizika v oblasti IKT spojeného s třetími stranami (ICT third party risk management)
Řízení rizika v oblasti IKT Východiskem pro naplnění požadavků v této oblasti je zavedení interního řídicího a kontrolního rámce IKT. Za veškerá opatření související s tímto rámcem zodpovídá vedoucí orgán společnosti, který také nese konečnou zodpovědnost za řízení IKT rizik, zavádí postupy a strategie, schvaluje příslušné politiky, plány auditu a přiděluje a přezkoumává odpovídající rozpočtové prostředky na pokrytí všech potřeb v oblasti digitální provozní odolnosti včetně školení.
Základním pilířem této části nařízení DORA jsou požadavky na Rámec pro řízení rizika v oblasti IKT (Rámec), který je součástí celkového systému řízení rizik společnosti. Rámec obsahuje zejména strategie, politiky, postupy a nástroje k zajištění ochrany informačních aktiv a aktiv IKT a dále požaduje vytvoření nezávislé funkce zodpovědné za řízení a kontrolu IKT rizik a funkce zajištění nezávislého ujištění v oblasti IKT. Požadováno je zamezení střetu zájmů a náležité oddělení a nezávislost vedoucích funkcí, kontrolních funkcí a funkce interního auditu.
Součástí Rámce je strategie digitální provozní odolnosti s jasnou vazbou na obchodní strategii, stanovení cílů v oblasti bezpečnosti informací včetně stanovení příslušných KPIs a KRIs, stanovení tolerance dopadů narušení IKT, uvedení mechanismů detekce incidentů IKT a určení způsobu analýzy účinnosti aktuálních preventivních opatření v oblasti digitální provozní odolnosti.
Dalším požadovaným dokumentem je politika zabezpečení informací (Information Security Policy) vymezující pravidla na ochranu dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů, informačních aktiv a aktiv IKT.
Rámec dále vymezuje požadavky na identifikaci, klasifikaci a dokumentaci obchodních funkcí, souvisejících IKT včetně informačních aktiv a aktiv IKT a identifikaci a dokumentaci procesů závislých na poskytovatelích IKT služeb. Kromě povinnosti identifikovat všechny zdroje IKT rizik požaduje vyhodnocení kybernetických hrozeb a zranitelností, a to ve vztahu k příslušné obchodní funkci. Pro potřeby ochrany a prevence rizik IKT zavádí Rámec požadavky na sledování a kontrolu fungování a bezpečnosti systémů, jejichž účelem je zajistit odolnost, kontinuitu provozu a dostupnost IKT. Za účelem detekce neobvyklých aktivit mají finanční instituce zavedeny příslušné mechanismy.
Podstatnou součástí Rámce pro řízení rizika v oblasti IKT je Reakce a obnova požadující zavedení ucelené politiky zachování provozu IKT, která by měla být nedílnou součástí celkové politiky zachování provozu finančního subjektu. Kromě jiných povinností z ní vyplývá také požadavek na zavedení opatření v oblasti komunikace a krizového řízení včetně povinnosti zavést funkci řízení krizí, zavést krizové komunikační plány a oznamovat příslušným orgánům na jejich žádost odhad souhrnných ročních nákladů a ztrát způsobených závažnými IKT incidenty. Součástí rámce jsou rovněž požadavky na postupy v oblasti zálohování a obnovy systémů IKT.
Řízení, klasifikace a hlášení incidentů souvisejících s IKT
Tato část DORA upravuje požadavky na zavedení postupů za účelem detekce, řízení a hlášení incidentů souvisejících s IKT. Současně stanoví povinnost veškeré incidenty IKT a také všechny závažné kybernetické hrozby zaznamenávat. Finanční instituce mají také identifkovat, dokumentovat a řešit hlavní příčiny IKT incidentů s cílem zabránit jejich výskytu a omezit jejich negativní dopady. Preventivní působení požadavků v oblasti IKT incidentů je podpořeno zavedením ukazatelů včasného varování. Součástí požadavků je stanovení konkrétních úkolů a odpovědností ve vztahu k jednotlivým scénářům IKT incidentů a zavedení komunikačních plánů a interních i externích eskalačních procedur.
IKT incidenty a jejich dopady mají být klasifikovány podle kritérií zohledňujících počet nebo význam zasažených subjektů, objem či četnost transakcí, dobu trvání incidentu, resp. odstávky služby, územní rozsah, ztráty údajů (z hlediska dostupnosti, hodnověrnosti, integrity a důvěrnosti), význam dotčených služeb a ekonomický dopad. U kybernetických hrozeb pak platí, že jako závažné mají být klasifikovány na základě toho, jak zásadní jsou ohrožené služby.
