The Digital Operational Resilience Act, DORA stupio je na snagu 16. siječnja 2023., a primjenjivat će se od 17. siječnja 2025.godine.
Ovoj regultivi je cilj ojačati IT sigurnost financijskih pravnih subjekata kao što su banke, osiguravajuća društva i investicijska društva te osigurati otpornost financijskog sektora u Europi u slučaju ozbiljnih operativnih poremećaja usklađivanjem pravila.
DORA se odnosi na sve financijske institucije u EU. To uključuje tradicionalne financijske subjekte kao što su banke, investicijske tvrtke i kreditne institucije te netradicionalne subjekte, uključujući pružatelje usluga virtualne imovine i platforme za prikupljanje sredstava (crowdfunding platforms).
Primjenjuje se također na neke pravne subjekte koji su obično isključeni iz primjene određenih financijskih propisa. Na primjer, pružatelji usluga trećih strana vezano za ICT sustave i usluge — poput pružatelja usluga u oblaku i podatkovnih centara — oni moraju slijediti zahtjeve DORA-e. DORA također pokriva tvrtke koje pružaju informacijske usluge trećih strana, kao što su usluge kreditnog rejtinga i pružatelji analitike podataka.
Kratki pregled pet DORA stupova
DORA uspostavlja transformativni regulatorni okvir u pet stupova za rješavanje rizika informacijske i komunikacijske tehnologije (ICT) u financijskom sektoru.
Zahtjevi upravljanja ICT rizikom:
DORA polaže „punu i konačnu odgovornost” na upravljačko tijelo financijskih pravnih subjekata, usmjeravajući ih da definiraju strategiju digitalne operativne otpornosti, postave strategije rizika i odobre adekvatne politike za ICT pružatelje trećih strana (ICT Third-Party Providers, TPP). Tvrtke moraju precizno identificirati kritične ili važne funkcije (Critical or Important Functions, CIF) te provesti analize utjecaja na poslovanje kako bi utvrdile svoj fokus i realizirali izvršenje strategije.
Klasifikacija i izvješćivanje o ICT incidentima:
Uvodeći poboljšanja u postojeće obveze EU-a o izvješćivanju o incidentima, DORA obvezuje financijske subjekte da odmah obavijeste relevantne strane o značajnim kibernetičkim prijetnjama i sveobuhvatno dokumentiraju takve incidente. Na ovaj način se prisiljava financijske subjekte da poboljšaju svoje sposobnosti za klasificiranje i izvješćivanje o ICT incidentima i prijetnjama, osiguravajući proaktivan odgovor na nove rizike.
Digitalno testiranje operativne otpornosti:
DORA nameće godišnje testove sigurnosti i otpornosti kritičnih ICT sustava, rješavajući identificirane ranjivosti. Nalaže se provođenje Advanced Threat-Led Penetration Testing-a (TLPT) svake tri godine. Testiranje obuhvaća sve pružatelje trećih strana (TPP) koji podržavaju CIF-ove.
Upravljanje rizikom treće strane (TPRM):
Proširujući postojeće ESA smjernice, DORA-ini TPRM zahtjevi pokrivaju ICT outsourcing pružatelja usluga izvan oblaka (Cloud Service Provider, CSP), pojačavajući pritisak na financijske subjekte vezano uz pregovore s pružateljima. Pravno obvezujući uvjeti naglašavaju potrebu za procjenama rizika.
Okvir za nadzor trećih pružatelja ICT-a:
Dodjeljujući opsežne nadzorne ovlasti ESA-ima nad kritičnim ICT pružateljima trećih strana (CTPP-ovima), DORA ovlašćuje ESA-e da procjenjuju, zahtijevaju promjene sigurnosne prakse i sankcioniraju CTPP-ove. Zaštitne mjere osiguravaju da obustava ili raskid ugovora s CTPP-ovima budu iznimka, s obzirom na implikacije na cijeli sektor. Zajednički nadzorni forum (Joint Oversight Forum, JOF) zauzima istaknuto mjesto u postavljanju preciznih standarda za očekivanu otpornost CTPP-ova, pridonoseći snažnoj strukturi nadzora.
Što je regulatorni tehnički standard?
Regulatorni tehnički standard (RTS) vrsta je regulatornog instrumenta koji se koristi u Europskoj uniji za pružanje detaljnih tehničkih specifikacija za provedbu određenih aspekata regulative. RTS-ove razvijaju europska nadzorna tijela (ESA) kako bi pružila detaljnije smjernice i definirala posebna pravila koja nadopunjuju šire odredbe navedene u primarnom zakonodavstvu.
