Právní okénko: DORA – Nařízení o digitální provozní odolnosti

Koncem loňského roku přijala Evropská unie nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru, známé jako „nařízení o digitální odolnosti“ zkráceně DORA (z anglického „Digital Operational Resilience Act“). Cílem tohoto komplexního nařízení je zvýšit kybernetickou bezpečnost, řešit kybernetická rizika a incidenty související s informačními a komunikačními technologiemi (IKT) a zlepšit digitální provozní odolnost na evropském finančním trhu.

Evropská komise navrhla DORA 24. září 2020 jako součást balíčku pro digitalizaci finančního sektoru. Součástí tohoto balíčku je rovněž právní akt o regulaci trhů s kryptoaktivy (MiCAR), návrh pilotního nařízení pro tržní infrastruktury založené na technologii distribuované účetní knihy (DLT) a strategie pro digitální finance.

Mnohé požadavky DORA by již měly být českým institucím a společnostem ve finančním sektoru známy. Půjde pak zvláště o platební instituce a další subjekty v oblasti platebního styku, na které již nyní dopadá vyhláška č. 7/2018 Sb. ve znění pozdějších předpisů a je zejména její přílohou a které již mají zkušenost s implementací Obecných pokynů EBA pro řízení rizik v oblasti IKT a bezpečnosti.

Níže předkládáme základní informace o tomto nařízení, které bude mít zásadní význam i pro fintechové společnosti, jakož i přehled aktuálního stavu prováděcích opatření, které se budou k DORA vztahovat a která lze považovat za zcela klíčová pro správnou implementaci a správný výklad DORA.

Oblast působnosti

V ČR se bude DORA vztahovat na téměř všechny subjekty dohlížené Českou národní bankou a dále na další společnosti působící v oblasti finančního sektoru. Konsoliduje totiž napříč různé požadavky týkající se kybernetické bezpečnosti, rizik v oblasti informačních a komunikačních technologií a digitální provozní odolnosti.

Klíčové oblasti regulace – DORA

DORA se zaměřuje na šest klíčových oblastí pro posílení digitální provozní odolnosti:

1. Řízení rizik IKT
2. Oznamování v oblasti informačních a komunikačních technologií a závažných kybernetických hrozeb
3. Testování digitální provozní odolnosti, včetně provádění penetračních testů na základě hrozeb (angl. threat-led penetration testing – TLPT).
4. Řízení spolupráce s poskytovateli služeb IKT z řad třetích stran
5. Evropský monitorovací rámec pro poskytovatele kritických poskytovatelů služeb IKT z řad třetích stran
6. Sdílení informací, kybernetické krize a simulace mimořádných událostí

Datum účinnosti a aplikace

DORA a související regulatorní předpisy by měly být použitelné od 17. ledna 2025, tedy za necelého půldruhého roku.

Přijímání prováděcích předpisů

Tři evropské orgány dohledu, Evropský orgán pro cenné papíry a trhy (ESMA), Evropský orgán pro bankovnictví (EBA) a Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA), spolupracují na přípravě regulatorních technických norem, prováděcích norem a pokynů, které dále upřesňují uplatňování DORA ve všech oblastech jeho působnosti.

Související změny

Současně s nařízením DORA byla přijata také směrnice o změně některých evropských směrnic (2022/2556), která má zajistit soulad těchto předpisů v oblasti regulované DORA. Změnová směrnice DORA mění zejména evropské směrnice 2009/65/ES (směrnice o SKIPCP), 2009/138/ES (Solventnost II), 2011/61/EU (směrnice o správcích alternativních investičních fondů), 2013/36/EU (směrnice o vlastním kapitálu; CRD), 2014/59/EU (směrnice o řešení krizí), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) a (EU) 2016/2341 (směrnice EbaAV-II).

Základní informace

DORA byla přijata Evropským parlamentem a Evropskou radou dne 14. prosince 2022. V Úředním věstníku Evropské unie byla zveřejněna 27. prosince 2022 a vstoupila v platnost 17. ledna 2023.

Evropská komise navrhla DORA 24. září 2020 jako součást balíčku pro digitalizaci finančního sektoru. Součástí tohoto balíčku je rovněž právní akt o regulaci trhů s kryptoaktivy (MiCAR), návrh pilotního nařízení pro tržní infrastruktury založené na technologii distribuované účetní knihy (DLT) a strategie pro digitální finance.

Mnohé požadavky DORA by již měly být českým institucím a společnostem ve finančním sektoru známy. Půjde pak zvláště o platební instituce a další subjekty v oblasti platebního styku, na které již nyní dopadá vyhláška č. 7/2018 Sb. ve znění pozdějších předpisů a je zejména její přílohou a které již mají zkušenost s implementací Obecných pokynů EBA pro řízení rizik v oblasti IKT a bezpečnosti.

