V nariadení sa stanovujú jednotné pravidlá týkajúce sa bezpečnosti sietí a informačných systémov finančných subjektov, ako sú banky, poisťovne a investičné spoločnosti.

Vzťahuje sa na širokú škálu regulovaných finančných subjektov Európskej únie (EÚ) a na základe neho sa od nich vyžaduje, aby odolali akémukoľvek narušeniu alebo ohrozeniu, ktoré sa týka informačných a komunikačných technológií (IKT), reagovali naň a zotavili sa z neho.

HLAVNÉ BODY

Rozsah pôsobnosti

Nariadenie sa vzťahuje na:

úverové, platobné inštitúcie, inštitúcie elektronického peňažníctva a dôchodkového poistenia zamestnancov,
poskytovateľov služieb informovania o účte, kryptoaktív, vykazovania údajov, hromadného financovania a tretie strany IKT,
investičné spoločnosti, alternatívne investičné fondy, správcovské spoločnosti, ratingové agentúry a správcov kritických referenčných hodnôt,
archívy obchodných a sekuritizačných údajov, centrálnych depozitárov cenných papierov, centrálne protistrany a obchodné miesta,
poisťovne, sprostredkovateľov poistenia a zaisťovne.

Riadenie IKT rizika

Finančné subjekty okrem mikropodnikov:

zavedú opatrenia vnútornej správy a riadenia a kontroly, ktorými sa zabezpečí účinné a obozretné riadenie IKT rizika,
zabezpečia, aby ich riadiaci orgán vymedzoval a schvaľoval všetky príslušné opatrenia, vykonával nad nimi dozor a zodpovedal za ne,
zavedú spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia IKT rizika s potrebnými stratégiami, politikami, postupmi, protokolmi a nástrojmi s cieľom reagovať rýchlo a účinne,
používajú a udržiavať aktualizované IKT systémy, protokoly a nástroje, ktoré sú vhodné, spoľahlivé, technologické odolné a majú dostatočnú kapacitu,
identifikujú, klasifikujú a primerane dokumentujú všetky obchodné funkcie, úlohy a povinnosti podporované IKT a preskúmavajú rizikové scenáre,
nepretržite monitorujú bezpečnosť a prevádzku IKT systémov a nástrojov s cieľom minimalizovať vplyv IKT rizika,
rýchlo odhaľujú anomálie a identifikujú potenciálne zlyhanie,
zavedú komplexnú politiku kontinuity činností v oblasti IKT s vhodnými plánmi, postupmi a mechanizmami,
vypracúvajú a dokumentujú politiky zálohovania a postupy reštaurovania a obnovy,
nasadzujú zdroje a zamestnancov na hodnotenie citlivých miest a kybernetických hrozieb, incidentov týkajúcich sa IKT, najmä kybernetických útokov, a analyzujú ich potenciálny vplyv na digitálnu prevádzkovú odolnosť subjektu,
vypracujú krízové komunikačné plán s cieľom oznámiť klientom, protistranám a verejnosti aspoň závažné incidenty súvisiace s IKT alebo zraniteľné miesta.

Riadenie, klasifikácia a nahlasovanie súvisiace s IKT

Finančné subjekty:

vymedzia, zavedú a vykonávajú opatrenia s cieľom odhaľovať, riadiť a oznamovať incidenty súvisiace s IKT,
klasifikujú incidenty a stanovujú ich vplyv s použitím kritérií, ako je počet ovplyvnených klientov a protistrán, trvanie, geografické rozloženie a straty údajov,
nahlasujú závažné incidenty súvisiace s IKT svojmu určenému príslušnému orgánu, ktorý hlásenia postúpi vyššiemu orgánu, ako je Európska centrálna banka alebo Európsky orgán pre bankovníctvo.

Testovanie digitálnej prevádzkovej odolnosti

Finančné subjekty okrem mikropodnikov:

zriadia, udržiavajú a preskúmavajú spoľahlivý a komplexný program testovania digitálnej prevádzkovej odolnosti vybavený potrebnými posúdeniami, testami, metodikami, postupmi a nástrojmi,
vykonávajú minimálne každé tri roky penetračné testovanie na základe úrovne hrozby na základe svojho rizikového profilu a s prihliadnutím na prevádzkové okolnosti – a používajú len testovacie subjekty, ktoré sú certifikované, majú potrebné odborné znalosti a podliehajú poisteniu zodpovednosti za škodu a majú poistenie zodpovednosti za škodu spôsobenú pri výkone povolania.

Riadenie externého IKT rizika

Finančné subjekty:

riadia externé IKT riziko ako integrálnu súčasť celkového IKT rizika,
majú uzavreté zmluvné dojednania o využívaní IKT služieb na vykonávanie svojich obchodných činností v plnom súlade s príslušnými právnymi predpismi,
zohľadňujú povahu, rozsah, zložitosť a význam závislostí súvisiacich s IKT a všetky potenciálne riziká,
zvážia prínosy a náklady alternatívnych riešení pri identifikácii a posudzovaní súvisiacich rizík,
zahrnú do zmluvy práva a povinnosti každej strany a dohodu o poskytovaní služieb.

