Digitálna prevádzková odolnosť finančného sektora

ZHRNUTIE K DOKUMENTU:

Nariadenie (EÚ) 2022/2554 o digitálnej prevádzkovej odolnosti finančného sektora

AKÝ JE CIEĽ TOHTO NARIADENIA?

V nariadení sa stanovujú jednotné pravidlá týkajúce sa bezpečnosti sietí a informačných systémov finančných subjektov, ako sú banky, poisťovne a investičné spoločnosti.

Vzťahuje sa na širokú škálu regulovaných finančných subjektov Európskej únie (EÚ) a na základe neho sa od nich vyžaduje, aby odolali akémukoľvek narušeniu alebo ohrozeniu, ktoré sa týka informačných a komunikačných technológií (IKT), reagovali naň a zotavili sa z neho.

HLAVNÉ BODY

Rozsah pôsobnosti

Nariadenie sa vzťahuje na:

• úverové, platobné inštitúcie, inštitúcie elektronického peňažníctva a dôchodkového poistenia zamestnancov,
• poskytovateľov služieb informovania o účte, kryptoaktív, vykazovania údajov, hromadného financovania a tretie strany IKT,
• investičné spoločnosti, alternatívne investičné fondy, správcovské spoločnosti, ratingové agentúry a správcov kritických referenčných hodnôt,
• archívy obchodných a sekuritizačných údajov, centrálnych depozitárov cenných papierov, centrálne protistrany a obchodné miesta,
• poisťovne, sprostredkovateľov poistenia a zaisťovne.

Riadenie IKT rizika

Finančné subjekty okrem mikropodnikov:

• zavedú opatrenia vnútornej správy a riadenia a kontroly, ktorými sa zabezpečí účinné a obozretné riadenie IKT rizika,
• zabezpečia, aby ich riadiaci orgán vymedzoval a schvaľoval všetky príslušné opatrenia, vykonával nad nimi dozor a zodpovedal za ne,
• zavedú spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia IKT rizika s potrebnými stratégiami, politikami, postupmi, protokolmi a nástrojmi s cieľom reagovať rýchlo a účinne,
• používajú a udržiavať aktualizované IKT systémy, protokoly a nástroje, ktoré sú vhodné, spoľahlivé, technologické odolné a majú dostatočnú kapacitu,
• identifikujú, klasifikujú a primerane dokumentujú všetky obchodné funkcie, úlohy a povinnosti podporované IKT a preskúmavajú rizikové scenáre,
• nepretržite monitorujú bezpečnosť a prevádzku IKT systémov a nástrojov s cieľom minimalizovať vplyv IKT rizika,
• rýchlo odhaľujú anomálie a identifikujú potenciálne zlyhanie,
• zavedú komplexnú politiku kontinuity činností v oblasti IKT s vhodnými plánmi, postupmi a mechanizmami,
• vypracúvajú a dokumentujú politiky zálohovania a postupy reštaurovania a obnovy,
• nasadzujú zdroje a zamestnancov na hodnotenie citlivých miest a kybernetických hrozieb, incidentov týkajúcich sa IKT, najmä kybernetických útokov, a analyzujú ich potenciálny vplyv na digitálnu prevádzkovú odolnosť subjektu,
• vypracujú krízové komunikačné plán s cieľom oznámiť klientom, protistranám a verejnosti aspoň závažné incidenty súvisiace s IKT alebo zraniteľné miesta.

Riadenie, klasifikácia a nahlasovanie súvisiace s IKT

Finančné subjekty:

• vymedzia, zavedú a vykonávajú opatrenia s cieľom odhaľovať, riadiť a oznamovať incidenty súvisiace s IKT,
• klasifikujú incidenty a stanovujú ich vplyv s použitím kritérií, ako je počet ovplyvnených klientov a protistrán, trvanie, geografické rozloženie a straty údajov,
• nahlasujú závažné incidenty súvisiace s IKT svojmu určenému príslušnému orgánu, ktorý hlásenia postúpi vyššiemu orgánu, ako je Európska centrálna banka alebo Európsky orgán pre bankovníctvo.

