Početna Blog DORA

DORA

Svi članci
12.09.2024.

The Digital Operational Resilience Act, DORA stupio je na snagu 16. siječnja 2023., a primjenjivat će se od 17. siječnja 2025.godine.

Ovoj regultivi je cilj ojačati IT sigurnost financijskih pravnih subjekata kao što su banke, osiguravajuća društva i investicijska društva te osigurati otpornost financijskog sektora u Europi u slučaju ozbiljnih operativnih poremećaja usklađivanjem pravila.

DORA se odnosi na sve financijske institucije u EU. To uključuje tradicionalne financijske subjekte kao što su banke, investicijske tvrtke i kreditne institucije te netradicionalne subjekte, uključujući pružatelje usluga virtualne imovine i platforme za prikupljanje sredstava (crowdfunding platforms).

Primjenjuje se također na neke pravne subjekte koji su obično isključeni iz primjene određenih financijskih propisa. Na primjer, pružatelji usluga trećih strana vezano za ICT sustave i usluge — poput pružatelja usluga u oblaku i podatkovnih centara — oni moraju slijediti zahtjeve DORA-e. DORA također pokriva tvrtke koje pružaju informacijske usluge trećih strana, kao što su usluge kreditnog rejtinga i pružatelji analitike podataka.

Kratki pregled pet DORA stupova

DORA uspostavlja transformativni regulatorni okvir u pet stupova za rješavanje rizika informacijske i komunikacijske tehnologije (ICT) u financijskom sektoru.

Zahtjevi upravljanja ICT rizikom:

DORA polaže „punu i konačnu odgovornost” na upravljačko tijelo financijskih pravnih subjekata, usmjeravajući ih da definiraju strategiju digitalne operativne otpornosti, postave strategije rizika i odobre adekvatne politike za ICT pružatelje trećih strana (ICT Third-Party Providers, TPP). Tvrtke moraju precizno identificirati kritične ili važne funkcije (Critical or Important Functions, CIF) te provesti analize utjecaja na poslovanje kako bi utvrdile svoj fokus i realizirali izvršenje strategije.

Klasifikacija i izvješćivanje o ICT incidentima:

Uvodeći poboljšanja u postojeće obveze EU-a o izvješćivanju o incidentima, DORA obvezuje financijske subjekte da odmah obavijeste relevantne strane o značajnim kibernetičkim prijetnjama i sveobuhvatno dokumentiraju takve incidente. Na ovaj način se prisiljava financijske subjekte da poboljšaju svoje sposobnosti za klasificiranje i izvješćivanje o ICT incidentima i prijetnjama, osiguravajući proaktivan odgovor na nove rizike.

Digitalno testiranje operativne otpornosti:

DORA nameće godišnje testove sigurnosti i otpornosti kritičnih ICT sustava, rješavajući identificirane ranjivosti. Nalaže se provođenje Advanced Threat-Led Penetration Testing-a (TLPT) svake tri godine. Testiranje obuhvaća sve pružatelje trećih strana (TPP) koji podržavaju CIF-ove.

Upravljanje rizikom treće strane (TPRM):

Proširujući postojeće ESA smjernice, DORA-ini TPRM zahtjevi pokrivaju ICT outsourcing pružatelja usluga izvan oblaka (Cloud Service Provider, CSP), pojačavajući pritisak na financijske subjekte vezano uz pregovore s pružateljima. Pravno obvezujući uvjeti naglašavaju potrebu za procjenama rizika.

Okvir za nadzor trećih pružatelja ICT-a:

Dodjeljujući opsežne nadzorne ovlasti ESA-ima nad kritičnim ICT pružateljima trećih strana (CTPP-ovima), DORA ovlašćuje ESA-e da procjenjuju, zahtijevaju promjene sigurnosne prakse i sankcioniraju CTPP-ove. Zaštitne mjere osiguravaju da obustava ili raskid ugovora s CTPP-ovima budu iznimka, s obzirom na implikacije na cijeli sektor. Zajednički nadzorni forum (Joint Oversight Forum, JOF) zauzima istaknuto mjesto u postavljanju preciznih standarda za očekivanu otpornost CTPP-ova, pridonoseći snažnoj strukturi nadzora.

