Přeskočit na obsah
Dostupnější fintech přináší!robomarkets
Novinky

Právní okénko: DORA – Nařízení o digitální provozní odolnosti

AK FINREG PARTNERS
Právní okénko: DORA - Nařízení o digitální provozní odolnosti

Koncem loňského roku přijala Evropská unie nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru, známé jako „nařízení o digitální odolnosti“ zkráceně DORA (z anglického „Digital Operational Resilience Act“). Cílem tohoto komplexního nařízení je zvýšit kybernetickou bezpečnost, řešit kybernetická rizika a incidenty související s informačními a komunikačními technologiemi (IKT) a zlepšit digitální provozní odolnost na evropském finančním trhu.

Evropská komise navrhla DORA 24. září 2020 jako součást balíčku pro digitalizaci finančního sektoru. Součástí tohoto balíčku je rovněž právní akt o regulaci trhů s kryptoaktivy (MiCAR), návrh pilotního nařízení pro tržní infrastruktury založené na technologii distribuované účetní knihy (DLT) a strategie pro digitální finance.

Mnohé požadavky DORA by již měly být českým institucím a společnostem ve finančním sektoru známy. Půjde pak zvláště o platební instituce a další subjekty v oblasti platebního styku, na které již nyní dopadá vyhláška č. 7/2018 Sb. ve znění pozdějších předpisů a je zejména její přílohou a které již mají zkušenost s implementací Obecných pokynů EBA pro řízení rizik v oblasti IKT a bezpečnosti.

Níže předkládáme základní informace o tomto nařízení, které bude mít zásadní význam i pro fintechové společnosti, jakož i přehled aktuálního stavu prováděcích opatření, které se budou k DORA vztahovat a která lze považovat za zcela klíčová pro správnou implementaci a správný výklad DORA.

Oblast působnosti

V ČR se bude DORA vztahovat na téměř všechny subjekty dohlížené Českou národní bankou a dále na další společnosti působící v oblasti finančního sektoru. Konsoliduje totiž napříč různé požadavky týkající se kybernetické bezpečnosti, rizik v oblasti informačních a komunikačních technologií a digitální provozní odolnosti.

Klíčové oblasti regulace – DORA

DORA se zaměřuje na šest klíčových oblastí pro posílení digitální provozní odolnosti:

  1. Řízení rizik IKT
  2. Oznamování v oblasti informačních a komunikačních technologií a závažných kybernetických hrozeb
  3. Testování digitální provozní odolnosti, včetně provádění penetračních testů na základě hrozeb (angl. threat-led penetration testing – TLPT).
  4. Řízení spolupráce s poskytovateli služeb IKT z řad třetích stran
  5. Evropský monitorovací rámec pro poskytovatele kritických poskytovatelů služeb IKT z řad třetích stran
  6. Sdílení informací, kybernetické krize a simulace mimořádných událostí

Datum účinnosti a aplikace

DORA a související regulatorní předpisy by měly být použitelné od 17. ledna 2025, tedy za necelého půldruhého roku.

Přijímání prováděcích předpisů

Tři evropské orgány dohledu, Evropský orgán pro cenné papíry a trhy (ESMA), Evropský orgán pro bankovnictví (EBA) a Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA), spolupracují na přípravě regulatorních technických norem, prováděcích norem a pokynů, které dále upřesňují uplatňování DORA ve všech oblastech jeho působnosti.

Související změny

Současně s nařízením DORA byla přijata také směrnice o změně některých evropských směrnic (2022/2556), která má zajistit soulad těchto předpisů v oblasti regulované DORA. Změnová směrnice DORA mění zejména evropské směrnice 2009/65/ES (směrnice o SKIPCP), 2009/138/ES (Solventnost II), 2011/61/EU (směrnice o správcích alternativních investičních fondů), 2013/36/EU (směrnice o vlastním kapitálu; CRD), 2014/59/EU (směrnice o řešení krizí), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) a (EU) 2016/2341 (směrnice EbaAV-II).

