DORA 2025: Připravte svou finanční instituci na novou éru digitální odolnost

Autor článku: JUDr. Jakub Dohnal, Ph.D., LL.M., ARROWS advokátní kancelář (office@arws.cz, +420 245 007 740)

V digitálním věku je kybernetická bezpečnost klíčová. Nařízení DORA přináší jednotná pravidla pro finanční sektor v EU, která posílí jeho odolnost vůči kybernetickým hrozbám a zajistí kontinuitu služeb i v případě incidentů. Nedodržení těchto pravidel může vést k vysokým pokutám až do výše desítek milionů korun a vážně ohrozit reputaci vaší instituce.

1. Co je nařízení DORA a koho se týká

Nařízení DORA (Digital Operational Resilience Act) je právní předpis Evropské unie, který vstoupil v platnost 16. ledna 2023 a bude plně účinný od 17. ledna 2025.

Jeho cílem je posílit digitální provozní odolnost finančního sektoru tím, že zavádí jednotná pravidla pro řízení rizik spojených s informačními a komunikačními technologiemi (IKT). Nařízení se vztahuje na široké spektrum finančních institucí, včetně bank, pojišťoven, investičních společností a poskytovatelů platebních služeb, ale také na jejich dodavatele IKT služeb.

Představte si situaci, kdy vaše finanční instituce čelí rozsáhlému kybernetickému útoku. Bez adekvátní přípravy může takový incident vést k významným finančním ztrátám, poškození reputace a ztrátě důvěry klientů. Nařízení DORA vám poskytuje rámec pro efektivní řízení těchto rizik a zajištění kontinuity vašich služeb.

2. Klíčové požadavky nařízení DORA

DORA stanovuje několik hlavních oblastí, na které by se finanční instituce měly zaměřit:

• Řízení rizik IKT: Instituce musí zavést robustní rámec pro identifikaci, hodnocení a zmírňování rizik spojených s IKT. To zahrnuje pravidelné testování systémů, školení zaměstnanců a implementaci bezpečnostních opatření.
• Hlášení incidentů: V případě významných incidentů spojených s IKT jsou instituce povinny informovat příslušné orgány a přijmout opatření k minimalizaci dopadů. Nedodržení této povinnosti může vést k sankcím.
• Testování digitální odolnosti: Pravidelné testování odolnosti systémů vůči kybernetickým útokům je nezbytné pro zajištění připravenosti na potenciální hrozby.
• Řízení rizik třetích stran: Instituce musí pečlivě vybírat a monitorovat své dodavatele IKT služeb, aby zajistily, že i oni splňují požadované standardy bezpečnosti.

Nedodržení těchto požadavků může mít za následek nejen finanční sankce, ale také vážné poškození reputace vaší instituce. Je proto zásadní začít s implementací opatření dle DORA co nejdříve.

3. Jak se připravit na účinnost nařízení DORA

S blížícím se datem účinnosti nařízení DORA je důležité podniknout konkrétní kroky k zajištění souladu s novými požadavky:

Analýza současného stavu: Zhodnoťte aktuální úroveň digitální odolnosti vaší instituce a identifikujte oblasti, které vyžadují zlepšení.

• Implementace nových procesů: Zaveďte potřebné změny v řízení rizik, hlášení incidentů a spolupráci s dodavateli IKT služeb.
• Školení zaměstnanců: Zajistěte, aby všichni zaměstnanci byli informováni o nových postupech a byli schopni efektivně reagovat na případné incidenty.

Představte si, že díky včasné přípravě a implementaci opatření dle DORA vaše instituce úspěšně odolá kybernetickému útoku, aniž by došlo k přerušení služeb nebo ztrátě dat. Taková připravenost posílí důvěru vašich klientů a zvýší vaši konkurenceschopnost na trhu.

Závěr

Nečekejte, až bude pozdě. Začněte s přípravou na nařízení DORA již dnes a zajistěte, že vaše finanční instituce, včetně poskytovatelů služeb souvisejících s kryptoaktivy, bude plně připravena čelit digitálním výzvám budoucnosti. Kontaktujte nás pro odbornou pomoc s implementací požadavků DORA a chraňte tak své podnikání před potenciálními hrozbami.