Što je regulatorni tehnički standard?

Regulatorni tehnički standard (RTS) vrsta je regulatornog instrumenta koji se koristi u Europskoj uniji za pružanje detaljnih tehničkih specifikacija za provedbu određenih aspekata regulative. RTS-ove razvijaju europska nadzorna tijela (ESA) kako bi pružila detaljnije smjernice i definirala posebna pravila koja nadopunjuju šire odredbe navedene u primarnom zakonodavstvu.

Glavni tekst DORA-e, koji se često naziva kolokvijalno Razina 1, sadrži sveobuhvatne obveze i ciljeve. Za operacionalizaciju i pružanje detaljnijih smjernica o tome kako bi se te odredbe trebale provoditi, ESA-evi razvijaju Regulatorne tehničke standarde (RTS), koji se smatraju Razinom 2.

Finalizirani nacrti posljednjih regulatornih tehničkih standarda (RTS)

U srpnju je zajedničko tijelo (Joint Committee, JC) triju europskih nadzornih tijela (European Supervisory Authorities, ESA) objavilo zajednička izvješća, među ostalim, o finaliziranim nacrtima posljednjih regulatornih tehničkih standarda (RTS) prema Uredbi (EU) 2022/2554 (DORA).

Ovi konačni nacrti uzimaju u obzir povratne informacije i komentare koje je JC primio tijekom faze savjetovanja koja je završila 4. ožujka 2024. Vlasti i korporacije pozvane su da dostave komentare i odgovore u vezi s nacrtima konzultacija RTS-a.

Ova zajednička izvješća uključuju konačne nacrte pet RTS-a, koji predstavljaju važne specifikacije određenih aspekata koje je postavila DORA:

  • RTS o izvješćivanju o velikim incidentima povezanim s ICT-om i značajnim cyber prijetnjama;
  • RTS Uvjeti za obavljanje poslova nadzora;
  • RTS koji specificira kriterije za određivanje sastava zajedničkog ispitnog tima (joint examination team, JET);
  • RTS o penetracijskom testiranju ( threat-led penetration testing,TLPT); i
  • RTS o podugovaranju.

Nadalje, zajednička izvješća uključuju i konačne nacrte sljedećih dokumenata:

  • Provedbeni tehnički standard o prijavljivanju velikih incidenata povezanih s ICT-om i značajnih kibernetičkih prijetnji; i
  • objavljene su dvije smjernice o (i) procjeni ukupnih troškova/gubitaka uzrokovanih velikim incidentima povezanima s ICT-om i (ii) suradnji u nadzoru, čime su nadzorna tijela krenula sa primjenom okvira kibernetičke sigurnosti DORA-e počevši od 17. siječnja 2025.

Smjernice su usvojene od nadzornih odbora triju ESA-a. Konačni nacrt tehničkih standarda dostavljen je Europskoj komisiji, koja će izvršiti reviziju s ciljem usvajanja u narednim mjesecima.

RTS o izvještavanju o velikim ICT incidentima i značajnim cyber prijetnjama

Ovaj RTS između ostalog navodi sadržaj izvješća i rokove u slučaju velikih incidenata povezanih s ICT-om te značajne kibernetičke prijetnje.

U usporedbi s nacrtom RTS-a objavljenim 8. prosinca 2023. tijekom faze konzultacija, konačni nacrt uključuje nekoliko važnih promjena, uključujući:

  • produljenje rokova za prijavu ICT incidenata (savjetovanje je uključivalo brojne povratne informacije o različitim zahtjevima NIS2 i GDPR);
  • smanjenje broja područja incidenata za prijavu;
  • omogućavanje jedinstvenog izvješćivanja financijskih subjekata koje nadzire jedno nadležno tijelo; i
  • daljnju provedbu načela proporcionalnosti smanjenjem i izuzećem manjih financijskih subjekata od obveze izvješćivanja vikendima i državnim praznicima.

