Služby
DORA: Nařízení EU o digitální provozní odolnosti finančních institucí
Cílem nového evropského nařízení DORA (Digital Operational Resilience Act) je zavést komplexní rámec pro harmonizaci procesů a standardů v oblasti digitální odolnosti ve finančním sektoru. Nařízení má rovněž vést k posílení autority dozorových orgánů a umožnit přímou kontrolu. V Deloitte pomáháme finančním institucím se na tuto novou regulaci připravit a nastavit všechny související firemní procesy, aby byly maximálně odolné vůči digitálním rizikům a plně v souladu s novými pravidly.
DORA je stěžejní iniciativou EU v oblasti digitální provozní a kybernetické odolnosti v sektoru finančních služeb. Nařízení zavádí jednotný soubor regulatorních a dohledových pravidel pro provozní odolnost informačních a komunikačních technologií ve finančním sektoru. Mimo jiné vyžaduje po finančních institucích významné investice do zlepšení odolnosti vůči digitálním a kybernetickým rizikům.
Nařízení bylo publikováno v Úředním věstníku Evropské unie dne 27. prosince 2022, v platnost vstupuje dne 16. ledna 2023. Od tohoto dne mají instituce 24 měsíců na zohlednění nových pravidel ve svých procesech.
Nové povinnosti budou vyžadovat především změnu přístupu vedoucích orgánů – ty budou mít za úkol posílit odolnost institucí vůči digitálním hrozbám, které se budou dynamicky vyvíjet, a minimalizovat zranitelnost obchodních modelů. Vedoucí orgány finančních institucí, ICT risk management a další lídři finančních institucí sehrají důležitou roli při vedení interních změn v reakci na požadavky DORA, jejich implementaci a při přijímání strategických investičních rozhodnutí nezbytných pro budování odolnosti.
Výše uvedené požadavky se vztahují na tradiční subjekty v oblasti finančních služeb, poskytovatele finančních technologií a rovněž externí poskytovatele služeb finančních společností.
Proč je dodržování požadavků klíčové?
Ačkoliv je využívání třetích stran pro finanční subjekty přínosné, rostoucí závislost má za následek odpovídající nárůst provozního rizika a potenciálu pro špatné řízení. Posílení provozní odolnosti širšího finančního sektoru je zásadní a je naším společným zájmem. Jako pokutu při porušení povinností je navíc možné uložit 1 % z průměrného denního celosvětového obratu.
Jak vám můžeme pomoci?
Odborníci společnosti Deloitte jsou připraveni podpořit soukromé i veřejné organizace při vytváření pevných pilířů provozní odolnosti, jak je navrhováno a požadováno nařízením DORA. Nabízíme komplexní, holistické služby, které mohou být pro vaši organizaci přínosem, a to od GAP analýzy až po samotnou implementaci
- Rámec řízení rizik. Aby organizace splnily požadavky DORA, budou muset mít zavedeny spolehlivé procesy řízení rizik. Deloitte vám pomůže sladit obchodní strategie a kybernetická rizika vaší organizace a udržovat komplexní a účinný rámec řízení rizik.
- Hlášení incidentů. Cílem DORA je harmonizovat procesy klasifikace a hlášení incidentů. Zásadní význam má včasné odhalení incidentů a rychlá reakce. Našim klientům proto pomáháme přizpůsobit se novým pravidlům EU v oblasti podávání zpráv a sladit v tomto směru interní procesy s cílem optimalizovat přidělování zdrojů.
- Testování odolnosti. DORA vyžaduje, aby finanční služby testovaly své systémy na základě souvisejících rizik. To zahrnuje skenování zranitelností a penetrační testy, stejně jako robustní testování kontinuity podnikání a zotavení se po havárii.
- Penetrační testování na základě hrozeb (TLPT) pro kritické hráče. Kybernetická praxe společnosti Deloitte ve střední Evropě poskytuje nejkvalitnější služby penetračního testování svého druhu, a to díky našim vysoce kvalifikovaným odborníkům a technologickému zázemí.
- Sdílení analýzy hrozeb. Aktivity v oblasti kybernetických hrozeb se často vztahují na více organizací ve finančním sektoru současně. Nařízení DORA, které se zaměřuje na sdílení informací o hrozbách, pomůže celému sektoru stát se zodpovědnějším a aktivnějším v obraně proti rostoucímu počtu rozmanitých kybernetických útoků. Našim klientům proto pomáháme s vývojem a integrací procesu sdílení informací o těchto hrozbách.
- Řízení rizik třetích stran (TPRM) a monitorování. Společnosti by měly posoudit, zda jejich strategie a plány reakce a obnovy rovněž odpovídajícím způsobem reagují na rozšířená pravidla vztahující se na řízení rizik v oblasti IKT. TPRM rámec společnosti Deloitte je založen na špičkových postupech a vychází z globálních regulačních požadavků. Poskytujeme tak našim klientům holistické řešení při řízení složitostí v rámci ekosystémů třetích stran. Díky implementaci TPRM platformy budou naši klienti využívat všech výhod komplexní technologické platformy, která kombinuje mobilní sběr dat, nástroje pro zlepšení výkonu na podnikové a jednotkové úrovni a reportingové a vizuální analytické dashboardy optimalizované pro mobilní zařízení.
- Výběr správného dodavatele nástroje GRC: Pokud chce náš klient zefektivnit proces dodržování předpisů DORA pomocí nástroje GRC, můžeme mu pomoci s výběrem dodavatele, abychom zajistili, že budou splněny všechny jeho potřeby.
Kontaktujte nás