Finanční instituce hlásí závažné incidenty určeným relevantním orgánům, kdy v podmínkách ČR je tímto orgánem Česká národní banka (ČNB). Relevantní orgán po obdržení každého hlášení IKT incidentu potvrdí jeho přijetí a může finančnímu subjektu poskytnout zpětnou vazbu, zejména poskytnutím relevantních anonymizovaných informací o podobných hrozbách, a může projednat nápravu uplatněnou na úrovni daného finančního subjektu a možnosti, jak minimalizovat a zmírnit nepříznivý dopad na finanční sektor.
Národní orgány dále předávají hlášení o závažných IKT incidentech evropským dohledovým orgánům (EBA, ESMA, EIOPA) a případně také ECB, příslušným týmům CSIRT a orgánům příslušným k řešení krize (pokud tyto incidenty představují riziko pro zajištění zásadních funkcí ve smyslu směrnice 2014/59/EU upravující ozdravné postupy a řešení krize). Následně po obdržení těchto informací EBA, ESMA či EIOPA po konzultaci s ENISA a ve spolupráci s příslušným národním orgánem rozhodne, zda je závažný incident relevantní pro příslušné orgány v jiných členských státech. V kladném případě jim co nejdříve zašle odpovídající oznámení, na jehož základě přijmou příslušné národní orgány veškerá opatření nezbytná k ochraně stability finančního sektoru. Cílem uvedených požadavků je centralizace, předcházení a efektivní využívání informací o závažných IKT incidentech a kybernetických hrozbách na celounijní úrovni. Finanční subjekty jsou i nadále plně odpovědné za řešení incidentů a za jejich důsledky.
Testování digitální provozní odolnosti
- Obecné požadavky na provádění testování digitální provozní odolnosti.
Nedílnou součástí rámce pro řízení IKT rizika je program testování digitální provozní odolnosti. Jeho cílem je identifikace slabých míst, vad a nedostatků v digitální provozní odolnosti a rychlé zavedení nápravných opatření na straně finančních subjektů. Jejich povinností je zavést postupy pro stanovení priorit, klasifikaci a nápravu nedostatků zjištěných v průběhu testů, a také vypracovat metodiky ověřování, zda byly všechny relevantní nedostatky plně odstraněny. Vhodné testy musejí být provedeny alespoň jednou ročně u všech systémů a aplikací IKT podporujících zásadní nebo důležité funkce.
Program testování stanoví provedení vhodných testů, jako je např. scanování zranitelností, hodnocení síťové bezpečnosti, přezkumy fyzické bezpečnosti, zdrojových kódů, testy založené na scénářích, testování výkonu či penetrační testování. - Pokročilé testování s využitím penetračního testování na základě hrozeb.
Penetrační testování na základě hrozeb definuje nařízení DORA jako „rámec napodobující taktiku, techniky a postupy skutečných aktérů hrozeb vnímaných jako skutečné kybernetické hrozby, který poskytuje řízené, individualizované a na operativních informacích založené (metoda červeného týmu) testování kritických systémů finančního subjektu za provozu“.
Členské státy určí veřejný orgán odpovědný za pokročilé penetrační testování na základě hrozeb ve finančním sektoru, kterému budou svěřeny související pravomoci a povinnosti na vnitrostátní úrovni. V podmínkách ČR bude tímto orgánem ČNB, která bude podle prováděcí legislativy zároveň zajišťovat povinnosti dohledové autority vůči finančním subjektům v jurisdikci ČR podléhajícím působnosti nařízení DORA.
Příslušné národní orgány určí finanční instituce, na něž se povinnost provádět pokročilé testování bude vztahovat. Tyto instituce budou povinny provádět alespoň jednou za tři roky pokročilé testování s využitím penetračního testování na základě hrozeb. Každý test pokryje některé nebo všechny zásadní nebo důležité funkce a bude se provádět za provozu, a to na systémech reálně využívaných k zajištění těchto funkcí. Finanční instituce sama určí přesný rozsah testování, který může vyžadovat zahrnutí poskytovatelů IKT služeb z řad třetích stran. Také subjekt provádějící testování si najímá a platí sama finanční instituce.
Rozsah testů stejně jako subjekt zajišťující provedení testu musí být schválen příslušnými orgány, které sdílejí plány testů a vzájemně koordinují svou činnost např. v případě přeshraničně fungujících finančních skupin. Příslušné orgány zajistí pro provedení každého pokročilého testu roli testovacího manažera a jeho zástupce, kteří budou po dobu testu součástí řídicího týmu testované instituce. Úlohou určených orgánů je dále osvědčit soulad testu s požadavky DORA a vydat finanční instituci mezinárodní osvědčení o provedeném testu, a to mj. také na základě podrobné dokumentace poskytnuté subjektem provádějícím testování. Dokumentace musí prokázat soulad průběhu testu s požadavky DORA a obsahovat zjištěné nedostatky a opatření k jejich nápravě.
