Digitalna operativna odpornost za finančni sektor

 

POVZETEK:

Uredba (EU) 2022/2554 o digitalni operativni odpornosti finančnega sektorja

KAJ JE NAMEN TE UREDBE?

Določa enotna pravila o varnosti omrežij in informacijskih sistemov finančnih subjektov, kot so banke, zavarovalnice in investicijska podjetja.

Zajema širok nabor finančnih subjektov, ki jih regulira Evropska unija (EU), in od njih zahteva, da se uprejo kakršni koli motnji ali grožnji, ki vključuje informacijske in komunikacijske tehnologije (IKT), se odzovejo nanje in si po njih opomorejo.

KLJUČNE TOČKE

Področje uporabe

Uredba zajema:

• kreditne, plačilne, elektronske denarne in poklicne pokojninske institucije;
• ponudnike storitev za informacije o računih, kripto sredstva, poročanje podatkov, množično financiranje in tretje osebe IKT;
• investicijska podjetja, alternativne investicijske sklade, družbe za upravljanje, bonitetne agencije in skrbnike kritičnih referenčnih vrednosti;
• repozitorije poslov in listinjenj, centralne depozitarje vrednostnih papirjev, centralne nasprotne stranke in mesta trgovanja;
• zavarovanje, zavarovalne posrednike in pozavarovanje.

Obvladovanje tveganj IKT

Finančni subjekti, razen mikropodjetij:

• imajo vzpostavljene notranje ukrepe upravljanja in nadzora, ki zagotavljajo učinkovito in preudarno obvladovanje tveganja IKT;
• zagotovijo, da njihov upravni organ opredeli, odobri, nadzira in je odgovoren za vse ustrezne ureditve;
• morajo imeti vzpostavljen zanesljiv, celovit in dobro dokumentiran okvir za obvladovanje tveganj IKT s potrebnimi strategijami, politikami, postopki, protokoli in orodji za hitro in učinkovito odzivanje;
• uporabljajo in vzdržujejo posodobljene sisteme, protokole in orodja IKT, ki so ustrezni, zanesljivi, tehnološko odporni in imajo zadostno zmogljivost;
• identificirajo, razvrstijo in ustrezno dokumentirajo vse z IKT podprte poslovne funkcije, vloge in odgovornosti ter pregledajo scenarije tveganja;
• stalno spremljajo varnost in delovanje sistemov in orodij IKT, da čim bolj zmanjšajo vpliv kakršnega koli tveganja IKT;
• nemudoma odkrijejo nepravilnosti in prepoznajo morebitne točke napak;
• vzpostavijo celovito politiko neprekinjenega poslovanja IKT z ustreznimi načrti, postopki in mehanizmi;
• razvijejo in dokumentirajo politike varnostnega kopiranja ter postopke obnovitve in obnovitve;
• uporabijo vire in osebje za ocenjevanje ranljivosti in kibernetskih groženj, incidentov, povezanih z IKT, zlasti kibernetskih napadov, ter analizirajo njihov potencialni vpliv na digitalno operativno odpornost subjekta;
• pripravijo načrte kriznega komuniciranja, da strankam, nasprotnim partnerjem in javnosti razkrijejo vsaj večje incidente ali ranljivosti, povezane z IKT.

Upravljanje, razvrščanje in poročanje, povezano z IKT

Finančni subjekti:

• opredelijo, vzpostavijo in izvajajo ukrepe za odkrivanje, upravljanje, evidentiranje in obveščanje o incidentih, povezanih z IKT;
• razvrstijo incidente in določijo njihov vpliv z uporabo meril, kot so število prizadetih strank in nasprotnih strank, trajanje, geografska razširjenost in izgube podatkov;
• poročajo o večjih incidentih, povezanih z IKT, svojemu imenovanemu pristojnemu organu, ki to posreduje višjemu organu, kot je Evropska centralna banka ali Evropski bančni organ.

Digitalno testiranje operativne odpornosti

Finančni subjekti, razen mikropodjetij,

• vzpostavijo, vzdržujejo in pregledujejo zanesljiv in celovit program digitalnega operativnega testiranja, opremljen s potrebnimi ocenami, testi, metodologijami, praksami in orodji;
• morajo vsaj vsaka 3 leta opraviti testiranje stopnje grožnje glede prodora na podlagi njihovega profila tveganja in ob upoštevanju operativnih okoliščin – in uporabljati samo preizkuševalce, ki so certificirani, imajo potrebno strokovno znanje in izkušnje ter primernost in imajo zavarovanje poklicne odgovornosti.

Upravljanje tveganj tretjih oseb IKT

Finančni subjekti:

• obvladujejo tveganje tretjih oseb kot sestavni del svojega celotnega tveganja IKT;
• morajo imeti vzpostavljene pogodbene dogovore za storitve IKT za vodenje svojih poslovnih operacij v celoti v skladu z ustrezno zakonodajo;
• upoštevajo naravo, obseg, zapletenost in pomen odvisnosti, povezanih z IKT, ter vsa morebitna tveganja, ob popolni skladnosti z ustrezno zakonodajo;
• pretehtajo koristi in stroške alternativnih rešitev pri ugotavljanju in ocenjevanju vseh vključenih tveganj;
• v pogodbo vključijo pravice in obveznosti vsake stranke ter pogodbo o storitvah.

