Kybernetickou odolnost finančních institucí zabezpečí DORA
Evropská komise zveřejnila návrh tzv. Digital Operational Resilience Act (DORA) upravující požadavky na bezpečnost finančních institucí v oblasti informačních a komunikačních technologií (ICT). Banky, burzy cenných papírů, clearingová centra nebo například fintech společnosti tak budou muset vyhovět přísným standardům.
Návrh tohoto evropského nařízení má být součástí širšího balíčku věnovaného digitálnímu peněžnictví. Balíček dále zahrnuje obecnou strategii, legislativní návrhy týkající se trhu kryptoměn a aktualizovanou strategii pro moderní a bezpečné maloobchodní platby. Cílem je odstranění dosavadní roztříštěnosti jednotného digitálního trhu, přijetí celoevropského rámce zabezpečujícího digitální inovace, podpora finančnictví poháněného daty a zohlednění souvisejících rizik, včetně posílení odolnosti finančních systémů.
Nová právní úprava se snaží reagovat na neustále se zvyšující závislost finančního sektoru na softwaru a digitálních procesech a s tím spojený nárůst rizika při využívání ICT. Finanční instituce jako banky, burzy cenných papírů, clearingová centra stejně jako fintech společnosti budou muset vyhovět přísným standardům. Přísnějšímu dohledu se nevyhnou ani poskytovatelé ICT služeb (včetně tzv. BigTech společností) poskytující cloudové služby uvedeným finančním institucím.
DORA má pokrýt následující oblasti:
- Stanovení a sjednocení požadavků na zabezpečení systému finančních institucí před kybernetickými útoky a sjednocení hlášení těchto útoků.
- Zavedení povinného testování finančních institucí, zejména v oblasti ICT a jejich odolnosti vůči kybernetickým útokům. Určitý stupeň testování má být povinný pro všechny, vyšší stupeň (například penetrační testy) pouze pro finanční instituce označené za systémově významné.
- Zavedení dohledu při outsourcingu ICT služeb finančními institucemi, včetně detailnější úpravy náležitostí smluv uzavíraných mezi finančními institucemi a poskytovateli těchto služeb.
- Zavedení určitého typu dohledu nad poskytovateli kritických ICT služeb pro finanční instituce ze strany unijního orgánu.
Rozlišováno a regulováno má být celkem 20 typů finančních institucí. Zahrnuty naopak nejsou například platební systémy, systémy platebních karet, některé provozní systémy či účastníci ve smyslu směrnice SFD (Settlement Finality Directive).