Rámec dozoru nad kritickými externými poskytovateľmi IKT služieb

Rámec:

poveruje európske orgány dohľadu, aby:
- určili na základe jasných kritérií externých poskytovateľov IKT služieb, ktorí sú pre finančné subjekty kritickí,
- vymenovali za hlavný orgán dozoru pre každého kritického externého poskytovateľa IKT služieb európsky orgán dohľadu zodpovedný za dotknutý finančný subjekt,
zriaďuje fórum pre dozor s cieľom:
- rokovať o relevantnom vývoji v oblasti IKT rizika a zraniteľných miest a podporovať konzistentný prístup pri monitorovaní na úrovni EÚ,
- každoročne vyhodnocovať činnosti dohľadu, podporovať kroky na zvýšenie digitálnej prevádzkovej odolnosti a presadzovať najlepšie postupy,
- predkladať komplexné referenčné hodnoty týkajúce sa kritických externých poskytovateľov IKT služieb,
poveruje hlavný orgán dozoru:
- byť hlavným kontaktným bodom pre kritických externých poskytovateľov IKT služieb,
- posúdiť, či má každý kritický poskytovateľ zavedené komplexné, spoľahlivé a účinné pravidlá, postupy, mechanizmy a dojednania,
- požadovať všetky príslušné informácie a dokumentáciu, vykonávať vyšetrovania a kontroly (aj v krajinách mimo EÚ), určovať nápravné opatrenia a vydávať odporúčania,
umožňuje Európskemu orgánu pre bankovníctvo, Európskemu orgánu pre poisťovníctvo a dôchodkové poistenie zamestnancov a Európskemu orgánu pre cenné papiere a trhy spolupracovať s regulačnými orgánmi a orgánmi dohľadu z krajín mimo EÚ v oblasti externého IKT rizika,
vyžaduje, aby európske orgány dohľadu každých päť rokov predkladali Európskemu parlamentu, Rade Európskej únie a Európskej komisii dôvernú správu o svojich vzťahoch s orgánmi mimo EÚ.

Dojednania o výmene informácií

Finančné subjekty si môžu medzi sebou vymieňať informácie a spravodajské informácie o kybernetických hrozbách, pokiaľ sa výmena:

zameriava na posilňovanie digitálnej prevádzkovej odolnosti,
uskutočňuje v rámci dôveryhodných skupín,
chráni obchodné tajomstvo a osobné údaje a rešpektuje pravidlá politiky hospodárskej súťaže.

Sankcie a nápravné opatrenia

Príslušné orgány:

majú všetky potrebné právomoci v oblasti dohľadu, vyšetrovania a ukladania sankcií na vykonávanie svojich povinností,
ukladajú a uverejňujú na svojich webových sídlach administratívne sankcie a nápravné opatrenia, ktoré sú určené vnútroštátnym právom.

Európske orgány dohľadu navrhujú regulačné technické normy pre nástroje riadenia IKT rizika, klasifikáciu a oznamovanie incidentov súvisiacich s IKT a vykonávanie činností dozoru.

Komisia:

má právomoc prijímať delegované akty,
do 17. januára 2028 predloží Parlamentu a Rade preskúmanie nariadenia po konzultácii s európskymi orgánmi dohľadu a Európskym výborom pre systémové riziká.

Nariadením sa menia nariadenia (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 909/2014, (EÚ) č. 600/2014 a (EÚ) 2016/1011.

ODKEDY SA NARIADENIE UPLATŇUJE?

Uplatňuje sa od 17. januára 2025.

KONTEXT

Reformy, ktoré nasledovali po finančnej kríze v roku 2008, predovšetkým posilnili finančnú stabilitu sektora. Riziká v oblasti IKT sa v niektorých oblastiach riešili len nepriamo a naďalej predstavovali výzvu pre prevádzkovú odolnosť, výkonnosť a stabilitu finančného systému EÚ.

Nariadenie známe ako DORA je súčasťou rozsiahlejšieho balíka v oblasti digitálnych financií, ktorého cieľom je podporiť technologický vývoj a zabezpečiť finančnú stabilitu a ochranu spotrebiteľov. Jeho ďalšie prvky zahŕňajú stratégiu digitálnych financií, trhy s kryptoaktívami a technológiu distribuovanej databázy transakcií.

Ďalšie informácie:

Balík v oblasti digitálnych financií (Európska komisia)

HLAVNÝ DOKUMENT

Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1 – 79).

SÚVISIACE DOKUMENTY

Oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov o stratégii v oblasti digitálnych financií pre EÚ [COM(2020) 591 final, 24.9.2020].

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/1011 z 8. júna 2016 o indexoch používaných ako referenčné hodnoty vo finančných nástrojoch a finančných zmluvách alebo na meranie výkonnosti investičných fondov, ktorým sa menia smernice 2008/48/ES a 2014/17/EÚ a nariadenie (EÚ) č. 596/2014 (Ú. v. EÚ L 171, 29.6.2016, s. 1 – 65).

Následné zmeny nariadenia (EÚ) 2016/1011 boli zapracované do pôvodného textu. Toto konsolidované znenie slúži len na dokumentačné účely.

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 909/2014 z 23. júla 2014 o zlepšení vyrovnania transakcií s cennými papiermi v Európskej únii, centrálnych depozitároch cenných papierov a o zmene smerníc 98/26/ES a 2014/65/EÚ a nariadenia (EÚ) č. 236/2012 (Ú. v. EÚ L 257, 28.8.2014, s. 1 – 72).

Pozri konsolidované znenie.

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 600/2014 z 15. mája 2014 o trhoch s finančnými nástrojmi, ktorým sa mení nariadenie (EÚ) č. 648/2012 (Ú. v. EÚ L 173, 12.6.2014, s. 84 – 148).

Pozri konsolidované znenie.

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 o mimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27.7.2012, s. 1 – 59).

Pozri konsolidované znenie.

Nariadenie Európskeho parlamentu a Rady (ES) č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach (Ú. v. EÚ L 302, 17.11.2009, s. 1 – 31).

Pozri konsolidované znenie.

Posledná aktualizácia 10.01.2024

Top

All