Testovanie digitálnej prevádzkovej odolnosti

Finančné subjekty okrem mikropodnikov:

• zriadia, udržiavajú a preskúmavajú spoľahlivý a komplexný program testovania digitálnej prevádzkovej odolnosti vybavený potrebnými posúdeniami, testami, metodikami, postupmi a nástrojmi,
• vykonávajú minimálne každé tri roky penetračné testovanie na základe úrovne hrozby na základe svojho rizikového profilu a s prihliadnutím na prevádzkové okolnosti – a používajú len testovacie subjekty, ktoré sú certifikované, majú potrebné odborné znalosti a podliehajú poisteniu zodpovednosti za škodu a majú poistenie zodpovednosti za škodu spôsobenú pri výkone povolania.

Riadenie externého IKT rizika

Finančné subjekty:

• riadia externé IKT riziko ako integrálnu súčasť celkového IKT rizika,
• majú uzavreté zmluvné dojednania o využívaní IKT služieb na vykonávanie svojich obchodných činností v plnom súlade s príslušnými právnymi predpismi,
• zohľadňujú povahu, rozsah, zložitosť a význam závislostí súvisiacich s IKT a všetky potenciálne riziká,
• zvážia prínosy a náklady alternatívnych riešení pri identifikácii a posudzovaní súvisiacich rizík,
• zahrnú do zmluvy práva a povinnosti každej strany a dohodu o poskytovaní služieb.

Rámec dozoru nad kritickými externými poskytovateľmi IKT služieb

Rámec:

• poveruje európske orgány dohľadu, aby:
  • určili na základe jasných kritérií externých poskytovateľov IKT služieb, ktorí sú pre finančné subjekty kritickí,
  • vymenovali za hlavný orgán dozoru pre každého kritického externého poskytovateľa IKT služieb európsky orgán dohľadu zodpovedný za dotknutý finančný subjekt,
• zriaďuje fórum pre dozor s cieľom:
  • rokovať o relevantnom vývoji v oblasti IKT rizika a zraniteľných miest a podporovať konzistentný prístup pri monitorovaní na úrovni EÚ,
  • každoročne vyhodnocovať činnosti dohľadu, podporovať kroky na zvýšenie digitálnej prevádzkovej odolnosti a presadzovať najlepšie postupy,
  • predkladať komplexné referenčné hodnoty týkajúce sa kritických externých poskytovateľov IKT služieb,
• poveruje hlavný orgán dozoru:
  • byť hlavným kontaktným bodom pre kritických externých poskytovateľov IKT služieb,
  • posúdiť, či má každý kritický poskytovateľ zavedené komplexné, spoľahlivé a účinné pravidlá, postupy, mechanizmy a dojednania,
  • požadovať všetky príslušné informácie a dokumentáciu, vykonávať vyšetrovania a kontroly (aj v krajinách mimo EÚ), určovať nápravné opatrenia a vydávať odporúčania,
• umožňuje Európskemu orgánu pre bankovníctvo, Európskemu orgánu pre poisťovníctvo a dôchodkové poistenie zamestnancov a Európskemu orgánu pre cenné papiere a trhy spolupracovať s regulačnými orgánmi a orgánmi dohľadu z krajín mimo EÚ v oblasti externého IKT rizika,
• vyžaduje, aby európske orgány dohľadu každých päť rokov predkladali Európskemu parlamentu, Rade Európskej únie a Európskej komisii dôvernú správu o svojich vzťahoch s orgánmi mimo EÚ.

Dojednania o výmene informácií

Finančné subjekty si môžu medzi sebou vymieňať informácie a spravodajské informácie o kybernetických hrozbách, pokiaľ sa výmena:

• zameriava na posilňovanie digitálnej prevádzkovej odolnosti,
• uskutočňuje v rámci dôveryhodných skupín,
• chráni obchodné tajomstvo a osobné údaje a rešpektuje pravidlá politiky hospodárskej súťaže.

