Digitální provozní odolnost finančního sektoru

PŘEHLED DOKUMENTU:

Nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru

CO JE CÍLEM NAŘÍZENÍ?

Stanoví jednotná pravidla pro bezpečnost sítí a informačních systémů finančních subjektů, jako jsou banky, pojišťovny a investiční podniky.

Vztahuje se na široké spektrum regulovaných finančních subjektů Evropské unie (EU) a vyžaduje od nich, aby byly schopny odolávat všem typům narušení a hrozeb souvisejících s informačními a komunikačními technologiemi (IKT), reagovat na ně a zotavit se z nich.

KLÍČOVÉ BODY

Oblast působnosti

Nařízení se vztahuje na:

• úvěrové a platební instituce, instituce elektronických peněz a instituce zaměstnaneckého penzijního pojištění,
• poskytovatele služeb informování o účtu, služeb souvisejících s kryptoaktivy, služeb hlášení údajů, služeb skupinového financování a služeb IKT z řad třetích stran,
• investiční podniky, alternativní investiční fondy, správcovské společnosti, ratingové agentury a správce kritických referenčních hodnot,
• registry obchodních údajů a sekuritizací, centrální depozitáře cenných papírů, ústřední protistrany a obchodní systémy,
• zprostředkovatele pojištění a zajištění.

Řízení rizika v oblasti IKT

Finanční subjekty, jiné než mikropodniky, mají tyto povinnosti:

• mít zavedena interní řídicí a kontrolní opatření, která zajistí účinné a obezřetné řízení rizika v oblasti IKT,
• zajistit, aby jejich vedoucí orgán stanovil a schvaloval veškerá příslušná opatření, dohlížel na ně a odpovídal za ně,
• mít zaveden spolehlivý, ucelený a dobře zdokumentovaný rámec pro řízení rizika v oblasti IKT s nezbytnými strategiemi, politikami, postupy, protokoly a nástroji k rychlé a účinné reakci,
• používat a udržovat aktualizované systémy, protokoly a nástroje IKT, které jsou vhodné, spolehlivé, technologicky odolné a mají dostatečné kapacity,
• Identifikovat, klasifikovat a náležitě zdokumentovat veškeré obchodní funkce, úlohy a povinnosti podporované IKT a revidovat scénáře rizik,
• nepřetržitě sledovat bezpečnost a fungování systémů a nástrojů IKT s cílem minimalizovat dopad rizika v oblasti IKT,
• včas detekovat anomálie a identifikovat potenciální kritická místa,
• zavést komplexní politiku zachování provozu IKT prostřednictvím vhodných plánů, postupů a mechanismů,
• vypracovat a zdokumentovat politiky a postupy zálohování a obnovy,
• zavádět zdroje a pracovníky k posouzení zranitelností a kybernetických hrozeb, incidentů souvisejících s IKT, zejména kybernetických útoků, a analyzovat jejich pravděpodobný dopad na digitální provozní odolnost subjektu,
• navrhnout komunikační plány s cílem informovat klienty, protistrany a veřejnost alespoň o závažných incidentech souvisejících s IKT nebo zranitelnostech.

Řízení, klasifikace a hlášení incidentů souvisejících s IKT

Finanční subjekty:

• vymezí, zavedou a uplatňují opatření za účelem detekce, řízení, zaznamenávání a hlášení incidentů souvisejících s IKT,
• klasifikují incidenty a stanoví jejich dopad podle kritérií, k nimž patří počet dotčených klientů a protistran, trvání, územní rozsah a ztráty dat,
• hlásí závažné incidenty související s IKT určenému vnitrostátnímu orgánu, který informace předá nadřízenému orgánu, jako je Evropská centrální banka nebo Evropský orgán pro bankovnictví.

Testování digitální provozní odolnosti

Finanční subjekty, jiné než mikropodniky, mají tyto povinnosti:

• vytvoří, udržují a aktualizují spolehlivý a ucelený program testování digitální provozní odolnosti, který obsahuje nezbytná hodnocení, testy, metodiky, postupy a nástroje,
• alespoň každé tři roky provádějí penetrační testování na úrovni hrozeb na základě svého rizikového profilu a s přihlédnutím k provozním okolnostem a využívají pouze subjekty provádějící testování, které jsou certifikované, mají potřebné odborné znalosti, jsou vhodné a mají pojištění profesní odpovědnosti.

Řízení rizika v oblasti IKT spojeného s třetími stranami

Finanční subjekty:

• řídí riziko spojené s třetími stranami jako nedílnou součást celkového rizika v oblasti IKT,
• uzavřely smluvní ujednání na služby IKT za účelem provádění svých obchodních operací v plném souladu s příslušnými právními předpisy,
• zohledňují povahu, rozsah, složitost a význam závislostí v oblasti IKT a případných potenciálních rizik,
• při identifikaci a hodnocení všech rizik zváží přínosy a náklady alternativních řešení,
• zahrnou do smlouvy práva a povinnosti každé strany a dohodu o poskytování služeb.

