Digitálna prevádzková odolnosť finančného sektora
ZHRNUTIE K DOKUMENTU:
Nariadenie (EÚ) 2022/2554 o digitálnej prevádzkovej odolnosti finančného sektora
AKÝ JE CIEĽ TOHTO NARIADENIA?
V nariadení sa stanovujú jednotné pravidlá týkajúce sa bezpečnosti sietí a informačných systémov finančných subjektov, ako sú banky, poisťovne a investičné spoločnosti.
Vzťahuje sa na širokú škálu regulovaných finančných subjektov Európskej únie (EÚ) a na základe neho sa od nich vyžaduje, aby odolali akémukoľvek narušeniu alebo ohrozeniu, ktoré sa týka informačných a komunikačných technológií (IKT), reagovali naň a zotavili sa z neho.
HLAVNÉ BODY
Rozsah pôsobnosti
Nariadenie sa vzťahuje na:
- úverové, platobné inštitúcie, inštitúcie elektronického peňažníctva a dôchodkového poistenia zamestnancov,
- poskytovateľov služieb informovania o účte, kryptoaktív, vykazovania údajov, hromadného financovania a tretie strany IKT,
- investičné spoločnosti, alternatívne investičné fondy, správcovské spoločnosti, ratingové agentúry a správcov kritických referenčných hodnôt,
- archívy obchodných a sekuritizačných údajov, centrálnych depozitárov cenných papierov, centrálne protistrany a obchodné miesta,
- poisťovne, sprostredkovateľov poistenia a zaisťovne.
Riadenie IKT rizika
Finančné subjekty okrem mikropodnikov:
- zavedú opatrenia vnútornej správy a riadenia a kontroly, ktorými sa zabezpečí účinné a obozretné riadenie IKT rizika,
- zabezpečia, aby ich riadiaci orgán vymedzoval a schvaľoval všetky príslušné opatrenia, vykonával nad nimi dozor a zodpovedal za ne,
- zavedú spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia IKT rizika s potrebnými stratégiami, politikami, postupmi, protokolmi a nástrojmi s cieľom reagovať rýchlo a účinne,
- používajú a udržiavať aktualizované IKT systémy, protokoly a nástroje, ktoré sú vhodné, spoľahlivé, technologické odolné a majú dostatočnú kapacitu,
- identifikujú, klasifikujú a primerane dokumentujú všetky obchodné funkcie, úlohy a povinnosti podporované IKT a preskúmavajú rizikové scenáre,
- nepretržite monitorujú bezpečnosť a prevádzku IKT systémov a nástrojov s cieľom minimalizovať vplyv IKT rizika,
- rýchlo odhaľujú anomálie a identifikujú potenciálne zlyhanie,
- zavedú komplexnú politiku kontinuity činností v oblasti IKT s vhodnými plánmi, postupmi a mechanizmami,
- vypracúvajú a dokumentujú politiky zálohovania a postupy reštaurovania a obnovy,
- nasadzujú zdroje a zamestnancov na hodnotenie citlivých miest a kybernetických hrozieb, incidentov týkajúcich sa IKT, najmä kybernetických útokov, a analyzujú ich potenciálny vplyv na digitálnu prevádzkovú odolnosť subjektu,
- vypracujú krízové komunikačné plán s cieľom oznámiť klientom, protistranám a verejnosti aspoň závažné incidenty súvisiace s IKT alebo zraniteľné miesta.
Riadenie, klasifikácia a nahlasovanie súvisiace s IKT
Finančné subjekty:
- vymedzia, zavedú a vykonávajú opatrenia s cieľom odhaľovať, riadiť a oznamovať incidenty súvisiace s IKT,
- klasifikujú incidenty a stanovujú ich vplyv s použitím kritérií, ako je počet ovplyvnených klientov a protistrán, trvanie, geografické rozloženie a straty údajov,
- nahlasujú závažné incidenty súvisiace s IKT svojmu určenému príslušnému orgánu, ktorý hlásenia postúpi vyššiemu orgánu, ako je Európska centrálna banka alebo Európsky orgán pre bankovníctvo.