Podrobnosti o konzultaci

Aktuální konzultace k programu DORA

V současné době neprobíhají žádné veřejné konzultace o nařízení DORA. Další veřejná konzultace, kterou povedou evropské orgány dohledu EBA, ESMA a EIOPA, je naplánována na konec listopadu nebo začátek prosince 2023. Tato konzultace bude zahrnovat různé návrhy, mj:

• Konzultace RTS o penetračních testech na základě hrozeb (čl. 26 odst. 11)
• Konzultace RTS o upřesnění prvků, které musí finanční subjekt určit a posoudit při subdodávkách služeb IKT podporujících zásadní nebo důležité funkce (čl. 30 odst. 5)
• Konzultace RTS k oznamování závažných incidentů v oblasti IKT (čl. 20 písm. a))
• Konzultace s ITS za účelem stanovení podrobností hlášení závažných incidentů souvisejících s IKT (čl. 20 písm. b))
• Konzultace GL pro spolupráci mezi ESA a příslušnými orgány ohledně výměny informací (čl. 32 odst. 7)
• Konzultace RTS o harmonizaci podmínek pro provádění dohledu (čl. 41)

Ukončené konzultace

Od 19. června 2023 do 11. září 2023 probíhala společná konzultace evropských orgánů dohledu o návrzích technických regulatorních a prováděcích normách pro DORA. Tato konzultace zahrnovala návrhy pro:

• Konzultace k RTS o rámci řízení rizik v oblasti IKT (čl. 15) a RTS o zjednodušeném rámci pro řízení rizika v oblasti IKT (čl. 16)
• Konzultace k RTS o kritériích pro klasifikaci incidentů souvisejících s IKT (čl. 18 odst. 3)
• Konzultace o ITS pro vytvoření vzorů pro účely registru informací (čl. 28 odst. 9)
• Konzultace o RTS, která má upřesnit politiku týkající se služeb IKT poskytovaných třetími stranami (čl. 28 odst. 10)

Nejčastěji kladené dotazy

Na které subjekty bude DORA dopadat?

Osobní působnosti nařízení vymezuje č. 2 odst. 1. DORA se má vztahovat na následující subjekty:

• úvěrové instituce;
• platební instituce, včetně poskytovatelů platebních služeb malého rozsahu;
• správce informací o platebním účtu;
• instituce elektronických peněz, včetně vydavatelů elektronických peněz malého rozsahu;
• investiční podniky (obchodníky s cennými papíry);
• poskytovatele služeb souvisejících s kryptoaktivy, kterým bylo uděleno povolení podle nařízení Evropského parlamentu a Rady o trzích s kryptoaktivy, a vydavatele tokenů vázaných na aktiva;
• centrální depozitáře cenných papírů;
• ústřední protistrany;
• obchodní systémy;
• registry obchodních údajů;
• správce alternativních investičních fondů;
• správcovské společnosti;
• poskytovatele služeb hlášení udajů;
• pojišťovny a zajišťovny;
• zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění; instituce zaměstnaneckého penzijního pojištění;
• ratingové agentury;
• správce kritických referenčních hodnot; poskytovatele služeb skupinového financování;
• registry sekuritizací;
• poskytovatele služeb IKT z řad třetích stran.

Výjimky platí pro následující subjekty:

• správce alternativních investičních fondů podle čl.3 odst.2 směrnice2011/61/EU;
• pojišťovny a zajišťovny podle čl. 4 směrnice 2009/138/ES;
• instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků;
• fyzické nebo právnické osoby vyňaté podle čl.2 a 3 směrnice2014/65/EU;
• zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění, kteří jsou mikropodniky, malými nebo středními podniky.

Jak DORA definuje „incident související s IKT“?

Incident související s IKT je jediná událost nebo řada propojených událostí, které finanční subjekt neplánoval a které ohrožují bezpečnost sítí a informačních systémů a mají nepříznivý dopad na dostupnost, hodnověrnost, integritu nebo důvěrnost údajů nebo na služby, které finanční subjekt poskytuje.

Co to jsou služby IKT ve smyslu DORA?

Služby IKT jsou digitální a datové služby poskytované prostřednictvím systémů IKT průběžně jednomu nebo více interním nebo externím uživatelům. To znamená hardwaru jako služby a hardwarových služeb, které zahrnují poskytování technické podpory prostřednictvím aktualizací softwaru nebo firmwaru poskytovatelem hardwaru, s výjimkou tradičních analogových telefonních služeb.

Poskytovatelem služeb IKT z řad třetích stran se tedy rozumí subjekty, který tyto činnosti vykonávají.

Autorem právního okénka je AK FINREG PARTNERS

Jan Šovar, AK FINREG PARTNERS

Jan Šovar je advokátem a  jedním z předních expertů v oblasti práva finančního trhu a poradenství pro fintechy. Prostřednictvím kanceláře FINREG PARTNERS, kterou spoluzakládal,  pomáhá klientům s komplexními právními otázkami ohledně práva finančního sektoru.

AK FINREG PARTNERS

FINREF PARTNERS je advokátní kancelář. Její právní a regulatorní poradenství přesahuje hranice tradičního výkonu advokacie. Klientům poskytujete široké spektrum právních služeb v oblasti finančního trhu, včetně externího výkonu compliance a interního auditu. Soustředí se rovněž na problematiku občanského a obchodního práva zejména v souvislosti s přípravou smluv, obchodních podmínek a jiných dokumentů, které klienti potřebují při své činnosti.