Rámec dohledu nad kritickými poskytovateli služeb IKT z řad třetích stran

Rámec:

• pověřuje evropské orgány dohledu:
  • aby na základě jasných kritérií určili poskytovatele služeb IKT z řad třetích stran, které považují za kritické pro finanční subjekty,
  • aby jmenovaly hlavním orgánem dohledu pro jednotlivé kritické poskytovatele služeb z řad třetích stran evropský orgán dohledu, který je odpovědný za dotčený finanční subjekt,
• zřizuje fórum dohledu s cílem:
  • jednat o relevantním vývoji v oblasti rizika a zranitelností v oblasti IKT a podporovat soudržný přístup ke sledování na úrovni EU,
  • každoročně vyhodnocovat dohledové činnosti, podporovat činnosti zaměřené na zvýšení digitální provozní odolnosti a podporovat osvědčené postupy,
  • předložit komplexní referenční hodnoty pro kritické poskytovatele služeb IKT z řad třetích stran,
• pověřuje hlavní orgán dohledu:
  • být hlavním kontaktním místem pro kritické poskytovatele služeb IKT z řad třetích stran,
  • posouzením, zda jednotliví kritičtí poskytovatelé zavedli komplexní, jasná a účinná pravidla, postupy, mechanismy a ujednání.
  • vyžádáním všech relevantních informací a dokumentace, prováděním šetření a kontrol (i ve třetích zemích), specifikací nápravných opatření a vydáváním doporučení,
• umožňuje Evropskému orgánu pro bankovnictví, Evropskému orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění a Evropskému orgánu pro cenné papíry a trhy spolupracovat s regulačními orgány a orgány dohledu ze třetích zemí ohledně rizika v oblasti IKT spojeného s třetími stranami,
• ukládá orgánům dohledu povinnost, aby Evropskému parlamentu, Radě Evropské unie a Evropské komisi předložily každých pět let důvěrnou zprávu o jejich jednání s orgány třetích zemí.

Ujednání o sdílení informací

Finanční subjekty si mohou vzájemně vyměňovat operativní informace o kybernetických hrozbách, pokud:

• je to za účelem posílení digitální provozní odolnosti,
• se tak děje v jejich důvěryhodných komunitách,
• jsou přitom chráněny důvěrná povaha obchodních informací a osobní údaje a jsou dodržována pravidla týkající se hospodářské soutěže.

Sankce a nápravná opatření

Příslušné orgány:

• mají všechny kontrolní, vyšetřovací a sankční pravomoci potřebné pro výkon svých povinností,
• ukládají a na svých internetových stránkách zveřejňují správní pokuty a nápravná opatření stanovená vnitrostátními právními předpisy.

Evropské orgány dohledu navrhují regulační technické normy pro nástroje řízení rizika v oblasti IKT, klasifikaci a hlášení incidentů souvisejících s IKT a provádějí dohledové činnosti.

Komise:

• má pravomoc k přijímání aktů v přenesené pravomoci,
• do 17. ledna 2028 a po konzultaci s evropskými orgány dohledu a Evropskou radou pro systémová rizika předloží Evropskému parlamentu a Radě přezkum nařízení.

Tímto nařízením se mění nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 909/2014, (EU) č. 600/2014 a (EU) 2016/1011.

ODKDY JE NAŘÍZENÍ V PLATNOSTI?

Platí ode dne 17. ledna 2025.

KONTEXT

Reformy po finanční krizi v roce 2008 především posílily finanční stabilitu odvětví. Rizika v oblasti IKT byla v některých oblastech řešena jen nepřímo a nadále představovala problém pro provozní odolnost, výkonnost a stabilitu finančního systému EU.

Toto nařízení, známé jako DORA, je součástí většího balíčku digitálních financí zaměřených na podporu technologického rozvoje a zajištění finanční stability a ochrany spotřebitele. Jeho další prvky se týkají strategie v oblasti digitálních financí, trhů kryptoaktiv a technologií distribuovaného registru.

Další informace viz:

• Balíček digitálních financí (Evropská komise).

HLAVNÍ DOKUMENT

Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1–79).

SOUVISEJÍCÍ DOKUMENTY

Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů o strategii EU pro digitální v oblasti financování (COM(2020) 591 final, 24.9.2020).

Nařízení Evropského parlamentu a Rady (EU) 2016/1011 ze dne 8. června 2016 o indexech, které jsou používány jako referenční hodnoty ve finančních nástrojích a finančních smlouvách nebo k měření výkonnosti investičních fondů, a o změně směrnic 2008/48/ES a 2014/17/EU a nařízení (EU) č. 596/2014 (Úř. věst. L 171, 29.6.2016, s. 1–65).

Následné změny nařízení (EU) 2016/1011 byly začleněny do původního znění. Toto konsolidované znění má pouze dokumentární hodnotu.

Nařízení Evropského parlamentu a Rady (EU) č. 909/2014 ze dne 23. července 2014 o zlepšení vypořádání obchodů s cennými papíry v Evropské unii a centrálních depozitářích cenných papírů a o změně směrnic 98/26/ES a 2014/65/EU a nařízení (EU) č. 236/2012 (Úř. věst. L 257, 28.8.2014, s. 1–72).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (EU) č. 600/2014 ze dne 15. května 2014 o trzích finančních nástrojů a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 173, 12.6.2014, s. 84–148).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů (Úř. věst. L 201, 27.7.2012, s. 1–59).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (ES) č. 1060/2009 ze dne 16. září 2009 o ratingových agenturách (Úř. věst. L 302, 17.11.2009, s. 1–31).

Viz konsolidované znění.

Poslední aktualizace 10.01.2024