Testovanie digitálnej prevádzkovej odolnosti
Finančné subjekty okrem mikropodnikov:
- zriadia, udržiavajú a preskúmavajú spoľahlivý a komplexný program testovania digitálnej prevádzkovej odolnosti vybavený potrebnými posúdeniami, testami, metodikami, postupmi a nástrojmi,
- vykonávajú minimálne každé tri roky penetračné testovanie na základe úrovne hrozby na základe svojho rizikového profilu a s prihliadnutím na prevádzkové okolnosti – a používajú len testovacie subjekty, ktoré sú certifikované, majú potrebné odborné znalosti a podliehajú poisteniu zodpovednosti za škodu a majú poistenie zodpovednosti za škodu spôsobenú pri výkone povolania.
Riadenie externého IKT rizika
Finančné subjekty:
- riadia externé IKT riziko ako integrálnu súčasť celkového IKT rizika,
- majú uzavreté zmluvné dojednania o využívaní IKT služieb na vykonávanie svojich obchodných činností v plnom súlade s príslušnými právnymi predpismi,
- zohľadňujú povahu, rozsah, zložitosť a význam závislostí súvisiacich s IKT a všetky potenciálne riziká,
- zvážia prínosy a náklady alternatívnych riešení pri identifikácii a posudzovaní súvisiacich rizík,
- zahrnú do zmluvy práva a povinnosti každej strany a dohodu o poskytovaní služieb.
Rámec dozoru nad kritickými externými poskytovateľmi IKT služieb
Rámec:
- poveruje európske orgány dohľadu, aby:
- určili na základe jasných kritérií externých poskytovateľov IKT služieb, ktorí sú pre finančné subjekty kritickí,
- vymenovali za hlavný orgán dozoru pre každého kritického externého poskytovateľa IKT služieb európsky orgán dohľadu zodpovedný za dotknutý finančný subjekt,
- zriaďuje fórum pre dozor s cieľom:
- rokovať o relevantnom vývoji v oblasti IKT rizika a zraniteľných miest a podporovať konzistentný prístup pri monitorovaní na úrovni EÚ,
- každoročne vyhodnocovať činnosti dohľadu, podporovať kroky na zvýšenie digitálnej prevádzkovej odolnosti a presadzovať najlepšie postupy,
- predkladať komplexné referenčné hodnoty týkajúce sa kritických externých poskytovateľov IKT služieb,
- poveruje hlavný orgán dozoru:
- byť hlavným kontaktným bodom pre kritických externých poskytovateľov IKT služieb,
- posúdiť, či má každý kritický poskytovateľ zavedené komplexné, spoľahlivé a účinné pravidlá, postupy, mechanizmy a dojednania,
- požadovať všetky príslušné informácie a dokumentáciu, vykonávať vyšetrovania a kontroly (aj v krajinách mimo EÚ), určovať nápravné opatrenia a vydávať odporúčania,
- umožňuje Európskemu orgánu pre bankovníctvo, Európskemu orgánu pre poisťovníctvo a dôchodkové poistenie zamestnancov a Európskemu orgánu pre cenné papiere a trhy spolupracovať s regulačnými orgánmi a orgánmi dohľadu z krajín mimo EÚ v oblasti externého IKT rizika,
- vyžaduje, aby európske orgány dohľadu každých päť rokov predkladali Európskemu parlamentu, Rade Európskej únie a Európskej komisii dôvernú správu o svojich vzťahoch s orgánmi mimo EÚ.
