Co přinese DORA? Nejvýznamnější poskytovatelé cloudu se dostanou pod dohled orgánů
Evropská komise v roce 2020 zveřejnila návrh Nařízení o digitální provozní odolnosti (finančního sektoru), které má zlepšit situaci v oblasti kybernetických rizik v zemích EU. Finální podoba Digital Operational Resilience for the Financial Sector (nebo také Digital Operational Resilience Act, DORA) má být přijata v roce 2022. Ve světě cloudových služeb pro finanční instituce zavede nařízení několik zajímavých novinek. Podívejme se na ně.
Jan Kubíček
Co je to „digitální provozní odolnost“?
Návrh DORA je součástí balíčku právních předpisů Digitální finance, který má za cíl podpořit konkurenceschopnost a inovativnost digitálních finančních služeb. Digitální provozní odolností se v návrhu rozumí schopnost finanční instituce budovat, zajišťovat a revidovat svoji provozní integritu z technologického hlediska.
Nařízení se proto soustřeďuje na:
- řízení rizik v oblasti informačních a komunikačních technologií (IKT)
- testování digitální provozní odolnosti finančních institucí
- hlášení závažných IKT incidentů orgánům
- sdílení informací souvisejících s kybernetickými hrozbami a zranitelnými místy
K návrhu nařízení se už celkem příznivě na svém webu organizace ECUC.
Řízení IKT rizik finančních institucí podle DORA
Co vás jako finanční instituci čeká? DORA začíná požadavkem, abyste měli připravené interní řídicí a kontrolní rámce pro účinné a obezřetné řízení všech rizik v oblasti IKT. Nejprve tedy musíte vypracovat následující dokumenty:
- Strategie
- Politiky
- Postupy
- Protokoly
- Nástroje
Pokud vám některý z dokumentů chybí, nedokážete dost dobře uřídit IKT rizika tak, abyste vždy zajistili rychlou a odpovídající reakci.
Nejprve přijměte strategii digitální odolnosti, která zahrnuje metody řešení rizik IKT a plnění stanovených cílů. Do těch patří např. bezpečnost informací, nepřekročení zvolené úrovně tolerance rizika, zavedení mechanismů pro odhalování IKT incidentů, ochrana před nimi apod.
Svou digitální provozní odolnost testujte a pro případy IKT incidentů mějte připravenou komunikační strategii.
Také si definujte svůj přístup k IKT dodavatelům, které využíváte – a udržujte si přehled o klíčových závislostech.
DORA také upravuje a sjednocuje systém hlášení incidentů IKT a stanovení jejich dopadu.
Hlavně však DORA zavádí klasifikaci poskytovatelů IKT služeb. Proč je to významná novinka?
Pod dohledem už nebudou jen banky, ale i jejich klíčoví dodavatelé
Společnosti patřící do skupiny Amazonu či Microsoftu se podle všeho brzy dostanou přímo pod dohled evropských dohledových orgánů (jako je např. EBA).
Návrh nařízení totiž nestanovuje povinnosti jen finančním institucím, ale i jejich významným IKT poskytovatelům – tedy poskytovatelům softwaru, analýz dat, datových center i poskytovatelům cloudových služeb (ne však poskytovatelům internetového připojení nebo hardwaru).
Evropské dohledové orgány určí, kteří poskytovatelé služeb IKT jsou pro finanční instituce kritičtí. A podle toho, jaké subjekty mezi zákazníky daného poskytovatele převažují, mu také přidělí hlavní orgán dohledu – tím bude EBA, ESMA nebo EIOPA.
EBA, ESMA nebo EIOPA? Kritériem pro přidělení hlavního orgánu dohledu bude celková hodnota aktiv finančních subjektů. Pokud přesáhne polovinu hodnoty aktiv všech finančních subjektů, které služby daného kritického poskytovatele služeb využívají, bude orgánem dohledu orgán, který dohlíží právě na tyto finanční subjekty. (Návrh nařízení pro kritického poskytovatele služeb používá ve většině případů označení „kritická třetí strana poskytující služby IKT“.)
