Od 14. decembra 2022 je platné Nariadenie Európskeho parlamentu a Rady (EÚ) č. 2022/2554 o digitálnej prevádzkovej odolnosti finančného sektora („DORA“). DORA sa bude uplatňovať od 17. januára 2025. Do tejto doby majú finančné subjekty čas implementovať všetky požiadavky a procesy, ktoré im DORA ukladá.
DORA má za cieľ zabezpečiť zvýšenie digitálnej odolnosti finančných subjektov a nepredstavuje reguláciu na zelenej lúke. DORA sa vzťahuje napríklad na banky, platobné inštitúcie, investičné spoločnosti, správcovské spoločnosti a poisťovne. DORA pritom nenahrádza existujúcu reguláciu EÚ upravujúcu ochranu a bezpečnosť údajov (napr. GDPR, NIS).
Finančné subjekty sa témou digitálnej odolnosti zaoberajú už dlhodobo a obdobné procesy majú zavedené v rámci svojho risk manažmentu v oblasti digitálnej prevádzkovej odolnosti. Avšak, finančné subjekty budú povinné ich zosúladiť s požiadavkami stanovenými priamo v DORA alebo v regulačných a technických predpisoch. Kontroly súladu finančných subjektov a externých poskytovateľov služieb informačno-komunikačných technológií („IKT“) s reguláciou DORA budú vykonávať regulačné orgány. Finančný subjekt bude môcť outsourcovať plnenie jeho povinnosti podľa DORA na externých poskytovateľov IKT služieb, ktorých určí orgán dohľadu EÚ.
Pre menšie finančné subjekty môže byť DORA síce novinkou, avšak adaptácia na jej požiadavky zabezpečí aj pre takéto subjekty možnosť efektívne čeliť prípadným kybernetickým hrozbám. DORA sa vzťahuje takmer na všetky typy finančných subjektov, i keď ustanovuje drobné výnimky z jej uplatňovania. Zavádza princíp proporcionality, v zmysle ktorého budú finančné subjekty pri plnení požiadaviek DORA zohľadňovať svoju veľkosť a celkový rizikový profil, ako aj povahu, rozsah a zložitosť svojich služieb, činností a operácií.
Podľa správy Európskeho výboru pre systémové riziká z roku 2020, súčasná vysoká úroveň prepojenosti medzi finančnými subjektmi, finančnými trhmi a infraštruktúrami finančného trhu, a najmä vzájomná závislosť ich IKT systémov, by mohla predstavovať systémovú zraniteľnosť, pretože lokalizované kybernetické incidenty by sa mohli rýchlo rozšíriť z ktoréhokoľvek z približne 22 000 finančných subjektov Únie do celého finančného systému, a to bez ohľadu na geografické hranice. Vzhľadom na to, DORA presúva pozornosť od finančného zdravia finančných subjektov na ich udržateľnú prevádzku, a to aj v prípade kritického narušenia fungovania ich infraštruktúry v dôsledku kybernetického útoku alebo iného rizika.
DORA upravuje najmä nasledovné kľúčové oblasti:
Pre zväčšenie kliknite na obrázok
Nedodržanie požiadaviek DORA je okrem iného dôvodom na uloženie sankcie v sume 1 % denného obratu dotknutého finančného subjektu až na šesť mesiacov.
O príprave novej legislatívy na európskej úrovni sme vás už informovali v predchádzajúcom článku.
Autori článku
Marian Dzuroška
Associate Partner, Legal
Tobiáš Bulla
Consultant, Legal
Kontaktujte nás
V prípade Vášho záujmu o naše služby ohľadom konzultácie v súvislosti s Nariadením DORA nás, prosím, neváhajte kontaktovať. Radi Vám poskytneme naše služby.