Dojednania o výmene informácií
Finančné subjekty si môžu medzi sebou vymieňať informácie a spravodajské informácie o kybernetických hrozbách, pokiaľ sa výmena:
- zameriava na posilňovanie digitálnej prevádzkovej odolnosti,
- uskutočňuje v rámci dôveryhodných skupín,
- chráni obchodné tajomstvo a osobné údaje a rešpektuje pravidlá politiky hospodárskej súťaže.
Sankcie a nápravné opatrenia
Príslušné orgány:
- majú všetky potrebné právomoci v oblasti dohľadu, vyšetrovania a ukladania sankcií na vykonávanie svojich povinností,
- ukladajú a uverejňujú na svojich webových sídlach administratívne sankcie a nápravné opatrenia, ktoré sú určené vnútroštátnym právom.
Európske orgány dohľadu navrhujú regulačné technické normy pre nástroje riadenia IKT rizika, klasifikáciu a oznamovanie incidentov súvisiacich s IKT a vykonávanie činností dozoru.
Komisia:
- má právomoc prijímať delegované akty,
- do 17. januára 2028 predloží Parlamentu a Rade preskúmanie nariadenia po konzultácii s európskymi orgánmi dohľadu a Európskym výborom pre systémové riziká.
Nariadením sa menia nariadenia (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 909/2014, (EÚ) č. 600/2014 a (EÚ) 2016/1011.
ODKEDY SA NARIADENIE UPLATŇUJE?
Uplatňuje sa od 17. januára 2025.
KONTEXT
Reformy, ktoré nasledovali po finančnej kríze v roku 2008, predovšetkým posilnili finančnú stabilitu sektora. Riziká v oblasti IKT sa v niektorých oblastiach riešili len nepriamo a naďalej predstavovali výzvu pre prevádzkovú odolnosť, výkonnosť a stabilitu finančného systému EÚ.
Nariadenie známe ako DORA je súčasťou rozsiahlejšieho balíka v oblasti digitálnych financií, ktorého cieľom je podporiť technologický vývoj a zabezpečiť finančnú stabilitu a ochranu spotrebiteľov. Jeho ďalšie prvky zahŕňajú stratégiu digitálnych financií, trhy s kryptoaktívami a technológiu distribuovanej databázy transakcií.
Ďalšie informácie:
HLAVNÝ DOKUMENT
Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1 – 79).
SÚVISIACE DOKUMENTY
Oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov o stratégii v oblasti digitálnych financií pre EÚ [COM(2020) 591 final, 24.9.2020].
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/1011 z 8. júna 2016 o indexoch používaných ako referenčné hodnoty vo finančných nástrojoch a finančných zmluvách alebo na meranie výkonnosti investičných fondov, ktorým sa menia smernice 2008/48/ES a 2014/17/EÚ a nariadenie (EÚ) č. 596/2014 (Ú. v. EÚ L 171, 29.6.2016, s. 1 – 65).
Následné zmeny nariadenia (EÚ) 2016/1011 boli zapracované do pôvodného textu. Toto konsolidované znenie slúži len na dokumentačné účely.
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 909/2014 z 23. júla 2014 o zlepšení vyrovnania transakcií s cennými papiermi v Európskej únii, centrálnych depozitároch cenných papierov a o zmene smerníc 98/26/ES a 2014/65/EÚ a nariadenia (EÚ) č. 236/2012 (Ú. v. EÚ L 257, 28.8.2014, s. 1 – 72).
Pozri konsolidované znenie.
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 600/2014 z 15. mája 2014 o trhoch s finančnými nástrojmi, ktorým sa mení nariadenie (EÚ) č. 648/2012 (Ú. v. EÚ L 173, 12.6.2014, s. 84 – 148).
Pozri konsolidované znenie.
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 o mimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27.7.2012, s. 1 – 59).
Pozri konsolidované znenie.
Nariadenie Európskeho parlamentu a Rady (ES) č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach (Ú. v. EÚ L 302, 17.11.2009, s. 1 – 31).
Pozri konsolidované znenie.
Posledná aktualizácia 10.01.2024