Zmatky kolem nařízení DORA
Regulace finančního sektoru v oblasti kyberbezpečnosti vstoupila v platnost, aby se hned po čtyřech dnech změnila
Pro společnosti ve finančním sektoru v EU byl 17. leden 2025 významným okamžikem, neboť oficiálně vstoupil v platnost nařízení o digitální provozní odolnosti (DORA), který pro ně nastavuje pravidla kybernetické ochrany. Nicméně hned 21. ledna Evropská komise zamítla pravidla zákona pro subdodávky v oblasti ICT služeb, což přineslo zmatek.
„Cílem regulace DORA je posílit digitální odolnost finančních institucí a jejich poskytovatelů významných a zásadních technologií, stanovit požadavky na řízení rizik v oblasti informačních a komunikačních technologií, testování provozní odolnosti a reakci na bezpečnostní incidenty, které by mohly ovlivnit finanční stabilitu,“ shrnuje Tomáš Kubíček z poradenské společnosti BDO.
Na konci ledna Evropská komise nicméně odmítla navrhované požadavky na subdodávky v oblasti ICT služeb podle nařízení DORA. Zamítnuty byly konkrétně článek 5 a odůvodnění 5 návrhu Regulačních technických standardů (RTS), protože podle Komise překračovaly původní právní rámec DORA.
Navrhovaná pravidla ukládala přísné podmínky pro využívání subdodavatelů v ICT službách a povinnost finančních institucí pečlivě monitorovat celé subdodavatelské řetězce. Komise však rozhodla, že tyto požadavky jdou nad rámec toho, co DORA původně stanovila, a zamítla je. Evropským orgánům dohledu (ESAs) následně dala šest týdnů na přepracování těchto pravidel.
Změna má na firmy, kterých se regulace týká, zásadní dopad. „Firmy, které už začaly přizpůsobovat své outsourcingové smlouvy, teď budou muset své plány přehodnotit. To může přinést dodatečné náklady a zmatek,“ komentuje Tomáš Kubíček.
Zároveň pro firmy nastalo určité období nejistoty. „Než ESAs předloží novou verzi pravidel, panuje nejistota. Podniky nevědí, jak přesně se mají připravit, což může zpomalit jejich kroky ke zlepšení digitální bezpečnosti. Pokud nová pravidla zmírní dohled nad subdodavateli, může to oslabit odolnost vůči kybernetickým hrozbám. Naopak někteří poskytovatelé ICT služeb mohou uvítat větší flexibilitu a nižší náklady,“ hodnotí dále Tomáš Kubíček.
Co je DORA vlastně zač a na koho se vztahuje
DORA zavádí robustní a komplexní rámec, jehož cílem je zajistit, aby finanční subjekty a jejich poskytovatelé kritických technologií dokázali odolávat narušením souvisejícím s ICT, reagovat na ně a zotavit se z nich. „Vztahuje se na různorodé organizace včetně bank, pojišťoven, investičních společností, poskytovatelů platebních služeb a významných ICT dodavatelů, kteří poskytují základní technologické služby. Dopadla třeba ale i na loterijní společnosti nebo třeba velké prodejce automobilů zprostředkovávající finanční a pojišťovací služby,“ připomíná Tomáš Kubíček.
Nařízení je strukturováno do čtyř základních požadavků, které musí splňovat všechny dotčené subjekty. Podniky musí zavést spolehlivé rámce pro identifikaci, hodnocení a účinné zmírňování rizik v oblasti ICT. Dále musí zavést testování provozní odolnosti a hlášení incidentů. „Včasné odhalení je rozhodující pro minimalizaci dopadu možných narušení,“ říká Tomáš Kubíček. V neposlední řadě musí společnosti zajistit, aby jejich externí partneři dodržovali stejně vysoké standardy odolnosti, což zahrnuje pravidelné hodnocení rizik, sjednávání přísných smluvních podmínek a zavádění průběžných monitorovacích procesů.
Jaký lze očekávat dlouhodobý dopad nařízení DORA
„Zavedení standardu DORA coby vertikální regulace vedle směrnice NIS2 představuje významný milník, ale zároveň signalizuje širší posun směrem k větší odolnosti a odpovědnosti v celém finančním sektoru,“ shrnuje Tomáš Kubíček.
Soulad s nařízením DORA by měl být podle Tomáše Kubíčka vnímán jako součást trvalého závazku k digitální odolnosti, nikoli jako jednorázové úsilí. Vzhledem k tomu, že se regulační prostředí neustále vyvíjí, svět se čím dále tím víc přesouvá do digitálního prostoru, musí podniky zůstat proaktivní.
„Rozhodnutí Komise zamítnout pravidla zákona pro subdodávky má nicméně zásadní vliv zejména pro firmy, které jsou závislé na složitých subdodavatelských řetězcích. Ty budou muset sledovat, jaké změny přinese tato revize, a rychle se jí přizpůsobit. Jde o balanc mezi bezpečností a pružností – a jak se s tím finanční sektor vypořádá, ukáže až čas,“ uzavírá Tomáš Kubíček z BDO.
