Koho se nařízení DORA týká?
Nařízení DORA funguje na principu proporcionality, což znamená, že požadavky jsou přizpůsobeny velikosti a rizikovému profilu finančních subjektů.
Z působnosti nařízení DORA jsou např. vyloučeny alternativní investiční fondy dle směrnice AIFMD (u nás v ČR tzv. § 15 ZISIF).
Menší subjekty mají splnit pouze základní požadavky. Výjimky jsou stanoveny pro některé finanční subjekty, jako jsou malé a nepropojené investiční podniky nebo poskytovatelé platebních služeb malého rozsahu, nebo vydavatelé elektronických peněz malého rozsahu.
Zbylé finanční subjekty jako např. úvěrové instituce, platební instituce a instituce elektronických peněz (na které se nevztahují výjimky dle čl. 16), investiční podniky, poskytovatelé služeb souvisejících s kryptoaktivy, kterým byla udělena licence dle MiCA apod., zásadně podléhají plné regulaci, ačkoliv i zde jsou vyjmenované výjimky, kdy se některá pravidla neuplatní pro tzv. mikropodniky, což jsou zpravidla podniky s méně než 10 zaměstnanci, případně některé konkrétně vymezené typy finančních subjektů.
Oblasti regulace DORA
Nařízení DORA zavádí několik klíčových oblastí, které mají finanční subjekty zajistit pro zlepšení digitální provozní odolnosti. Patří mezi ně:
Řízení rizika v oblasti IKT:
Subjekty musí mít interní systém pro řízení rizika informačních a komunikačních technologií (IKT). Tento rámec by měl být dobře zdokumentovaný a spolehlivý. Jeho součástí jsou strategie, politiky a postupy, které pomáhají předcházet problémům a rychle je řešit.
Řízení, klasifikace a hlášení incidentů souvisejících s IKT:
DORA stanovuje, že finanční subjekty musí mít procesy pro identifikaci a klasifikaci incidentů v oblasti IKT a kybernetických hrozeb. Závažné incidenty musí být hlášeny dohledovým orgánům a v případě dopadů na klienty musí být klienti informováni o přijatých opatřeních.
Testování digitální provozní odolnosti:
Finanční subjekty musí provádět pravidelné testování odolnosti svých systémů. Součástí je identifikace slabých míst a penetrační testování.
Řízení rizika v oblasti IKT spojeného s třetími stranami:
Finanční subjekty jsou zodpovědné za bezpečnostní rizika vyplývající z využívání služeb třetích stran. Uzavírat smlouvy mohou pouze s takovými poskytovateli služeb IKT z řad třetích stran, kteří splňují příslušné normy v oblasti bezpečnosti informací. Zároveň jsou finanční subjekty povinny o jakémkoliv plánovaném uzavření takové smlouvy informovat příslušný dohledový orgán a vést seznam všech uzavřených smluv, který pro případ potřeby musí předložit dohledovému orgánu.
Smlouva o využívání služeb IKT s třetími stranami musí být písemná a srozumitelná.
Smlouva dále musí obsahovat například:
- úplný popis všech funkcí poskytovaných služeb v oblasti IKT,
- úprava ochrany osobních údajů zahrnující například územní vymezení, kde mají být funkce a služby poskytovány a zpracovávána data,
- povinnost poskytovatele poskytnout bezodkladnou součinnost při incidentu v oblasti IKT,
- povinnost poskytovatele poskytnout součinnost orgánům dohledu, a
- striktní požadavky na ustanovení týkající se ukončení smlouvy, včetně minimální výpovědní lhůty.
Co dál?
DORA je komplexní nařízení, které vyžaduje pozornost od všech finančních subjektů, na které se vztahuje. Kompletní technické standardy budou k dispozici v červenci 2024 a některé aspekty budou upřesněny až k začátku roku 2025.
Pokud ještě nejste připraveni na příchod účinnosti nařízení DORA a spadáte do působnosti nařízení DORA, nebo si nejste jistí, zda na Vás nařízení DORA vůbec dopadá, neváhejte kontaktovat naši advokátní kancelář pro právní poradenství v této oblasti.