Od 17. ledna 2025 vstoupilo v platnost nařízení DORA, které se týká tisíců subjektů napříč Evropskou unií. Zavádí jednotný rámec pro řízení rizik spojených s informačními a komunikačními technologiemi. Cíl? Zajistit, aby digitální infrastruktura evropského finančního trhu byla odolná, bezpečná a připravená zvládnout výpadky, útoky i nečekané krizové situace.
Co DORA skutečně přináší
DORA (Digital Operational Resilience Act) je nařízení, které má především posílit digitální odolnost ve finančním sektoru. Nařízení se vztahuje na banky, pojišťovny, investiční společnosti, ale i fintech startupy, zúčtovací centra, burzy nebo poskytovatele platebních služeb. Nově se týká i technologických třetích stran, například poskytovatelů cloudu nebo IT služeb.
Smyslem DORA není zavádět nové bezpečnostní technologie. Jejím cílem je nastavit standardy pro jejich používání, sdílení informací a správu rizik. A to jednotně pro všechny členské státy.
Kdo musí pravidla dodržovat
Nařízení se vztahuje na více než 22 tisíc finančních institucí v celé EU. V České republice to znamená desítky bank, stovky menších finančních subjektů a technologických firem, které jim poskytují infrastrukturu nebo služby.
Firmy nově podléhají přímému dohledu regulačních orgánů, jako je Česká národní banka nebo Evropský orgán pro bankovnictví. V praxi to znamená více kontrol, pravidelný reporting a přísnější auditní stopy.
Co musí podniky splnit
Nařízení DORA definuje pět hlavních oblastí, kterým se instituce musí přizpůsobit:
- Identifikace a řízení ICT rizik
Každá instituce musí znát svou technologickou infrastrukturu, včetně všech dodavatelů. Je nutné řídit rizika, vyhodnocovat slabá místa a pravidelně aktualizovat bezpečnostní opatření. - Reporting incidentů
Všechny významné technologické incidenty, například kyberútoky, výpadky systémů nebo úniky dat, je nutné hlásit regulačním orgánům. A to v přesně stanovené struktuře a lhůtách. - Testování odolnosti systémů
Subjekty musí pravidelně testovat své systémy proti možným útokům a poruchám. U velkých institucí jsou povinné tzv. Threat Led Penetration Tests – simulace skutečných hrozeb. - Odpovědnost za třetí strany
Pokud firma outsourcuje IT služby, nese plnou odpovědnost za jejich bezpečnost. Musí mít přehled o dodavatelském řetězci a smluvně ošetřené podmínky v souladu s DORA. - Sdílení informací a koordinace
Podniky jsou podporovány ke sdílení informací o hrozbách mezi sebou, aby se zvýšila kolektivní obranyschopnost sektoru.
Co se děje v praxi
Už v průběhu roku 2024 probíhaly přípravy napříč Evropou. Mnoho společností vytvořilo speciální týmy, které se věnovaly analýze souladu, nastavování interních procesů, přizpůsobení smluvních vztahů a přípravě dokumentace.
V České republice se řada institucí inspirovala zahraničními standardy, zejména z Německa nebo Nizozemska, kde jsou zkušenosti s regulací IT rizik nejdál. Zároveň se však řešily otázky, jak zapojit menší hráče, pro které bude implementace výraznou finanční i personální zátěží.
Výzva i příležitost
Pro některé subjekty znamená DORA především zvýšené náklady a nutnost zásadních úprav. Pro jiné je to příležitost zlepšit bezpečnostní kulturu, získat důvěru klientů a být konkurenceschopnější na evropském trhu.
DORA má ambici sjednotit pravidla napříč EU a zabránit tomu, aby bezpečnost závisela na tom, ve které zemi firma sídlí. To je zvláště důležité v době, kdy digitální útoky neznají hranice a kdy i malá zranitelnost může mít velké následky.
Co bude dál
Nařízení DORA je již v platnosti a podniky mají povinnost s ním být v souladu. Regulační orgány začnou v roce 2025 provádět první kontroly a vyhodnocení připravenosti. Očekává se, že do konce roku bude mít většina významných subjektů implementaci hotovou nebo alespoň rozpracovanou.
Ti, kdo s přípravami otálejí, riskují nejen pokuty, ale i reputační ztráty a ztížený přístup k novým zákazníkům nebo investorům.
Zdroj: redakce