Řízení rizika v oblasti IKT spojeného s třetími stranami
- Hlavní zásady správného řízení rizika v oblasti IKT spojeného s třetími stranami.
Zodpovědnost za rizika spojená s třetími stranami zůstává podle nařízení DORA plně na finanční instituci, která služby třetích stran v oblasti IKT používá. Další důležitou zásadou je zohlednění proporcionality spočívající zejména v posouzení rizik spojených s příslušným smluvním vztahem podle významů dotčené finanční služby a potenciálním dopadem na její kontinuitu a dostupnost. Pro zajištění správného řízení rizika finanční instituce přijmou a pravidelně přezkoumávají strategii pro riziko IKT spojené s třetími stranami. Povinností vedoucího orgánu finanční instituce je pravidelně přezkoumávat rizika identifikovaná v souvislosti se smluvními ujednáními o využívání služeb IKT podporujících zásadní nebo důležité funkce.
Finanční subjekty (na solo, subkonsolidované a konsolidované úrovni) vedou registr informací o IKT poskytovatelích z řad třetích stran, který jsou povinny zpřístupnit orgánu dohledu na jeho žádost. Dále jsou povinny informovat příslušný orgán včas o jakémkoli plánovaném smluvním ujednání o využívání IKT služeb podporujících zásadní nebo důležité funkce.
Před uzavřením smluvního ujednání o využívání služeb IKT je nutné identifikovat a zhodnotit všechna relevantní rizika, vyhodnotit významnost dotčené služby, posoudit splnění podmínek dohledu, provést hloubkovou kontrolu dodavatele a identifikovat střet zájmů. Finanční instituce si smluvně ošetří také přístup, kontrolu a audit u IKT poskytovatele, stanoví četnost auditů i oblasti, které budou auditovány. DORA Finanční instituce zajistí možnost ukončení smlouvy v případě porušení právních předpisů či smluvních podmínek ze strany IKT poskytovatele, podstatných změn ovlivňujících plnění smluvních ujednání, zjištění slabých míst (s ohledem na zajištění dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů) nebo v případě nemožnosti efektivního dohledu ze strany příslušného orgánu. U služeb podporujících zásadní nebo důležité funkce mají finanční instituce zavedenu strategii ukončení smluvního vztahu. - Rámec dohledu nad kritickými poskytovateli služeb IKT z řad třetích stran.
S ohledem na důsledně uplatňovaný princip orientace na rizika v nařízení DORA je speciální pozornost věnována rizikům finančního trhu EU spojeným s využíváním kritických poskytovatelů služeb IKT z řad třetích stran.
V této souvislosti určí evropské orgány dohledu (EBA, ESMA, EIOPA) vybrané poskytovatele služeb IKT, kteří jsou kritičtí z hlediska systémového dopadu na stabilitu, kontinuitu nebo kvalitu finančních služeb, a to s přihlédnutím k počtu a významu potenciálně dotčených finančních subjektů, a to i v případech, kdy finanční subjekty využívají tyto služby nepřímo prostřednictvím subdodavatelských ujednání. Dalším kritériem pro určení kritických poskytovatelů je omezení jejich nahraditelnosti jinými dostupnými alternativami či ztíženou migrací k jinému poskytovateli.
Určení kritičtí poskytovatelé IKT budou dohlíženi na úrovni EU příslušným hlavním orgánem dohledu. Konkrétní kritický poskytovatel IKT bude dohlížen tím evropským orgánem dohledu (EBA, ESMA nebo EIOPA), jímž dohlížené finanční subjekty využívající služeb daného dodavatele představují největší podíl aktiv z hodnoty celkových aktiv všech finančních subjektů, které služby příslušného dodavatele využívají. Ke koordinaci dohledu na celounijní úrovni a pro účely podpory pracovních úkolů společného výboru evropských orgánů dohledu vzniká fórum dohledu, které mj. provede každý rok společné posouzení výsledků a zjištění dohledových činností provedených ze strany všech tří hlavních orgánů dohledu. Ty dále za účelem dohledu kritických IKT poskytovatelů zřídí společnou síť dohledu a mohou příležitostně vyzvat ECB a ENISA k poskytnutí technického poradenství, sdílení praktických zkušeností či účasti na koordinačních zasedáních společné sítě dohledu.
Mezi pravomoci příslušného hlavního orgánu dohledu patří požadovat veškeré relevantní informace a dokumentaci, provádět obecná šetření a kontroly, vydávat doporučení, požadovat zprávy o nápravných opařeních přijatých kritickým IKT poskytovateli v reakci na vydaná doporučení, v případě jejich neplnění mu uložit penále a v krajním případě přijmout rozhodnutí, aby dotčené finanční subjekty přestaly využívat služeb daného poskytovatele do doby odstranění rizik identifikovaných v jemu adresovaných doporučeních.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.