Okvir nadzora ključnih tretjih ponudnikov storitev IKT

Okvir:

• pooblašča evropske nadzorne organe (ESA), da:
  • na podlagi jasnih meril imenujejo tretje ponudnike storitev IKT, ki se štejejo za ključne za finančne subjekte,
  • kot glavnega nadzornika za vsakega kritičnega tretjega ponudnika storitev imenujejo ESA, odgovornega za zadevni finančni subjekt;
• vzpostavlja nadzorni forum za:
  • za razpravo o pomembnem razvoju tveganja in ranljivosti IKT ter spodbuja dosleden pristop spremljanja EU,
  • letno ocenjevanje nadzornih dejavnosti, spodbujanje ukrepov za povečanje digitalne operativne odpornosti in spodbujanje najboljše prakse,
  • predložitev celovitih meril uspešnosti za kritične storitve tretjih oseb IKT ponudniki;
• pooblašča glavnega nadzornika, da:
  • da je primarna kontaktna točka za ključne ponudnike storitev IKT, tretje osebe,
  • oceni, ali ima vsak kritični ponudnik vzpostavljena celovita, zanesljiva in učinkovita pravila, postopke, mehanizme in ureditve,
  • zahteva vse ustrezne informacije in dokumentacijo, izvaja preiskave in inšpekcije (vključno v državah, ki niso članice EU), določi popravne ukrepe in izda priporočila;
• omogoča Evropskemu bančnemu organu, Evropskemu organu za zavarovanja in poklicne pokojnine ter Evropskemu organu za vrednostne papirje in trge, da sodelujejo z regulativnimi in nadzornimi organi zunaj EU pri tveganju tretjih oseb na področju IKT;
• zahteva, da evropski nadzorni organi vsakih 5 let Evropskemu parlamentu, Svetu Evropske unije in Evropski komisiji predložijo zaupno poročilo o svojem poslovanju z organi zunaj EU.

Dogovori o izmenjavi informacij

Finančni subjekti si lahko med seboj izmenjujejo informacije in obveščevalne podatke o kibernetskih grožnjah,

• če je to namenjeno krepitvi njihove digitalne operativne odpornosti;
• pod pogojem, da se to zgodi znotraj njihovih zaupanja vrednih skupnosti;
• da s tem ščitijo poslovno zaupnost in osebne podatke ter spoštujejo pravila politike konkurence.

Kazni in popravni ukrepi

Pristojni organi:

• imajo vsa nadzorna, preiskovalna in sankcijska pooblastila, potrebna za opravljanje svojih nalog;
• naložijo in objavijo na svojih spletnih straneh upravne kazni in popravne ukrepe, ki jih določa nacionalna zakonodaja.

ESA pripravljajo regulativne tehnične standarde za orodja za obvladovanje tveganja IKT, razvrščanje in poročanje o incidentih, povezanih z IKT, ter izvajanje nadzornih dejavnosti.

Komisija:

• ima pooblastilo za sprejemanje delegiranih aktov,
• do 17. januarja 2028 po posvetovanju z evropskimi nadzornimi organi in Evropskim odborom za sistemska tveganja predloži pregled uredbe Parlamentu in Svetu.

Uredba spreminja uredbe (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 909/2014, (EU) št. 600/2014 in (EU) 2016/1011.

OD KDAJ SE TA UREDBA UPORABLJA?

Uporablja se od 17. januarja 2025.

OZADJE

Reforme, ki so sledile finančni krizi leta 2008, so predvsem okrepile finančno stabilnost sektorja. Tveganja IKT so bila na nekaterih področjih obravnavana le posredno in so še naprej predstavljala izziv za operativno odpornost, uspešnost in stabilnost finančnega sistema EU.

Uredba, znana kot DORA, je del večjega paketa digitalnih financ, katerega namen je spodbujati tehnološki razvoj ter zagotoviti finančno stabilnost in varstvo potrošnikov. Njegovi drugi elementi zajemajo digitalno finančno strategijo, trge kripto sredstev in tehnologijo porazdeljene knjige.

Več informacij je na voljo na strani:

• Digitalni finančni paket (Evropska komisija).

GLAVNI DOKUMENT

Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1–79).

POVEZANI DOKUMENTI

Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij o digitalni finančni strategiji za EU (COM(2020) 591 final, 24.9.2020).

Uredba (EU) 2016/1011 Evropskega parlamenta in Sveta z dne 8. junija 2016 o indeksih, ki se uporabljajo kot referenčne vrednosti v finančnih instrumentih in finančnih pogodbah ali za merjenje uspešnosti investicijskih skladov, in spremembi direktiv 2008/48/ES in 2014/17/EU ter Uredbe (EU) št. 596/2014 (UL L 171, 29.6.2016, str. 1–65).

Nadaljnje spremembe Uredbe (EU) 2016/1011 so vključene v izvirno besedilo. Ta prečiščena različica ima samo dokumentarno vrednost.

Uredba (EU) št. 909/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o izboljšanju ureditve poravnav vrednostnih papirjev v Evropski uniji in o centralnih depotnih družbah ter o spremembi direktiv 98/26/ES in 2014/65/EU ter Uredbe (EU) št. 236/2012 (UL L 257, 28.8.2014, str. 1–72).

Glej prečiščeno različico.

Uredba (EU) št. 600/2014 Evropskega parlamenta in Sveta z dne 15. maja 2014 o trgih finančnih instrumentov in spremembi Uredbe (EU) št. 648/2012 (UL L 173, 12.6.2014, str. 84–148).

Glej prečiščeno različico.

Uredba (EU) št. 648/2012 Evropskega parlamenta in Sveta z dne 4. julija 2012 o izvedenih finančnih instrumentih OTC, centralnih nasprotnih strankah in repozitorijih sklenjenih poslov (UL L 201, 27.7.2012, str. 1–59).

Glej prečiščeno različico.

Uredba (ES) št. 1060/2009 Evropskega parlamenta in Sveta z dne 16. septembra 2009 o bonitetnih agencijah (UL L 302, 17.11.2009, str. 1–31).

Glej prečiščeno različico.

Zadnja posodobitev 10.01.2024