Nařízení DORA (Digital Operational Resilience Act) bylo zavedeno s cílem posílit kybernetickou odolnost finančních institucí a motivovat finanční sektor k systematickému zabývání se kybernetickými riziky a potenciálními hrozbami.
Jaký to bude mít vliv na běžného uživatele?
Nařízení DORA zvyšuje bezpečnost v oblasti finančních služeb a mělo by uživatelům přinést větší pocit ochrany. Očekává se, že instituce začnou vzdělávat uživatele o bezpečnostních rizicích a implementují lepší metody přihlašování a notifikací.
Nicméně, uživatelé zůstávají slabým článkem, protože útočníci se často zaměřují na koncové uživatele. Je důležité, aby vlády a instituce pracovaly na vzdělávacích programech pro zvyšování digitální gramotnosti a bezpečnosti.
Proč je to důležité?
Důvod, proč je DORA nyní tak důležitá, spočívá v prudkém nárůstu kyberútoků a nových digitálních hrozbách, které se objevily v posledních letech (kvůli válce na Ukrajině, rychlému rozvoji digitální identity, pandemie COVID-19, která poslala většinu našeho života do online prostředí, jsme zažili prudký nárůst kyberútoků.
DORA vyžaduje, aby se kybernetická bezpečnost zajišťovala v celém řetězci: od interních IT systémů až po služby poskytované třetími stranami. Tento přístup pomáhá chránit finanční instituce před komplexními hrozbami, které by mohly ohrozit nejen jednotlivé organizace, ale i širší finanční stabilitu.
DORA přináší několik důležitých požadavků, které musí finanční instituce splnit:
- Povinnost zajištění kybernetické odolnosti a dostupnosti: Organizace by měly mít mechanismy pro nepřetržitou dostupnost základních služeb, i v případě kybernetického incidentu.
- Plány obnovy kritických služeb: Instituce musí vypracovat plány, které zajistí co nejrychlejší obnovu služeb po kybernetických útocích.
- Předvídání a prevence kybernetických rizik: Organizace musí pravidelně analyzovat rizika a přijímat opatření k prevenci incidentů.
- Pravidelné penetrační testy: DORA požaduje testování kybernetické odolnosti systémů, aby se ověřila jejich připravenost na různé typy útoků.
- Povinnost hlášení kybernetických incidentů: Zavádí se povinnost hlášení incidentů a možnost sdílení informací o hrozbách mezi institucemi, čímž se zvyšuje jejich připravenost.
- Sledování technologického vývoje: Finanční instituce mají sledovat a vyhodnocovat aktuální technologický vývoj, aby jejich bezpečnostní opatření nebyla zastaralá.
- Proporcionalita regulace: Pravidla jsou aplikována proporcionálně podle velikosti a významu organizace.
Jak může nařízení dopadnout na technologické poskytovatele?
Na jiné subjekty než na finanční instituce a poskytovatele služeb informačních a komunikačních technologií (IKT) se nařízení DORA bude vztahovat hlavně zprostředkovaně, neboť nařízení DORA ve své Kapitole V stanoví pravidla zapojení poskytovatelů služeb IKT z řad třetích stran. Čl. 30 stanoví minimální obsahové náležitosti smluv uzavřených mezi finančními institucemi a poskytovateli služeb IKT.
Co se týče obsahu smluvně přenášených povinností, ty se budou týkat zejména přesného vymezení služeb a SLA parametrů, ochrany všech dat (nejen osobních údajů), zajištění jejich důvěrnosti, integrity a dostupnosti, dále se budou týkat povinnosti migrace dat po zániku smlouvy a obecně služeb exitu, rozšíření povinnosti spolupráce ve vztahu ke školením, auditům a jiným kontrolám plnění povinností IKT.
Velkou oblast tvoří také pravidla zapojování subdodavatelů či jejich změna v průběhu plnění smlouvy.
Co můžeme očekávat dál?
DORA také přetváří odpovědnost za kyberbezpečnost. Hlavním cílem České národní banky je zajistit, aby tuto odpovědnost neslo nejvyšší vedení firem – členové představenstva a statutáři. Tito vedoucí pracovníci budou muset zajistit, že jejich organizace dodržují přísné bezpečnostní standardy, což posílí odpovědnost na nejvyšší úrovni a zajistí efektivnější řízení kybernetických rizik. Tím se očekává, že se kybernetická bezpečnost stane nedílnou součástí strategického plánování ve finančních institucích.
Jak může pomoci Monet+? Pomáháme finančním institucím a jejich partnerům chránit citlivá data a systémy:
➡️ Bezpečný vývoj: Pomáháme s nastavením procesů pro bezpečné vytváření softwaru.
➡️ Lepší ochrana dat: Zajišťujeme šifrování a ochranu klíčových informací pomocí moderních bezpečnostních technologií, včetně post-kvantové kryptografie.
➡️ Bezpečný přístup: Nabízíme řešení pro dvoufaktorovou autentizaci (2FA), správu identit a bezpečný přístup k citlivým systémům. Poskytujeme i nástroje využitelné v rámci PSD2 (např. Identity Provider pro autentizaci).
➡️ Ochrana online služeb: Pomáháme s bezpečnou správou klientských účtů, onboardingem uživatelů a ochranou aplikací třetích stran.
➡️ Jednodušší vývoj: Dodáváme nástroje (SDK) pro snadnější splnění bezpečnostních a regulatorních požadavků.