Glavni tekst DORA-e, koji se često naziva kolokvijalno Razina 1, sadrži sveobuhvatne obveze i ciljeve. Za operacionalizaciju i pružanje detaljnijih smjernica o tome kako bi se te odredbe trebale provoditi, ESA-evi razvijaju Regulatorne tehničke standarde (RTS), koji se smatraju Razinom 2.
Finalizirani nacrti posljednjih regulatornih tehničkih standarda (RTS)
U srpnju je zajedničko tijelo (Joint Committee, JC) triju europskih nadzornih tijela (European Supervisory Authorities, ESA) objavilo zajednička izvješća, među ostalim, o finaliziranim nacrtima posljednjih regulatornih tehničkih standarda (RTS) prema Uredbi (EU) 2022/2554 (DORA).
Ovi konačni nacrti uzimaju u obzir povratne informacije i komentare koje je JC primio tijekom faze savjetovanja koja je završila 4. ožujka 2024. Vlasti i korporacije pozvane su da dostave komentare i odgovore u vezi s nacrtima konzultacija RTS-a.
Ova zajednička izvješća uključuju konačne nacrte pet RTS-a, koji predstavljaju važne specifikacije određenih aspekata koje je postavila DORA:
Nadalje, zajednička izvješća uključuju i konačne nacrte sljedećih dokumenata:
Smjernice su usvojene od nadzornih odbora triju ESA-a. Konačni nacrt tehničkih standarda dostavljen je Europskoj komisiji, koja će izvršiti reviziju s ciljem usvajanja u narednim mjesecima.
RTS o izvještavanju o velikim ICT incidentima i značajnim cyber prijetnjama
Ovaj RTS između ostalog navodi sadržaj izvješća i rokove u slučaju velikih incidenata povezanih s ICT-om te značajne kibernetičke prijetnje.
U usporedbi s nacrtom RTS-a objavljenim 8. prosinca 2023. tijekom faze konzultacija, konačni nacrt uključuje nekoliko važnih promjena, uključujući:
RTS o ujednačavanju uvjeta za obavljanje poslova nadzora
Jedan od ciljeva DORA-e je implementacija na paneuropskoj razini za kibersigurnost usklađivanjem uvjeta koji omogućuju nadzor i stvaranjem novog nadzornog okvira za nadzor kritičnih ICT pružatelja usluga treće strane (CTPP) u Europi.
Ovaj RTS navodi:
Glavne promjene u konačnom nacrtu odnose se na:
RTS utvrđuje kriterije za određivanje sastava zajedničkog ispitnog tima (JET)
Ovaj RTS navodi određene informacije, kriterije i pojedinosti kako bi omogućio ESA-ama i nacionalnim nadležnim tijelima da usklade uvjete koji omogućuju provedbu nadzora, posebno za uspostavu paneuropskog okvira nadzora nad CTPP-ovima.
Ovo uključuje:
JET se sastoji od članova osoblja iz:
RTS o penetracijskom testiranju (TLPT)
Ovaj RTS navodi kriterije koji se koriste za identifikaciju financijskih subjekata koji su potrebni za obavljanje TLPT-a, zahtjeve i standarde koji uređuju korištenje internih testera, zahtjeve u vezi s opsegom, metodologiju testiranja i pristup za svaku fazu testiranja, rezultate, faze zatvaranja i sanacije i vrstu nadzorne i druge relevantne suradnje potrebne za provedbu TLPT-a i za olakšavanje međusobnog priznavanja.
Nakon procesa konzultacija, napravljeno je nekoliko izmjena u nacrtu RTS-a, uključujući:
Posljednji konačni nacrt za RTS o podugovaranju objavljen je 26. srpnja 2024.
Ovaj RTS specificira elemente koje financijski subjekt mora odrediti i procijeniti kada podugovara ICT usluge koje podržavaju kritične i važne funkcije. Dodatno, definira informacije koje mora sadržavati pisani podugovor.
RTS posebno navodi:
Konačni nacrt RTS-a uzima u obzir brojne povratne informacije a uglavnom se odnose na:
Prijelazno razdoblje: Ispitanici su sugerirali da bi ESA-e trebale razmotriti fleksibilnost kako bi se sudionicima na tržištu omogućilo dovoljno vremena za usklađivanje s konačnim zahtjevima. ESA-e su komentirale da DORA ne predviđa prijelazna razdoblja i stoga će se zahtjevi prema DORA-i primjenjivati na datum njezine primjene (tj. 17. siječnja 2025.).
Ima toga još.....
Uz sve obveze koje egzistiraju radi mnoštva regulative zaista treba biti spreman na vrijeme kako ne biste imali rizik neusklađenosti.