Sankcie a nápravné opatrenia

Príslušné orgány:

• majú všetky potrebné právomoci v oblasti dohľadu, vyšetrovania a ukladania sankcií na vykonávanie svojich povinností,
• ukladajú a uverejňujú na svojich webových sídlach administratívne sankcie a nápravné opatrenia, ktoré sú určené vnútroštátnym právom.

Európske orgány dohľadu navrhujú regulačné technické normy pre nástroje riadenia IKT rizika, klasifikáciu a oznamovanie incidentov súvisiacich s IKT a vykonávanie činností dozoru.

Komisia:

• má právomoc prijímať delegované akty,
• do 17. januára 2028 predloží Parlamentu a Rade preskúmanie nariadenia po konzultácii s európskymi orgánmi dohľadu a Európskym výborom pre systémové riziká.

Nariadením sa menia nariadenia (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 909/2014, (EÚ) č. 600/2014 a (EÚ) 2016/1011.

ODKEDY SA NARIADENIE UPLATŇUJE?

Uplatňuje sa od 17. januára 2025.

KONTEXT

Reformy, ktoré nasledovali po finančnej kríze v roku 2008, predovšetkým posilnili finančnú stabilitu sektora. Riziká v oblasti IKT sa v niektorých oblastiach riešili len nepriamo a naďalej predstavovali výzvu pre prevádzkovú odolnosť, výkonnosť a stabilitu finančného systému EÚ.

Nariadenie známe ako DORA je súčasťou rozsiahlejšieho balíka v oblasti digitálnych financií, ktorého cieľom je podporiť technologický vývoj a zabezpečiť finančnú stabilitu a ochranu spotrebiteľov. Jeho ďalšie prvky zahŕňajú stratégiu digitálnych financií, trhy s kryptoaktívami a technológiu distribuovanej databázy transakcií.

Ďalšie informácie:

• Balík v oblasti digitálnych financií (Európska komisia)

HLAVNÝ DOKUMENT

Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1 – 79).

SÚVISIACE DOKUMENTY

Oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov o stratégii v oblasti digitálnych financií pre EÚ [COM(2020) 591 final, 24.9.2020].

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/1011 z 8. júna 2016 o indexoch používaných ako referenčné hodnoty vo finančných nástrojoch a finančných zmluvách alebo na meranie výkonnosti investičných fondov, ktorým sa menia smernice 2008/48/ES a 2014/17/EÚ a nariadenie (EÚ) č. 596/2014 (Ú. v. EÚ L 171, 29.6.2016, s. 1 – 65).

Následné zmeny nariadenia (EÚ) 2016/1011 boli zapracované do pôvodného textu. Toto konsolidované znenie slúži len na dokumentačné účely.

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 909/2014 z 23. júla 2014 o zlepšení vyrovnania transakcií s cennými papiermi v Európskej únii, centrálnych depozitároch cenných papierov a o zmene smerníc 98/26/ES a 2014/65/EÚ a nariadenia (EÚ) č. 236/2012 (Ú. v. EÚ L 257, 28.8.2014, s. 1 – 72).

Pozri konsolidované znenie.

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 600/2014 z 15. mája 2014 o trhoch s finančnými nástrojmi, ktorým sa mení nariadenie (EÚ) č. 648/2012 (Ú. v. EÚ L 173, 12.6.2014, s. 84 – 148).

Pozri konsolidované znenie.

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 o mimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27.7.2012, s. 1 – 59).

Pozri konsolidované znenie.

Nariadenie Európskeho parlamentu a Rady (ES) č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach (Ú. v. EÚ L 302, 17.11.2009, s. 1 – 31).

Pozri konsolidované znenie.

Posledná aktualizácia 10.01.2024