Jedním z hlavních požadavků DORA je zavedení strategií pro řízení ICT rizik a posílení ochrany před kybernetickými incidenty. Platební instituce budou muset splňovat vysoké standardy, které zaručí, že systémy budou schopné odolávat útokům a v případě potřeby zajistí rychlou obnovu operací. Kromě ochrany interních systémů se DORA zaměřuje i na řízení rizik spojených s třetími stranami, protože finanční instituce často využívají externí partnery pro provoz svých ICT služeb. Tímto způsobem nařízení zavádí také přísné požadavky na výběr, monitoring a samotné testování dodavatelů a subdodavatelů.

Implementace DORA sebou přinese také nové provozní náklady. Ty budou spojeny s povinným testováním digitální odolnosti a zavedením mechanismů na hlášení incidentů. Na druhou stranu však tyto kroky mohou v dlouhodobém horizontu zvýšit důvěryhodnost finančního sektoru a posílit klientskou důvěru. Pro instituce, které se rozhodly implementovat DORA včas, může tato regulace přinést i konkurenční výhodu.

Nařízení DORA se zásadně odlišuje od předešlých směrnic známých ve veřejném prostoru. Za všechny jmenujme například směrnici NIS2 nebo regulaci PSD3. Přestože všechna tato nařízení usilují o zvýšení bezpečnosti v evropském finančním a technologickém prostředí, mají výrazně odlišná zaměření. Směrnice NIS2 míří na široké spektrum sektorů, nejen platební instituce, a na bezpečnost kritické infrastruktury, kam spadají například energetika či zdravotnictví. Jejím cílem je zavedení obecných kybernetických standardů v celé EU. Oproti tomu DORA se úzce zaměřuje na finanční instituce a přináší detailní požadavky, které zahrnují řízení rizik třetích stran a přísné postupy při hlášení incidentů. DORA tak vyžaduje od finančních institucí specifické postupy a přísnější opatření, než jaké stanovuje NIS2 pro širší sektor kritické infrastruktury. PSD3 zase primárně podporuje inovace a transparentnost v platebních službách, zvyšuje ochranu spotřebitelů a zavádí nová opatření pro otevřené bankovnictví a přístup k platebním účtům. Cílem tedy není digitální odolnost nebo kybernetická bezpečnost finančních institucí, ale podpora konkurenceschopnosti a inovace.

Můžeme říct, že nařízení DORA klade důraz na zajištění kybernetické bezpečnosti v evropském finančním sektoru prostřednictvím důkladného řízení ICT rizik a kontroly dodavatelských vztahů. To zahrnuje například zavedení přísných požadavků na správu rizik spojených s externími dodavateli a pravidelné testování odolnosti ICT systémů (většina institucí bude muset začít provádět takzvané „threat-led penetration tests“ alespoň jednou za tři roky), což by mělo pomoci předejít kybernetickým útokům a narušením. Tento přístup může přispět ke zvýšení důvěry ve finanční instituce a dlouhodobě posílit bezpečnostní standardy v sektoru.

Na druhou stranu, implementace DORA může být pro mnoho insti­tu­cí, zejména těch menších, náročná a nákladná. Kritici poukazují na finanční a provozní zátěž spojenou s přísnými požadavky na testování a hlášení incidentů, což může představovat překážku pro firmy s omezenými zdroji. Přesto podle většiny odborníků je DORA krok správným směrem, který bude hrát významnou roli v posilování digitální odolnosti evropského finančního sektoru.

Matěj Novák Autor článku je CEO společnosti EasyChange a členem představenstva Fintechové asociace a předsedou správní rady české crowdfundingové asociace.