DORA - Jak vyhovět regulačním požadavkům a efektivně nastavit digitální provozní odolnost ve Vaší společnosti
Nařízení Evropské unie č. 2022/2554 o digitální provozní odolnosti finančního sektoru známé jako DORA (Digital Operational Resilience Act) představuje klíčovou regulaci, jejíž cílem je zajistit, aby finanční instituce dokázaly odolávat kybernetickým hrozbám a zajistit kontinuitu svých služeb i v případě vážných narušení provozu. Nařízení vstupuje v platnost již 17. ledna 2025, a proto je nejvyšší čas zahájit implementaci nezbytných opatření.
V naší advokátní kanceláři se touto problematikou dlouhodobě a intenzivně zabýváme a proto jsme pro Vás připravili srozumitelnou a kompletní dokumentaci, která vyhovuje všem požadavkům nařízení DORA a reflektuje související výkladové materiály a checklisty ČNB.
Klíčové oblasti řešení dle DORA
1. Funkce, procesy a celková strategie digitální provozní odolnosti
Prvotním krokem k naplnění požadavků nařízení DORA je provedení správné identifikace všech zásadních a důležitých obchodních funkcí a procesů ve společnosti a dále vytvoření dokumentace aktiv, které tyto funkce a procesy podporují.
V návaznosti na první krok je připraven katalog rizik hrozících společnosti a nastavena strategie, která zahrnuje celkový přístup společnosti k identifikovaným rizikům a k zajištění provozní odolnosti. Strategie stanoví dlouhodobé cíle, pravidla a odpovědnosti za provozní odolnost.
2. Rámec pro řízení rizik v oblasti IKT
Pro zajištění bezpečnosti informačních a komunikačních technologií (IKT) je nutné zavést robustní rámec pro řízení rizik, který zahrnuje:
Shrnutí identifikace a hodnocení aktiv a rizik provedených v rámci prvního kroku:
- Soupis obchodních funkcí
- Popis způsobů identifikace a správy aktiv v oblasti IKT
- Katalog aktiv (informačních a v oblasti IKT) a jejich zranitelností
- Katalog identifikovaných hrozeb a rizik
- Analýza dopadu
Popis zavedených bezpečnostních opatření k zajištění dostupnosti, důvěrnosti a integrity dat:
- Komunikační politika a krizová komunikace
- Politika a postupy fyzické a logické bezpečnosti
- Politika a protokoly pro silné ověřovací mechanismy
- Postupy pro zajištění bezpečnosti údajů a systémů
- Postupy vedení protokolů
- Politika environmentální bezpečnosti
- Politika a postupy správy identit
- Politika správy přístupů
- Politika zabezpečení informací
- Politika, postupy a protokoly na ochranu informací během přenosu
- Popis řízení infrastruktury IKT
- Postupy řízení kapacity a výkonu
- Postupy řízení zranitelností
Plány zvládání rizik (zachování provozu) a rozvoje ve společnosti:
- Postupy zachování provozu - reakce a obnova v oblasti IKT
- Postupy vedení záznamů činnosti před výpadky a během výpadků
- Politika a postupy zálohování
- Postupy a metody obnovy v oblasti IKT
- Politika a postupy řízení změn IKT, opravy a aktualizace
- Politika pro pořizování, vývoj a údržbu systémů IKT
- Politika pro řízení projektů v oblasti IKT
- Programy zvyšování povědomí a školení v oblasti IKT
3. Řízení a hlášení incidentů IKT
Součástí požadavků DORA je zavedení procesů pro řízení incidentů, které zahrnují:
Klasifikaci incidentů:
- Popis způsobu klasifikace incidentů (určení závažnosti incidentů podle jejich dopadu na provoz)
Řízení a hlášení incidentů:
- Politika a postupy řízení IKT incidentů
- Popis vedení záznamů o incidentech
- Postupy pro sledování, řešení a následná opatření pro IKT incidenty
- Postupy oznamování incidentů regulačním orgánům
Komunikační plány:
- Postupy komunikace s klienty a zainteresovanými stranami
4. Testování digitální provozní odolnosti
Pravidelné testování odolnosti je klíčové pro ověření, zda společnost dokáže reagovat na kybernetické hrozby. Testování zahrnuje:
- Plán testování, který stanoví frekvenci a rozsah jednotlivých testů (vč. případných penetračních a zátěžových testů):
- Program a postupy testování digitální provozní odolnosti
5. Řízení vztahů s třetími stranami
Společnosti musí efektivně řídit rizika spojená s dodavateli IKT služeb. To zahrnuje:
Registr dodavatelů:
- Evidence všech externích dodavatelů a jejich rolí
- Bezpečnostní posouzení dodavatele IKT
Hodnocení a řízení rizik:
- Politika řízení rizik IKT spojených s třetími stranami
- Strategie a plány ukončení smluvního vztahu
- Plány přechodu k alternativnímu poskytovateli
- Strategie více dodavatelů IKT
Smluvní ujednání:
- Zajištění, aby smlouvy s dodavateli obsahovaly požadavky na bezpečnost a kontinuitu služeb
Jak vám můžeme pomoci?
Naše kancelář Vám poskytne kompletní podporu při implementaci nařízení DORA. Nabízíme:
- Hotovou sadu dokumentů, která obsahující veškeré výše uvedené strategie, politiky, směrnice a plány nezbytné pro splnění požadavků nařízení DORA.
- Právní podporu při nastavování interních procesů a smluvních vztahů s dodavateli.
- Individuální přizpůsobení předpisů – dokumentace je navržena tak, aby vyhovovala požadavkům regulace, ale zároveň byla flexibilní a snadno přizpůsobitelná konkrétním potřebám Vaší společnosti.
Buďte připraveni
Nařízení DORA začne platit již 17. ledna 2025. Čím dříve zahájíte jeho implementaci, tím lépe budete připraveni na případné kontroly a inspekce ze strany ČNB jako dohledového orgánu.
Neváhejte nás kontaktovat pro bližší informace a spolupráci. S naší pomocí budete plně v souladu s požadavky DORA a připraveni na budoucnost digitálního světa.