„Cílem regulace DORA je posílit digitální odolnost finančních institucí a jejich poskytovatelů významných a zásadních technologií, stanovit požadavky na řízení rizik v oblasti informačních a komunikačních technologií, testování provozní odolnosti a reakci na bezpečnostní incidenty, které by mohly ovlivnit finanční stabilitu,“ shrnuje Tomáš Kubíček z BDO.
Na konci ledna Evropská komise nicméně odmítla navrhované požadavky na subdodávky v oblasti ICT služeb podle Nařízení o digitální provozní odolnosti (DORA). Zamítnuty byly konkrétně článek 5 a odůvodnění 5 návrhu Regulačních technických standardů (RTS), protože podle Komise překračovaly původní právní rámec DORA.
Máme nové jméno
Populární ekonomicko-technický magazín CIO Business World od letošního roku změnil název na CIOtrends.
Navrhovaná pravidla ukládala přísné podmínky pro využívání subdodavatelů v ICT službách a povinnost finančních institucí pečlivě monitorovat celé subdodavatelské řetězce. Komise však rozhodla, že tyto požadavky jdou nad rámec toho, co DORA původně stanovila, a zamítla je. Evropským orgánům dohledu (ESAs) následně dala šest týdnů na přepracování těchto pravidel.
Změna má na firmy, kterých se regulace týká, zásadní dopad. „Firmy, které už začaly přizpůsobovat své outsourcingové smlouvy, teď budou muset své plány přehodnotit. To může přinést dodatečné náklady a zmatek,“ komentuje Kubíček.
Zároveň pro firmy nastalo určité období nejistoty. „Než ESAs předloží novou verzi pravidel, panuje nejistota. Podniky nevědí, jak přesně se mají připravit, což může zpomalit jejich kroky ke zlepšení digitální bezpečnosti,“ uvádí dále expert z BDO.
HP Knowledge HUB pro moderní firemní IT
NOVINKA Navštivte novou speciální on-line zónu CIO Business Worldu, kde vám ve spolupráci s HP budeme průběžně radit, jak snadno a bezpečně pracovat na cestách, jak si usnadnit život používám správných nástrojů, jak zvládnout přechod z kanceláří domů a zase nazpátek a jak se přitom chovat ekologicky.
Pomoc a inspiraci pro moderní IT najdete v našem HP Knowledge HUBu.
„Pokud nová pravidla zmírní dohled nad subdodavateli, může to oslabit odolnost vůči kybernetickým hrozbám. Naopak někteří poskytovatelé ICT služeb mohou uvítat větší flexibilitu a nižší náklady,“ hodnotí dále Tomáš Kubíček.
Co je DORA vlastně zač a na koho se vztahuje
DORA zavádí robustní a komplexní rámec, jehož cílem je zajistit, aby finanční subjekty a jejich poskytovatelé kritických technologií dokázali odolávat narušením souvisejícím s ICT, reagovat na ně a zotavit se z nich.
„Vztahuje se na různorodé organizace včetně bank, pojišťoven, investičních společností, poskytovatelů platebních služeb a významných ICT dodavatelů, kteří poskytují základní technologické služby. Dopadla třeba ale i na loterijní společnosti nebo třeba velké prodejce automobilů zprostředkovávající finanční a pojišťovací služby,“ připomíná Kubíček.
Nařízení je strukturováno do čtyř základních požadavků, které musí splňovat všechny dotčené subjekty. Podniky musí zavést spolehlivé rámce pro identifikaci, hodnocení a účinné zmírňování rizik v oblasti ICT. Dále musí zavést testování provozní odolnosti a hlášení incidentů.
„Včasné odhalení je rozhodující pro minimalizaci dopadu možných narušení,“ říká Kubíček. V neposlední řadě musí společnosti zajistit, aby jejich externí partneři dodržovali stejně vysoké standardy odolnosti, což zahrnuje pravidelné hodnocení rizik, sjednávání přísných smluvních podmínek a zavádění průběžných monitorovacích procesů.
Jaký lze očekávat dlouhodobý dopad nařízení DORA
„Zavedení standardu DORA coby vertikální regulace vedle směrnice NIS2 představuje významný milník, ale zároveň signalizuje širší posun směrem k větší odolnosti a odpovědnosti v celém finančním sektoru,“ shrnuje Tomáš Kubíček.
Chcete dostávat do mailu týdenní přehled článků z CIOtrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Přijetím zásad DORA mohou organizace vybudovat pevnější základy pro řízení rizik v oblasti informačních a komunikačních technologií, posílení provozní stability a ochranu před stále složitějším prostředím hrozeb.
„Toto nařízení není jen o splnění dnešních požadavků – jde o to, aby podnikání bylo připraveno na budoucnost. Ti, kteří investují do neustálého dodržování předpisů a odolnosti, mohou získat konkurenční výhody, včetně lepší důvěry zainteresovaných stran, silnější důvěry zákazníků a nižšího vystavení rizikům,“ komentuje Kubíček.
Vzhledem k tomu, že se regulační prostředí neustále vyvíjí, svět se čím dále tím víc přesouvá do digitálního prostoru, musí podniky zůstat proaktivní. Soulad s nařízením DORA by měl být podle Tomáše Kubíčka vnímán jako součást trvalého závazku k digitální odolnosti, nikoli jako jednorázové úsilí.
„Rozhodnutí Komise zamítnout pravidla zákona pro subdodávky má nicméně zásadní vliv zejména pro firmy, které jsou závislé na složitých subdodavatelských řetězcích. Ty budou muset sledovat, jaké změny přinese tato revize, a rychle se jí přizpůsobit. Jde o balanc mezi bezpečností a pružností – a jak se s tím finanční sektor vypořádá, ukáže až čas,“ uzavírá Tomáš Kubíček z BDO.
CIOtrends si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU