Aktuality -> Analýzy - 17. 12. 2024 - Matěj Novák

Nařízení DORA přispěje ke zvýšení odolnosti a důvěry, ale pro finanční instituce představuje velkou zátěž

DORAEvropské nařízení o digitální provozní odolnosti, známé jako DORA je stěžejním iniciativou v sektoru digitální a kybernetické odolnosti finančních služeb. Norma zavádí komplexní rámec pro řízení IT rizik a oficiálně vstoupí v platnost v lednu 2025. Nařízení se týká primárně platebních institucí jako jsou banky, pojišťovny a investiční podniky. Zajišťuje jejich odolnost vůči současným kybernetickým hrozbám, technickým poruchám a dalším rizikům, které v digitálním prostředí neustále narůstají.



Jedním z hlavních požadavků DORA je zavedení strategií pro řízení ICT rizik a posílení ochrany před kybernetickými incidenty. Platební instituce budou muset splňovat vysoké standardy, které zaručí, že systémy budou schopné odolávat útokům a v případě potřeby zajistí rychlou obnovu operací. Kromě ochrany interních systémů se DORA zaměřuje i na řízení rizik spojených s třetími stranami, protože finanční instituce často využívají externí partnery pro provoz svých ICT služeb. Tímto způsobem nařízení zavádí také přísné požadavky na výběr, monitoring a samotné testování dodavatelů a subdodavatelů.

Implementace DORA sebou přinese také nové provozní náklady. Ty budou spojeny s povinným testováním digitální odolnosti a zavedením mechanismů na hlášení incidentů. Na druhou stranu však tyto kroky mohou v dlouhodobém horizontu zvýšit důvěryhodnost finančního sektoru a posílit klientskou důvěru. Pro instituce, které se rozhodly implementovat DORA včas, může tato regulace přinést i konkurenční výhodu.

Nařízení DORA se zásadně odlišuje od předešlých směrnic známých ve veřejném prostoru. Za všechny jmenujme například směrnici NIS2 nebo regulaci PSD3. Přestože všechna tato nařízení usilují o zvýšení bezpečnosti v evropském finančním a technologickém prostředí, mají výrazně odlišná zaměření. Směrnice NIS2 míří na široké spektrum sektorů, nejen platební instituce, a na bezpečnost kritické infrastruktury, kam spadají například energetika či zdravotnictví. Jejím cílem je zavedení obecných kybernetických standardů v celé EU. Oproti tomu DORA se úzce zaměřuje na finanční instituce a přináší detailní požadavky, které zahrnují řízení rizik třetích stran a přísné postupy při hlášení incidentů. DORA tak vyžaduje od finančních institucí specifické postupy a přísnější opatření, než jaké stanovuje NIS2 pro širší sektor kritické infrastruktury. PSD3 zase primárně podporuje inovace a transparentnost v platebních službách, zvyšuje ochranu spotřebitelů a zavádí nová opatření pro otevřené bankovnictví a přístup k platebním účtům. Cílem tedy není digitální odolnost nebo kybernetická bezpečnost finančních institucí, ale podpora konkurenceschopnosti a inovace.

Můžeme říct, že nařízení DORA klade důraz na zajištění kybernetické bezpečnosti v evropském finančním sektoru prostřednictvím důkladného řízení ICT rizik a kontroly dodavatelských vztahů. To zahrnuje například zavedení přísných požadavků na správu rizik spojených s externími dodavateli a pravidelné testování odolnosti ICT systémů (většina institucí bude muset začít provádět takzvané „threat-led penetration tests“ alespoň jednou za tři roky), což by mělo pomoci předejít kybernetickým útokům a narušením. Tento přístup může přispět ke zvýšení důvěry ve finanční instituce a dlouhodobě posílit bezpečnostní standardy v sektoru.

Na druhou stranu, implementace DORA může být pro mnoho insti­tu­cí, zejména těch menších, náročná a nákladná. Kritici poukazují na finanční a provozní zátěž spojenou s přísnými požadavky na testování a hlášení incidentů, což může představovat překážku pro firmy s omezenými zdroji. Přesto podle většiny odborníků je DORA krok správným směrem, který bude hrát významnou roli v posilování digitální odolnosti evropského finančního sektoru.

Matěj Novák Matěj Novák
Autor článku je CEO společnosti EasyChange a členem představenstva Fintechové asociace a předsedou správní rady české crowdfundingové asociace.

 
  

- PR -

Aby AI ve firmách uspěla, musí stát na pevných datových základech

Digitalizace výrobních podniků už dávno není jen otázkou automatizace jednotlivých procesů. Stále více firem si uvědomuje, že skutečná konkurenční výhoda vzniká teprve tehdy, když dokážou propojit výrobní technologie, informační systémy, data a lidské rozhodování do jednoho funkčního celku. Významná část aktuálního vydání IT Systems je proto věnována moderním přístupům k řízení výroby.

  

- PR -

ZoKB vám neřekne, že jste pod útokem, Progress Flowmon ano

Nový zákon o kybernetické bezpečnosti (ZoKB), který vychází z evropské směrnice NIS2, přináší pro řadu organizací nové povinnosti v oblasti řízení kybernetických rizik. Aktualizují bezpečnostní politiky, nastavují procesy řízení rizik, posilují ochranu kritických systémů a připravují se na nové regulatorní povinnosti. Přesto existuje skutečnost, o které se v souvislosti s ZoKB mluví překvapivě málo. Firma může splňovat všechny požadavky nového zákona o kybernetické bezpečnosti, a přesto neodhalit laterální pohyb útočníka, zneužití privilegovaného účtu nebo probíhající exfiltraci dat.

Časopis IT Systems / Odborná příloha Kalendář akcí
   červenec - 2026   
Po Út St Čt So Ne
  12345
6789101112
13141516171819
20212223242526
272829303112
3456789
RSS kanál