Na koho se bude nové nařízení vztahovat?
Nyní, když byla DORA formálně přijata, bude každý členský stát povinen provést některé požadavky v ní stanovené do vnitrostátních právních předpisů. DORA zavádí jednotná pravidla bezpečnosti síťových a informačních systémů společností a organizací působících ve finančním sektoru (jako jsou banky, pojišťovny a investiční podniky), jakož i třetích stran, které jim poskytují služby související s informačními technologiemi, jako jsou cloudové platformy nebo služby analýzy dat.
Jaké nové povinnosti DORA zavádí?
Nařízení zavádí komplexní soubor pravidel týkajících se řízení rizik ve finančním sektoru s cílem posílit digitální provozní odolnost a zmírňovat kybernetické hrozby. Na základě nařízení DORA dojde k vypracování závazných technických norem pro všechny instituce poskytující finanční služby, od bankovnictví, pojišťovnictví až po správu aktiv. Všechny uvedené podniky budou muset implementovat požadavky v těchto normách, čímž prokážou odolnost vůči všem druhům narušení a hrozeb souvisejících s informačními a komunikačními technologiemi.
Konkrétně finanční instituce a vybrané subjekty budou mimo jiného muset:
a. Vypracovat interní rámec pro řízení rizik spojených s provozem informační a komunikační technologií („ICT“);
b. Ohlašovat případné ICT incidenty pomocí zavedeného jednotného systému;
c. Pravidelně testovat odolnost informačních systémů, včetně vytvoření interních rámců pro provádění testování;
d. Poskytovatelé služeb budou nově podléhat dohledu ze strany evropských orgánů.
DORA má přednost před použitím NIS2
Směrnice označována jako NIS 2, která byla přijata spolu s nařízením DORA, si klade za cíl vytvoření společné úrovně kybernetické bezpečnosti v celé Unii. Stejně jako směrnice NIS 1 upravuje i směrnice NIS 2 některé aspekty kybernetické bezpečnosti finančních institucí. V případě rozporu má nařízení DORA přednost před směrnicemi NIS jako tzv. lex specialis.
Závěr
Do platnosti nařízení DORA zbývá až na výjimky 12 měsíců. Doporučujeme všem, kteří budou spadat do rámce přijaté regulace, aby již nyní začali sledovat stanovené požadavky a zajistili soulad svého podnikání s novou legislativou.