Služby

DORA: Nařízení EU o digitální provozní odolnosti finančních institucí

Dne 24. září 2020 Evropská komise zveřejnila svůj návrh nařízení o digitální provozní odolnosti finančního sektoru (DORA). Tento legislativní návrh vychází z existujících požadavků risk managementu v oblasti informačních a komunikačních technologií (IKT), které již byly vytvořeny jinými institucemi v rámci EU, a spojuje několik nedávných iniciativ EU do jednoho nařízení.

Cílem nařízení DORA je poskytnout komplexní rámec pro harmonizaci procesů a standardů v oblasti digitální odolnosti ve finančním sektoru. DORA má rovněž vést k posílení autority dozorových orgánů a umožnit přímou kontrolu.

Výše uvedené požadavky se vztahují na tradiční subjekty v oblasti finančních služeb, poskytovatele finančních technologií a rovněž externí poskytovatele služeb finančních společností.

Návrh byl revidován Evropským parlamentem a Radou EU. Předběžná politická dohoda byla dosažena 10. května 2022. Následovat budou diskuze na úrovni expertních skupin za účelem finalizace znění jednotlivých částí nařízení. Jakmile nařízení DORA nabyde účinnosti, jeho požadavky budou platné ve všech 27 členských státech EU jako výraz regulace a prosazování předpisů v oblasti řízení externích poskytovatelů IKT služeb a vyplývajících rizik s možnými sankčními postihy.

Proč je dodržování požadavků klíčové?

Ačkoliv je využívání třetích stran pro finanční subjekty přínosné, rostoucí závislost má za následek odpovídající nárůst provozního rizika a potenciálu pro špatné řízení. Posílení provozní odolnosti širšího finančního sektoru je zásadní a je naším společným zájmem.

Jako pokutu při porušení povinností je možné uložit 1 % z průměrného denního celosvětového obratu. Ačkoli bude organizacím povolena odkladná lhůta v trvání 12 až 18 měsíců, včasná příprava by mohla být klíčová. 

Jak vám můžeme pomoci?

Odborníci společnosti Deloitte jsou připraveni podpořit soukromé i veřejné organizace při vytváření pevných pilířů provozní odolnosti, jak je navrhováno a požadováno nařízením DORA. Nabízíme komplexní, holistické služby, které mohou být pro vaši organizaci přínosem, a to od GAP analýzy až po samotnou implementaci

  • Rámec řízení rizik. Aby organizace splnily požadavky DORA, budou muset mít zavedeny spolehlivé procesy řízení rizik. Deloitte vám pomůže sladit obchodní strategie a kybernetická rizika vaší organizace a udržovat komplexní a účinný rámec řízení rizik.
  • Hlášení incidentů. Cílem DORA je harmonizovat procesy klasifikace a hlášení incidentů. Zásadní význam má včasné odhalení incidentů a rychlá reakce. Našim klientům proto pomáháme přizpůsobit se novým pravidlům EU v oblasti podávání zpráv a sladit v tomto směru interní procesy s cílem optimalizovat přidělování zdrojů.
  • Testování odolnosti. DORA vyžaduje, aby finanční služby testovaly své systémy na základě souvisejících rizik. To zahrnuje skenování zranitelností a penetrační testy, stejně jako robustní testování kontinuity podnikání a zotavení se po havárii.
  • Penetrační testování na základě hrozeb (TLPT) pro kritické hráče. Kybernetická praxe společnosti Deloitte ve střední Evropě poskytuje nejkvalitnější služby penetračního testování svého druhu, a to díky našim vysoce kvalifikovaným odborníkům a technologickému zázemí.
  • Sdílení analýzy hrozeb. Aktivity v oblasti kybernetických hrozeb se často vztahují na více organizací ve finančním sektoru současně. Nařízení DORA, které se zaměřuje na sdílení informací o hrozbách, pomůže celému sektoru stát se zodpovědnějším a aktivnějším v obraně proti rostoucímu počtu rozmanitých kybernetických útoků. Našim klientům proto pomáháme s vývojem a integrací procesu sdílení informací o těchto hrozbách.
  • Řízení rizik třetích stran (TPRM) a monitorování. Společnosti by měly posoudit, zda jejich strategie a plány reakce a obnovy rovněž odpovídajícím způsobem reagují na rozšířená pravidla vztahující se na řízení rizik v oblasti IKT. TPRM rámec společnosti Deloitte je založen na špičkových postupech a vychází z globálních regulačních požadavků. Poskytujeme tak našim klientům holistické řešení při řízení složitostí v rámci ekosystémů třetích stran. Díky implementaci TPRM platformy budou naši klienti využívat všech výhod komplexní technologické platformy, která kombinuje mobilní sběr dat, nástroje pro zlepšení výkonu na podnikové a jednotkové úrovni a reportingové a vizuální analytické dashboardy optimalizované pro mobilní zařízení.

Kontaktujte nás

Martin Kubačka

Martin Kubačka

Ředitel

Martin je vedoucím úseku pro provozní rizika v rámci oddělení Řízení rizik naší pražské kanceláře a působí v oblasti ochrany dat, regulatorní compliance, GRC, rozšířeného řízení podnikových rizik a ud... více

Jakub Höll

Jakub Höll

Senior manažer

Jakub působí jako senior manažer v oblasti operačních rizik v oddělení Risk Advisory, Deloitte Česká republika. Zaměřuje se na řízení projektů, agilní transformaci společností, ochranu osobních údajů,... více