Home WEALTH PLANNINGOchrana majetku Vchází v platnost DORA, nařízení o kybernetické ochraně. Jak na něj připravit vaši firmu?
Ochrana majetkuWEALTH PLANNING

Vchází v platnost DORA, nařízení o kybernetické ochraně. Jak na něj připravit vaši firmu?

Autor Tomáš Kubíček
Autor Tomáš Kubíček
Foto: Jaydeep Joshi, pixabay.com, ID 3112539

Pro společnosti působící v sektoru finančních služeb v EU je 17. leden 2025 významným okamžikem, neboť oficiálně vstupuje v platnost zákon o digitální provozní odolnosti (DORA). V komentáři se mu věnuje Tomáš Kubíček, partner poradenské společnosti BDO a odborník na kybernetickou bezpečnost.

Cílem tohoto nového regulačního rámce je posílit digitální odolnost finančních institucí a jejich poskytovatelů významných a zásadních technologií a stanovit požadavky na řízení rizik v oblasti informačních a komunikačních technologií, testování provozní odolnosti a reakci na bezpečnostní incidenty, které by mohly ovlivnit finanční stabilitu.

Pro organizace, které do příprav na splnění nových povinností investovaly potřebné množství času a zdrojů, je současná chvíle příležitostí, jak prokázat svou připravenost, posílit vztahy s regulačními orgány a vybudovat si důvěru u všech zúčastněných stran. Pro ty, kteří nové regulaci dosud potřebnou pozornost nevěnovali, nelze podceňovat naléhavost jednat – dodržování předpisů již není volitelné. Pravdou je, že některé prováděcí předpisy (ITS/RTS) ještě nejsou schválené, přesto jejich existující znění dává tušit, co bude potřeba naplnit.

Co znamená DORA pro finanční služby a jejich poskytovatele ICT třetích stran?

DORA zavádí robustní a komplexní rámec, jehož cílem je zajistit, aby finanční subjekty a jejich poskytovatelé kritických technologií dokázali odolávat narušením souvisejícím s ICT, reagovat na ně a zotavit se z nich. Vztahuje se na různorodé organizace včetně bank, pojišťoven, investičních společností, poskytovatelů platebních služeb a významných ICT dodavatelů, kteří poskytují základní technologické služby. Dopadla třeba ale i na loterijní společnosti nebo třeba velké prodejce automobilů zprostředkovávající finanční a pojišťovací služby.

Nařízení je strukturováno do čtyř základních požadavků, které musí splňovat všechny dotčené subjekty:

Řízení rizik ICT

Podniky musí zavést spolehlivé rámce pro identifikaci, hodnocení a účinné zmírňování rizik v oblasti ICT. To zahrnuje vytvoření podrobných procesů pro sledování zranitelností, správu aktualizací a zajištění bezpečnosti a aktuálnosti systémů.

Testování provozní odolnosti

Pravidelné testování opatření provozní odolnosti je podle nařízení DORA povinné. To zahrnuje penetrační testy, red teaming a simulace obnovy po havárii, jejichž cílem je zajistit, aby systémy a procesy odolaly reálným výzvám.

Hlášení incidentů

Včasné hlášení závažných incidentů souvisejících s ICT regulačním orgánům je klíčovým aspektem programu DORA. Organizace musí mít jasné protokoly pro identifikaci, eskalaci a zveřejňování incidentů, které mají dopad na jejich provoz, zákazníky nebo kritickou infrastrukturu.

Řízení rizik třetích stran

Větší kontrola poskytovatelů ICT třetích stran zajistí, aby tito externí partneři dodržovali stejně vysoké standardy odolnosti. To zahrnuje pravidelné hodnocení rizik, sjednávání přísných smluvních podmínek a zavádění průběžných monitorovacích procesů. Vybrané ICT dodavatelské firmy s celoevropskou působností bude auditovat přímo evropský regulátor. Jaká míra záruky dodavatelského řetězce pro lokální dodavatele bude dostatečná, např. ISO audity, bude teprve stanovena lokálním regulátorem.

Co čeká organizace, které dodržují předpisy?

Pro organizace, které již splňují požadavky standardu DORA, je tento milník pouze začátkem pokračující cesty k udržení odolnosti. Soulad není jednorázový úspěch – je to trvalý proces, který vyžaduje ostražitost, přizpůsobování a neustálé zlepšování.

Jak by měly podniky, které splňují požadavky, nyní pracovat?

Průběžně monitorujte

Zavedení monitorovacích systémů v reálném čase, které odhalí rizika ICT a reagují na ně, jakmile se objeví. Včasné odhalení je rozhodující pro minimalizaci dopadu možných narušení.

