Myslíte, že se Vás DORA netýká? Chyba!

V pátek 17.ledna 2025 začalo platit nové nařízení Evropské unie DORA. Jste si jisti, že na Vás nemá dopad?

Co je DORA a co řeší? Nařízení Evropské unie 2022/2554, známé jako DORA (Digital Operational Resilience Act), usiluje o posílení digitální provozní odolnosti ve finančním sektoru. Cílem je zajistit, aby všechny finanční instituce, jejich systémy a procesy dokázaly odolat kybernetickým hrozbám a ICT incidentům. Dále omezit rizika spojená se závislostí na ICT dodavatelích, reagovat na ně a umět se zotavit všech možných typů incidentů a událostí narušujících běžný provoz.

Na koho má DORA dopad? Pokud si myslíte, že pokud nejste zrovna ve vedení banky nebo jiné finanční instituce, tak se Vás DORA se netýká, tak prosím POZOR možná se pletete a dříve nebo později vstoupí tato nová regulace do vašeho pracovního života.

DORA klade požadavky nejen na finančních instituce, ale i na další subjekty, které se pohybují ve finančním světě a to včetně všech IT dodavatelů a jejich subdodavatelů. A to už je dost velká množina firem a institucí a možná v ní najdete i tu vaši. DORA cílí na následující klíčové skupiny:

1. Finanční instituce
   • Banky, pojišťovny, investiční společnosti a platební systémy musí implementovat strategie pro řízení ICT rizik, reportovat incidenty a provádět testy odolnosti. Neplnění těchto požadavků může vést k sankcím a ztrátě důvěry klientů.
2. ICT dodavatele
   • Dodavatelé ICT služeb, zejména těch, které jsou označeny za kritické, podléhají přísnému dozoru. DORA vyžaduje, aby tito poskytovatelé prokázali schopnost zajištění kontinuity služeb, kybernetickou bezpečnost a transparentnost vůči finančním institucím. Dodavatelé musí umožnit audit a splňovat podmínky smluv zahrnující rizika spojená s řetězcem subdodavatelů.
3. Regulátoři a dohledové orgány
   • Evropské dohledové orgány, jako EBA, ESMA a EIOPA, koordinují dozor a poskytují metodiky pro aplikaci DORA. Jejich úkolem je zajistit, aby byly pravidla aplikovány jednotně napříč EU.
4. Subdodavatelský řetězec
   • Každý, kdo je zapojen do poskytování ICT služeb finančním institucím, musí splňovat požadavky na audit, bezpečnost a řízení rizik. To zahrnuje i dodavatele více úrovní v řetězci.

Pokud pracujete ve finanční instituci tak už jste možná přišli do styku s team, který řeší implementaci DORA zvlášť pokud máte na starosti nějakou část IT světa. Minimálně v následujícím roce pravděpodobně zažijete školení, kde se dozvíte co kolem incidentů,  vztahu s Vašimi dodavateli, či v rámci řízení rizik či zajištění business continuity musíte dělat jinak. A pokud jste IT dodavatel tak potřebujete být připraveni na pár nových věcí, které po Vás finanční instituce nebo firmy se kterými spolupracujete mohou požadovat. A to zejména:

• Transparentnost a dokumentaci: Dostatečnou dokumentaci zahrnující popis poskytovaných služeb, postupy pro řízení rizik a plány pro obnovu služeb po incidentu.
• Průběžné hodnocení: Pravidelné prověrky bezpečnostních opatření, auditování a testy odolnosti.
• Nastavení smluvních podmínek: Jasně definované podmínky pro subdodavatelství, včetně odpovědnosti za porušení smlouvy.
• Podporu souladu s předpisy: Dodržování legislativy a požadavků regulátorů, včetně poskytování důkazů o souladu.
• Záruku kontinuity služeb: Schopnost zajistit dostupnost klíčových služeb i při výpadku některých částí infrastruktury

Pokud jste ICT dodavatelem,  start-upem nabízejícím fintech řešení nebo třeba subdodavatelem cloudových služeb, DORA ovlivňuje i Vaše podnikání. Pochopení a implementace požadavků DORA je klíčem k dlouhodobé spolupráci s finančními institucemi. Nepodceňujte tuto regulaci – je základním kamenem budoucí finanční stability a důvěry v digitální prostředí. Chcete do dozvědět víc, nebo už řešíte konkrétní požadavky vaší klientů a hledáte inspiraci jak se s nimi správně poprat. Dejte vědět rádi pomůžeme info@ftexperts.cz.