Nariadenie DORA (Digital Operational Resilience Act) vstúpilo do platnosti v januári 2025 a prináša jednotný regulačný rámec pre digitálnu prevádzkovú odolnosť finančného sektora v celej Európskej únii. Pre finančné inštitúcie a ich ICT dodávateľov na Slovensku to znamená zásadné zmeny v prístupe ku kybernetickej bezpečnosti.
Čo je DORA
DORA je nariadenie EÚ, ktoré na rozdiel od smerníc (ako NIS2) platí priamo bez potreby transpozície do národného práva. Jeho cieľom je zabezpečiť, aby finančné subjekty dokázali odolať kybernetickým hrozbám, reagovať na incidenty a rýchlo obnoviť svoju prevádzku.
Koho sa DORA týka
Nariadenie sa vzťahuje na široké spektrum subjektov finančného sektora:
- Banky a úverové inštitúcie
- Poisťovne a zaisťovne
- Investičné spoločnosti a správcovské spoločnosti
- Platobné inštitúcie a poskytovatelia platobných služieb
- Poskytovatelia služieb kryptoaktív
- Kritickí poskytovatelia ICT služieb — cloudové platformy, dátové centrá, poskytovatelia softvéru
Päť pilierov DORA
Nariadenie je postavené na piatich vzájomne prepojených pilieroch:
- Riadenie ICT rizík — komplexný rámec pre identifikáciu, ochranu, detekciu, reakciu a obnovu v kontexte ICT rizík. Zahŕňa pravidelnú aktualizáciu stratégie digitálnej odolnosti.
- Hlásenie ICT incidentov — povinnosť klasifikovať a hlásiť závažné ICT incidenty príslušným orgánom v stanovených lehotách. Zavedenie jednotného formátu hlásení.
- Testovanie digitálnej odolnosti — pravidelné testovanie ICT systémov vrátane penetračných testov na základe hrozieb (TLPT) pre systémovo významné subjekty.
- Riadenie rizík tretích strán — prísne požiadavky na zmluvné vzťahy s ICT dodávateľmi, vrátane hodnotenia koncentračného rizika a exit stratégií.
- Zdieľanie informácií — podpora výmeny informácií o kybernetických hrozbách medzi finančnými subjektmi v rámci dôveryhodných komunít.
Praktické kroky implementácie
Pre úspešnú implementáciu DORA odporúčame nasledujúci postup:
- Gap analýza — zmapujte súčasný stav oproti požiadavkám DORA a identifikujte oblasti vyžadujúce zlepšenie
- Register ICT dodávateľov — vytvorte a udržiavajte kompletný register všetkých ICT poskytovateľov s hodnotením rizík
- Revízia zmlúv — aktualizujte zmluvy s ICT dodávateľmi o povinné klauzuly vyžadované nariadením
- Program testovania — nastavte pravidelný program testovania digitálnej odolnosti primeraný veľkosti organizácie
- Procesy hlásenia — implementujte interné procesy klasifikácie a hlásenia ICT incidentov
- Governance — zabezpečte zapojenie vedenia do stratégie digitálnej odolnosti
DORA predstavuje príležitosť nielen pre dosiahnutie regulačného súladu, ale aj pre reálne posilnenie kybernetickej odolnosti finančných organizácií na Slovensku.
Potrebujete pomoc s implementáciou? Kontaktujte nás pre bezplatnú konzultáciu.