RTS o ujednačavanju uvjeta za obavljanje poslova nadzora

Jedan od ciljeva DORA-e je implementacija na paneuropskoj razini  za kibersigurnost usklađivanjem uvjeta koji omogućuju nadzor i stvaranjem novog nadzornog okvira za nadzor kritičnih ICT pružatelja usluga treće strane (CTPP) u Europi.

Ovaj RTS navodi:

  • informacije koje pruža TPSP u zahtjevu - da se dobrovoljni zahtjev označi kao kritičan;
  • sadržaj, strukturu i format informacija koje ICT usluga treće strane treba dostaviti, objaviti ili prijaviti nadzornom tijelu, uključujući predložak za pružanje informacija o ugovorima o podugovaranju; i
  • pojedinosti procjene nadležnih tijela o mjerama koje poduzimaju CTPP-ovi na temelju preporuka glavnog nadzornog tijela.

Glavne promjene u konačnom nacrtu odnose se na:

  • opseg informacija koje pruža TPSP u aplikaciji koja će biti označena kao kritična;
  • odgovarajući identifikacijski kod; i
  • opseg i sadržaj informacija koje CTPP-ovi trebaju dostaviti glavnom nadzorniku, uključujući informacije o njihovim ugovorima o podugovaranju i procjenu nadležnih tijela o rizicima navedenim u preporukama.

RTS utvrđuje kriterije za određivanje sastava zajedničkog ispitnog tima (JET)

Ovaj RTS navodi određene informacije, kriterije i pojedinosti kako bi omogućio ESA-ama i nacionalnim nadležnim tijelima da usklade uvjete koji omogućuju provedbu nadzora, posebno za uspostavu paneuropskog okvira nadzora nad CTPP-ovima.

Ovo uključuje:

  • informacije koje pruža TPSP za dobrovoljni zahtjev treba označiti kao kritičan;
  • informacije koje dostavljaju TPSP-ovi, a koje su potrebne kako bi glavni nadzornik obavljao svoje dužnosti;
  • kriterije za određivanje sastava JET-a, njihovo imenovanje, zadaće i raspored rada;
  • pojedinosti procjene nadležnih tijela o mjerama koje poduzimaju CTPP-ovi na temelju preporuka glavnog nadzornika.

JET se sastoji od članova osoblja iz:

  • ESA-e;
  • relevantnih nadležnih tijela koja nadziru financijske subjekte kojima CTTP pruža ICT usluge;
  • nacionalnih nadležnih tijela određenih ili uspostavljenih u skladu s Direktivom NIS2 odgovorna za nadzor bitnog ili važnog subjekta koji podliježe toj Direktivi, a koji je određen kao CTPP, na dobrovoljnoj osnovi;
  • jednog nacionalnog nadležnog tijela iz države članice u kojoj je CTPP osnovan, na dobrovoljnoj osnovi.

RTS o penetracijskom testiranju (TLPT)

Ovaj RTS navodi kriterije koji se koriste za identifikaciju financijskih subjekata koji su potrebni za obavljanje TLPT-a, zahtjeve i standarde koji uređuju korištenje internih testera, zahtjeve u vezi s opsegom, metodologiju testiranja i pristup za svaku fazu testiranja, rezultate, faze zatvaranja i sanacije i vrstu nadzorne i druge relevantne suradnje potrebne za provedbu TLPT-a i za olakšavanje međusobnog priznavanja.

Nakon procesa konzultacija, napravljeno je nekoliko izmjena u nacrtu RTS-a, uključujući:

  • Transparentnija metoda izračuna koja se odnosi na kriterije i povećanje pragova koji se koriste za odabir određenih subjekata koji će prema zadanim postavkama izvoditi TLPT;
  • Pojašnjavanje procesa koji zahtijevaju proširenu suradnju između uključenih tijela za TLPT, u združenim i zajedničkim TLPT-ovima; i
  • Uvođenje fleksibilnosti u zahtjeve za vanjske i interne testere i pružatelje informacija o prijetnjama.
  • RTS o podugovaranju (objavljeno 26. srpnja)

Posljednji konačni nacrt za RTS o podugovaranju objavljen je 26. srpnja 2024.

Ovaj RTS specificira elemente koje financijski subjekt mora odrediti i procijeniti kada podugovara ICT usluge koje podržavaju kritične i važne funkcije. Dodatno, definira informacije koje mora sadržavati pisani podugovor.

RTS posebno navodi:

  • zahtjeve kada financijski subjekti dopuštaju korištenje podugovorenih ICT usluga koje podržavaju kritične ili važne funkcije ili njihove materijalne dijelove od strane TPSP-ova i utvrđuje uvjete koji se primjenjuju na takvo podugovaranje;
  • zahtjev za financijske subjekte da procijene rizike povezane s podugovaranjem tijekom predugovorne faze; to uključuje postupak dubinske analize.
  • zahtjevi u vezi s provedbom, praćenjem i upravljanjem ugovornim aranžmanom koji se odnosi na uvjete podugovaranja za korištenje ICT usluga koje podržavaju kritične ili važne funkcije ili njihove materijalne dijelove kako bi se osiguralo da financijski subjekti mogu nadzirati cijeli ICT podizvođački lanac ICT usluga koje podržavaju kritične ili važne funkcije.

Konačni nacrt RTS-a uzima u obzir brojne povratne informacije a uglavnom se odnose na:

  • Proporcionalnost: Primijenjen je razmjerniji pristup u pogledu zahtjeva za podugovaranje. Dane su brojne povratne informacije da bi zahtjevi postavljeni u nacrtu RTS-a bili preopterećujući kada bi se primijenili na cijeli lanac pružanja ICT usluga.
  • Praćenje podugovaračkog lanca: Ispitanici su sugerirali da bi odgovornost za praćenje ICT podizvođača trebala biti odgovornost TPSP-ova i stoga je ne bi trebalo prenijeti na financijski subjekt (koji nije ugovorna strana), iako bi financijski subjekt trebao biti naveden u ugovoru koji TPSP prati i vrši odgovarajući nadzor nad podizvođačem. Međutim, iako je europsko zakonodavstvo donijelo izričit politički izbor s DORA-om kako bi omogućilo financijskim subjektima da iskoriste prednosti inovativnih rješenja ne namećući čvrsta ograničenja na broj razina u podugovaračkom lancu kada ICT usluge koje podržavaju kritične ili važne usluge podugovaraju TPSP-a, još uvijek se navodi da bi financijski subjekt trebao biti u mogućnosti nadzirati lanac podugovaranja u cijelosti. U pogledu razmjerne primjene ovog zahtjeva, pojašnjeno je da financijska tijela trebaju posebno usmjeriti takvo praćenje na podizvođače koji učinkovito podupiru pružanje usluge.
  • Nametanje zahtjeva za TPSP-ove: RTS nameće posebne zahtjeve pružateljima ICT usluga treće strane, uključujući: odgovornost pružatelja usluga treće strane za pružanje informacija financijskom subjektu i zahtjeve za reviziju i prava pristupa. Ispitanici su bili zabrinuti da bi previše izravnih financijskih prava otežalo sklapanje ugovora o podugovaranju.
  • Raskid: Dobivene su povratne informacije koje bolje osiguravaju ravnotežu između ugovorne slobode i zakonskog prava FE-a da raskine ugovor s TPSP-om u specifičnim okolnostima pod materijalnim promjenama ugovora o podugovaranju. Pravo na prigovor na promjene u ugovorima o podugovaranju nije realno, uz napomenu da mnogi financijski subjekti nemaju potrebnu pregovaračku moć. ESA-e su odgovorile da su ta prava na raskid utvrđena zakonom i stoga se ne mogu ukinuti putem RTS-a.

Prijelazno razdoblje: Ispitanici su sugerirali da bi ESA-e trebale razmotriti fleksibilnost kako bi se sudionicima na tržištu omogućilo dovoljno vremena za usklađivanje s konačnim zahtjevima. ESA-e su komentirale da DORA ne predviđa prijelazna razdoblja i stoga će se zahtjevi prema DORA-i primjenjivati ​​na datum njezine primjene (tj. 17. siječnja 2025.).

Ima toga još..... 

Uz sve obveze koje egzistiraju radi mnoštva regulative zaista treba biti spreman na vrijeme kako ne biste imali rizik neusklađenosti.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori