„Cílem regulace DORA je posílit digitální odolnost finančních institucí a jejich poskytovatelů významných a zásadních technologií, stanovit požadavky na řízení rizik v oblasti informačních a komunikačních technologií, testování provozní odolnosti a reakci na bezpečnostní incidenty, které by mohly ovlivnit finanční stabilitu,“ shrnuje Tomáš Kubíček z poradenské společnosti BDO.

Na konci ledna Evropská komise nicméně odmítla navrhované požadavky na subdodávky v oblasti ICT služeb podle nařízení DORA. Zamítnuty byly konkrétně článek 5 a odůvodnění 5 návrhu Regulačních technických standardů (RTS), protože podle Komise překračovaly původní právní rámec DORA.

Navrhovaná pravidla ukládala přísné podmínky pro využívání subdodavatelů v ICT službách a povinnost finančních institucí pečlivě monitorovat celé subdodavatelské řetězce. Komise však rozhodla, že tyto požadavky jdou nad rámec toho, co DORA původně stanovila, a zamítla je. Evropským orgánům dohledu (ESAs) následně dala šest týdnů na přepracování těchto pravidel.

Změna má na firmy, kterých se regulace týká, zásadní dopad. „Firmy, které už začaly přizpůsobovat své outsourcingové smlouvy, teď budou muset své plány přehodnotit. To může přinést dodatečné náklady a zmatek,“ komentuje Tomáš Kubíček.

Záro­veň pro firmy na­sta­lo urči­té ob­do­bí ne­jis­to­ty. „Než ESAs před­lo­ží novou verzi pra­vi­del, pa­nu­je ne­jis­to­ta. Pod­ni­ky ne­vě­dí, jak přes­ně se mají při­pra­vit, což může zpo­ma­lit jejich kroky ke zlep­še­ní digi­tál­ní bez­peč­nos­ti. Pokud nová pra­vid­la zmír­ní do­hled nad sub­do­da­va­te­li, může to osla­bit odol­nost vůči kyber­ne­tic­kým hroz­bám. Na­opak někte­ří po­sky­to­va­te­lé ICT slu­žeb mohou uví­tat větší fle­xi­bi­li­tu a nižší ná­kla­dy,“ hod­no­tí dále Tomáš Kubíček.

Co je DORA vlastně zač a na koho se vztahuje

DORA zavádí robustní a komplexní rámec, jehož cílem je zajistit, aby finanční subjekty a jejich poskytovatelé kritických technologií dokázali odolávat narušením souvisejícím s ICT, reagovat na ně a zotavit se z nich. „Vztahuje se na různorodé organizace včetně bank, pojišťoven, investičních společností, poskytovatelů platebních služeb a významných ICT dodavatelů, kteří poskytují základní technologické služby. Dopadla třeba ale i na loterijní společnosti nebo třeba velké prodejce automobilů zprostředkovávající finanční a pojišťovací služby,“ připomíná Tomáš Kubíček.

Nařízení je strukturováno do čtyř základních požadavků, které musí splňovat všechny dotčené subjekty. Podniky musí zavést spolehlivé rámce pro identifikaci, hodnocení a účinné zmírňování rizik v oblasti ICT. Dále musí zavést testování provozní odolnosti a hlášení incidentů. „Včasné odhalení je rozhodující pro minimalizaci dopadu možných narušení,“ říká Tomáš Kubíček. V neposlední řadě musí společnosti zajistit, aby jejich externí partneři dodržovali stejně vysoké standardy odolnosti, což zahrnuje pravidelné hodnocení rizik, sjednávání přísných smluvních podmínek a zavádění průběžných monitorovacích procesů.

Jaký lze očekávat dlouhodobý dopad nařízení DORA

„Zavedení standardu DORA coby vertikální regulace vedle směrnice NIS2 představuje významný milník, ale zároveň signalizuje širší posun směrem k větší odolnosti a odpovědnosti v celém finančním sektoru,“ shrnuje Tomáš Kubíček.

Soulad s nařízením DORA by měl být podle Tomáše Kubíčka vnímán jako součást trvalého závazku k digitální odolnosti, nikoli jako jednorázové úsilí. Vzhledem k tomu, že se regulační prostředí neustále vyvíjí, svět se čím dále tím víc přesouvá do digitálního prostoru, musí podniky zůstat proaktivní.

„Rozhodnutí Komise zamítnout pravidla zákona pro subdodávky má nicméně zásadní vliv zejména pro firmy, které jsou závislé na složitých subdodavatelských řetězcích. Ty budou muset sledovat, jaké změny přinese tato revize, a rychle se jí přizpůsobit. Jde o balanc mezi bezpečností a pružností – a jak se s tím finanční sektor vypořádá, ukáže až čas,“ uzavírá Tomáš Kubíček z BDO.