Evropské orgány vytvoří společný výbor, který bude každý rok zveřejňovat aktuální seznam kritických dodavatelů IKT služeb pro finanční instituce. Dodavatelé, kteří na něm nebudou, mohou o zapsání do tohoto seznamu požádat.
Odstavec 9 článku 28 DORA pak finančním institucím dokonce zakazuje využívat určité poskytovatele IKT služeb. Jde o poskytovatele, kteří jsou usazení ve třetí zemi (tj. mimo EU), pokud by v případě, že by byli usazeni v EU, byli označeni za kritického poskytovatele (čili – slovy návrhu nařízení – byli označeni za „kritickou třetí stranu poskytující služby IKT“).
Jak poznáte, že je dodavatel kritickým poskytovatelem IKT služeb?
Poznáte to tak, že dodavatel bude na uveden na seznamu zveřejněném společným výborem evropských orgánů. Zda se na seznam dostane, to záleží na několika faktorech:
- Systémový dopad poskytovatele na stabilitu, kontinuitu a kvalitu finančních služeb v případě jeho nenadálého problému
- Systémová významnost finančních institucí, které služby dodavatele využívají
- Koncentrace – tedy míra závislosti na jednom a tom samém poskytovateli v souvislosti se zajištěním důležitých funkcí finanční instituce
- Míra nahraditelnosti konkrétního poskytovatele
Podívejme se na tyto faktory trochu podrobněji:
U systémového dopadu a systémové významnosti bude důležité následující:
- Počet finančních institucí, případně počet globálně systémově významných institucí nebo jiných systémově významných institucí, které na daného dodavatele spoléhají
- Vzájemná závislost těchto systémově významných institucí a dalších finančních subjektů
U koncentrace bude roli hrát to, zda služby jednoho dodavatele slouží k zajištění zásadních nebo důležitých funkcí finančních subjektů. A přitom nezáleží na tom, zda to je kritický dodavatel zapojený přímo nebo nepřímo jako subdodavatel.
Kritérium nahraditelnosti kritického dodavatele znamená, že výbor zváží faktory jako jsou:
- Nedostatek reálných alternativ k danému poskytovateli na konkrétním trhu
- Technická složitost či sofistikovanost poskytovaných služeb či specifické vlastnosti kritického dodavatele jako organizace (nebo jeho činnosti)
- Obtížná migrace dat a pracovních úkolů při přechodu k jinému dodavateli (kvůli vysokým finančním nákladům, zvýšeným operačním rizikům nebo např. časové náročnosti)
A konečně do úvahy vstoupí také počet zemí EU, ve kterých dodavatel poskytuje své IKT služby, stejně jako počet zemí EU, ve kterých působí finanční instituce, které služby dodavatele využívají.
Zdroj: freepik.com
V rámci DORA se hlavní orgán dohledu zaměří na rizika pro finanční instituce
Úkolem hlavního orgánu dohledu bude posuzovat, jak mají kritičtí dodavatelé IKT služeb vaší finanční instituce ošetřena rizika, která pro vás mohou představovat.
Konkrétně půjde podle článku 30 DORA o tyto oblasti:
- Bezpečnost, dostupnost, kontinuita, škálovatelnost a kvalita služeb
- Schopnost nepřetržitě dodržovat vysoké standardy pro bezpečnost, důvěrnost a integritu dat
- Fyzické zabezpečení areálů, zařízení a datových center
- Strategie řízení rizik, plány na zachování provozu a plány obnovy
- Jasné rozdělení odpovědnosti v řízení rizik v organizační struktuře
- Spolehlivé hlášení incidentů finančním institucím
- Spolehlivé řešení incidentů (hlavně kybernetických útoků)
- Zajištění účinné možnosti vypovědět smlouvu ze strany finanční instituce (tzn. přenositelnost dat a přenositelnost i interoperabilita aplikací)
- Testování systémů, IKT audity a také soulad s relevantními vnitrostátními a mezinárodními normami
Co bude orgán dohledu po kritickém dodavateli chtít?
Orgán dohledu vypracuje pro kritického poskytovatele individuální plán dohledu a poskytovatele s ním seznámí.
Také ho bude moci požádat o informace a dokumentaci, bude moci provádět šetření a kontroly, vydávat doporučení (např. ohledně bezpečnostních opatření nebo smluvních podmínek) a omezit využívání subdodavatelů (např. pokud je subdodavatel IKT usazený ve třetí zemi).
A aby toho nebylo málo, bude dohledový orgán vybírat od poskytovatele poplatky na úhradu nákladů spojených s dohledem.
Zajímavost: Maximální sankce u DORA je nižší než u GDPR
DORA také opravňuje dohledový orgán k uložení sankce kritickému poskytovateli IKT služeb. Kdy? Tehdy, pokud poskytovatel:
- neposkytne informace a dokumentaci
- neumožní šetření a kontrolu
- neodevzdá zprávu o nápravě na základě doporučení orgánu dohledu
Pokuty bude moci orgán ukládat každý den až po dobu 6 měsíců. Denní sazba přitom představuje 1 % průměrného denního celosvětového obratu daného kritického poskytovatele. Sankce se tak může po 6 měsících vyšplhat až na maximálně cca 0,5 % celosvětového ročního obratu poskytovatele za předešlý rok.
Pro srovnání: při porušení povinností stanovených GDPR může sankce dosáhnout až 4 % z celosvětového ročního obratu provinilé organizace. Maximální sankce podle DORA je tak zhruba 8krát nižší.
Výše uvedené platí, pokud porovnáváme pokuty určené procentem z obratu. GDPR totiž umožňuje uložit ještě vyšší pevně stanovenou částku. Abyste se vyhnuli pokutě, přečtěte si v Encyklopedii cloudu, k čemu jsou dobré standardní smluvní doložky nebo jak na předávání osobních údajů do zemí mimo EU.
Vývoj technologií a jejich regulací stále sledujeme
Všichni jsme zvyklí na to, že právní úprava leckdy znesnadňuje zavádění nových technologií do praxe. Bývá totiž těžké rozhodnout, kdy přesně novou technologii začít regulovat. Nesmí to být příliš brzy, aby regulace novou technologii nezadusila. Nesmí to však být ani příliš pozdě, aby mezitím už technologie nezpůsobila hodně škody. O tom bylo v posledních letech napsáno hodně literatury.
I proto jsme v ORBITu zvědaví, jak se právní prostředí v oblasti poskytovatelů IKT služeb, kybernetické bezpečnosti a řízení rizik bude vyvíjet. Vývoj týkající se regulace cloudových služeb proto budeme dál sledovat a o důležitých změnách vám dáme vědět.
Právní povinnosti a požadavky tvoří důležitou součást compliance studie, kterou v ORBITu zpracováváme pro klienty z řad finančních institucí. Pomáháme jim tak realizovat lokální i mezinárodními projekty zaměřené na cloud journey či implementaci cloudových řešení.
Rádi se zpracováním compliance studie pomůžeme i vaší organizaci.
PS: Kdybyste si třeba chtěli nechat udělat zvětšeninu na zeď, zde jsou pro pořádek odkazy na použité obrázky: header (žena v bílém), modrá ruka a dřevěné kostky.
EDIT 30. 5. 2023: Jestlipak někdo ví, co s DORA udělají RTS?
Regulační technické standrady (RTS) už co nevidět ovlivní podobu, jakou bude mít Nařízení o digitální provozní odolnosti v reálném životě. A nervozita finančních institucí stoupá.
Jaké obavy se na trhu objevují nejčastěji? Jak se na ně připravit, když je informací i času málo? Bezradnost rozhodně není na místě – minimálně poté, co kolegyně Dana Yussupova sepsala cenné rady do jednoho článku.