DORA - Jak vyhovět regulačním požadavkům a efektivně nastavit digitální provozní odolnost ve Vaší společnosti

Nařízení Evropské unie č. 2022/2554 o digitální provozní odolnosti finančního sektoru známé jako DORA (Digital Operational Resilience Act) představuje klíčovou regulaci, jejíž cílem je zajistit, aby finanční instituce dokázaly odolávat kybernetickým hrozbám a zajistit kontinuitu svých služeb i v případě vážných narušení provozu. Nařízení vstupuje v platnost již 17. ledna 2025, a proto je nejvyšší čas zahájit implementaci nezbytných opatření.

V naší advokátní kanceláři se touto problematikou dlouhodobě a intenzivně zabýváme a proto jsme pro Vás připravili srozumitelnou a kompletní dokumentaci, která vyhovuje všem požadavkům nařízení DORA a reflektuje související výkladové materiály a checklisty ČNB.

Klíčové oblasti řešení dle DORA

1. Funkce, procesy a celková strategie digitální provozní odolnosti

Prvotním krokem k naplnění požadavků nařízení DORA je provedení správné identifikace všech zásadních a důležitých obchodních funkcí a procesů ve společnosti a dále vytvoření dokumentace aktiv, které tyto funkce a procesy podporují.

V návaznosti na první krok je připraven katalog rizik hrozících společnosti a nastavena strategie, která zahrnuje celkový přístup společnosti k identifikovaným rizikům a k zajištění provozní odolnosti. Strategie stanoví dlouhodobé cíle, pravidla a odpovědnosti za provozní odolnost.

2. Rámec pro řízení rizik v oblasti IKT

Pro zajištění bezpečnosti informačních a komunikačních technologií (IKT) je nutné zavést robustní rámec pro řízení rizik, který zahrnuje:

  • Shrnutí identifikace a hodnocení aktiv a rizik provedených v rámci prvního kroku:

    • Soupis obchodních funkcí
    • Popis způsobů identifikace a správy aktiv v oblasti IKT
    • Katalog aktiv (informačních a v oblasti IKT) a jejich zranitelností
    • Katalog identifikovaných hrozeb a rizik
    • Analýza dopadu
  • Popis zavedených bezpečnostních opatření k zajištění dostupnosti, důvěrnosti a integrity dat:

    • Komunikační politika a krizová komunikace
    • Politika a postupy fyzické a logické bezpečnosti
    • Politika a protokoly pro silné ověřovací mechanismy
    • Postupy pro zajištění bezpečnosti údajů a systémů
    • Postupy vedení protokolů
    • Politika environmentální bezpečnosti
    • Politika a postupy správy identit
    • Politika správy přístupů
    • Politika zabezpečení informací
    • Politika, postupy a protokoly na ochranu informací během přenosu
    • Popis řízení infrastruktury IKT
    • Postupy řízení kapacity a výkonu
    • Postupy řízení zranitelností
  • Plány zvládání rizik (zachování provozu) a rozvoje ve společnosti:

    • Postupy zachování provozu - reakce a obnova v oblasti IKT
    • Postupy vedení záznamů činnosti před výpadky a během výpadků
    • Politika a postupy zálohování
    • Postupy a metody obnovy v oblasti IKT
    • Politika a postupy řízení změn IKT, opravy a aktualizace
    • Politika pro pořizování, vývoj a údržbu systémů IKT
    • Politika pro řízení projektů v oblasti IKT
    • Programy zvyšování povědomí a školení v oblasti IKT

3. Řízení a hlášení incidentů IKT

Součástí požadavků DORA je zavedení procesů pro řízení incidentů, které zahrnují:

  • Klasifikaci incidentů:

    • Popis způsobu klasifikace incidentů (určení závažnosti incidentů podle jejich dopadu na provoz)
  • Řízení a hlášení incidentů:

    • Politika a postupy řízení IKT incidentů
    • Popis vedení záznamů o incidentech
    • Postupy pro sledování, řešení a následná opatření pro IKT incidenty
    • Postupy oznamování incidentů regulačním orgánům
  • Komunikační plány:

    • Postupy komunikace s klienty a zainteresovanými stranami

4. Testování digitální provozní odolnosti

Pravidelné testování odolnosti je klíčové pro ověření, zda společnost dokáže reagovat na kybernetické hrozby. Testování zahrnuje:

  • Plán testování, který stanoví frekvenci a rozsah jednotlivých testů (vč. případných penetračních a zátěžových testů):
    • Program a postupy testování digitální provozní odolnosti

5. Řízení vztahů s třetími stranami

Společnosti musí efektivně řídit rizika spojená s dodavateli IKT služeb. To zahrnuje:

  • Registr dodavatelů:

    • Evidence všech externích dodavatelů a jejich rolí
    • Bezpečnostní posouzení dodavatele IKT
  • Hodnocení a řízení rizik:

    • Politika řízení rizik IKT spojených s třetími stranami
    • Strategie a plány ukončení smluvního vztahu
    • Plány přechodu k alternativnímu poskytovateli
    • Strategie více dodavatelů IKT
  • Smluvní ujednání:

    • Zajištění, aby smlouvy s dodavateli obsahovaly požadavky na bezpečnost a kontinuitu služeb

Jak vám můžeme pomoci?

Naše kancelář Vám poskytne kompletní podporu při implementaci nařízení DORA. Nabízíme:

  • Hotovou sadu dokumentů, která obsahující veškeré výše uvedené strategie, politiky, směrnice a plány nezbytné pro splnění požadavků nařízení DORA.
  • Právní podporu při nastavování interních procesů a smluvních vztahů s dodavateli.
  • Individuální přizpůsobení předpisů – dokumentace je navržena tak, aby vyhovovala požadavkům regulace, ale zároveň byla flexibilní a snadno přizpůsobitelná konkrétním potřebám Vaší společnosti.

Buďte připraveni

Nařízení DORA začne platit již 17. ledna 2025. Čím dříve zahájíte jeho implementaci, tím lépe budete připraveni na případné kontroly a inspekce ze strany ČNB jako dohledového orgánu.

Neváhejte nás kontaktovat pro bližší informace a spolupráci. S naší pomocí budete plně v souladu s požadavky DORA a připraveni na budoucnost digitálního světa.