Dokumentujte a podávejte zprávy

Ujistěte se, že máte dobře zdokumentované protokoly pro hlášení incidentů, a buďte připraveni poskytnout podrobné důkazy o dodržování předpisů při kontrolách ze strany regulačních orgánů. Transparentnost a odpovědnost budou mít zásadní význam pro udržení důvěry u regulačních orgánů.

Revidujte a aktualizujte plány testování

Testování provozní odolnosti je opakující se proces. Pravidelně plánujte testy, abyste se přizpůsobili vznikajícím hrozbám a zdokonalili své schopnosti reakce. To zahrnuje aktualizaci scénářů, aby odrážely změny ve vašem obchodním provozu nebo technologickém prostředí.

Spolupracujte s poskytovateli třetích stran

Udržujte otevřené komunikační kanály se svými poskytovateli ICT, abyste zajistili, že budou i nadále dodržovat bezpečnostní standardy. Pravidelné revize a audity vašich vztahů s třetími stranami budou nezbytné pro proaktivní řešení rizik.

Patříte mezi organizace, které přípravám na novou legislativu nevěnovaly potřebnou pozornost?

Pokud vaše organizace ještě není plně v souladu s nařízením DORA, je čas na okamžitá opatření. Nesplnění požadavků může mít za následek sankce vyplývající z právních předpisů, poškození pověsti a provozní zranitelnost, která ohrožuje vaše podnikání.

Jak postupovat?

1. Proveďte analýzu nedostatků

Vyhodnoťte své současné procesy a identifikujte kritické nedostatky v oblasti řízení rizik ICT, testování odolnosti, hlášení incidentů a dohledu třetích stran (podle DORA i všech ITS/RTS).

2. Posilte plány reakce na incidenty

Ujistěte se, že máte dobře definovaný rámec pro identifikaci, řízení a rychlé hlášení incidentů ICT.

3. Zlepšete řízení rizik třetích stran

Spolupracujte se svými externími poskytovateli ICT, abyste sladili požadavky na dodržování bezpečnostních standardů. To může zahrnovat nové projednání smluv, zavedení průběžného monitorování a pravidelné hodnocení rizik.

4. Vyhledejte odborné vedení

Pokud se potýkáte s problémy při plnění požadavků DORA, neváhejte vyhledat externí podporu. Odborní poradci vám mohou pomoci zefektivnit vaše úsilí o dodržování předpisů a zaměřit se na oblasti s vysokou prioritou.

Jaký lze očekávat dlouhodobý dopad nařízení DORA?

Zavedení standardu DORA coby vertikální regulace vedle směrnice NIS2 představuje významný milník, ale zároveň signalizuje širší posun směrem k větší odolnosti a odpovědnosti v celém finančním sektoru. Přijetím zásad DORA mohou organizace vybudovat pevnější základy pro řízení rizik v oblasti informačních a komunikačních technologií, posílení provozní stability a ochranu před stále složitějším prostředím hrozeb.

Toto nařízení není jen o splnění dnešních požadavků – jde o to, aby vaše podnikání bylo odolné vůči budoucnosti. Ti, kteří investují do neustálého dodržování předpisů a odolnosti, mohou získat konkurenční výhody, včetně lepší důvěry zainteresovaných stran, silnější důvěry zákazníků a nižšího vystavení rizikům.

Vzhledem k tomu, že se regulační prostředí neustále vyvíjí, svět se čím dále tím víc přesouvá do digitálního prostoru, musí podniky zůstat proaktivní. Soulad s nařízením DORA by měl být vnímán jako součást trvalého závazku k digitální odolnosti, nikoli jako jednorázové úsilí.

Autor: Tomáš Kubíček, partner poradenské společnosti BDO, odborník na kybernetickou bezpečnost

Bezplatně se registrujte a získáte 8 speciálních vydání
Wealth Magazín – Report zdarma na svůj email, přístup
k prémiovému obsahu, promo kódy pro vstup na akce
a pravidelný newsletter s nejnovějšími trendy, analýzami a celospolečenskými tématy ovlivňující Private Wealth.

REGISTROVAT

Související články

5 trendů ve fundrasingu pro rok 2025

„Řešte věci v předstihu a pamatujte, že nejste...

Jak na finanční řízení v nadaci?

6 příkladů využití svěřenského fondu

Firmy nevyužívají potenciál AI, zjistila studie Pipedrive. Pomoci...

Svěřenský fond versus fundace? Jakou strukturu zvolit pro...

​​​​Jaká je role správní rady v nadaci?

David Korecký: Role neziskového sektoru a podpory kultury...

4 otázky, které byste si měli položit před...

Výzkum potvrdil efektivitu i nízký podíl výpovědí při...

© 2020 - 2024 Wealth Magazín - Wealth Magazín s.r.o.