Základní informace

DORA byla přijata Evropským parlamentem a Evropskou radou dne 14. prosince 2022. V Úředním věstníku Evropské unie byla zveřejněna 27. prosince 2022 a vstoupila v platnost 17. ledna 2023.

Evropská komise navrhla DORA 24. září 2020 jako součást balíčku pro digitalizaci finančního sektoru. Součástí tohoto balíčku je rovněž právní akt o regulaci trhů s kryptoaktivy (MiCAR), návrh pilotního nařízení pro tržní infrastruktury založené na technologii distribuované účetní knihy (DLT) a strategie pro digitální finance.

Mnohé požadavky DORA by již měly být českým institucím a společnostem ve finančním sektoru známy. Půjde pak zvláště o platební instituce a další subjekty v oblasti platebního styku, na které již nyní dopadá vyhláška č. 7/2018 Sb. ve znění pozdějších předpisů a je zejména její přílohou a které již mají zkušenost s implementací Obecných pokynů EBA pro řízení rizik v oblasti IKT a bezpečnosti.

Podrobnosti o konzultaci

Aktuální konzultace k programu DORA

V současné době neprobíhají žádné veřejné konzultace o nařízení DORA. Další veřejná konzultace, kterou povedou evropské orgány dohledu EBA, ESMA a EIOPA, je naplánována na konec listopadu nebo začátek prosince 2023. Tato konzultace bude zahrnovat různé návrhy, mj:

  • Konzultace RTS o penetračních testech na základě hrozeb (čl. 26 odst. 11)
  • Konzultace RTS o upřesnění prvků, které musí finanční subjekt určit a posoudit při subdodávkách služeb IKT podporujících zásadní nebo důležité funkce (čl. 30 odst. 5)
  • Konzultace RTS k oznamování závažných incidentů v oblasti IKT (čl. 20 písm. a))
  • Konzultace s ITS za účelem stanovení podrobností hlášení závažných incidentů souvisejících s IKT (čl. 20 písm. b))
  • Konzultace GL pro spolupráci mezi ESA a příslušnými orgány ohledně výměny informací (čl. 32 odst. 7)
  • Konzultace RTS o harmonizaci podmínek pro provádění dohledu (čl. 41)

Ukončené konzultace

Od 19. června 2023 do 11. září 2023 probíhala společná konzultace evropských orgánů dohledu o návrzích technických regulatorních a prováděcích normách pro DORA. Tato konzultace zahrnovala návrhy pro:

  • Konzultace k RTS o rámci řízení rizik v oblasti IKT (čl. 15) a RTS o zjednodušeném rámci pro řízení rizika v oblasti IKT (čl. 16)
  • Konzultace k RTS o kritériích pro klasifikaci incidentů souvisejících s IKT (čl. 18 odst. 3)
  • Konzultace o ITS pro vytvoření vzorů pro účely registru informací (čl. 28 odst. 9)
  • Konzultace o RTS, která má upřesnit politiku týkající se služeb IKT poskytovaných třetími stranami (čl. 28 odst. 10)

Odběr novinek

Dostávejte pravidelné tipy ze světa FinTechu!

Nejčastěji kladené dotazy

Na které subjekty bude DORA dopadat?

Osobní působnosti nařízení vymezuje č. 2 odst. 1. DORA se má vztahovat na následující subjekty:

  • úvěrové instituce;
  • platební instituce, včetně poskytovatelů platebních služeb malého rozsahu;
  • správce informací o platebním účtu;
  • instituce elektronických peněz, včetně vydavatelů elektronických peněz malého rozsahu;
  • investiční podniky (obchodníky s cennými papíry);
  • poskytovatele služeb souvisejících s kryptoaktivy, kterým bylo uděleno povolení podle nařízení Evropského parlamentu a Rady o trzích s kryptoaktivy, a vydavatele tokenů vázaných na aktiva;
  • centrální depozitáře cenných papírů;
  • ústřední protistrany;
  • obchodní systémy;
  • registry obchodních údajů;
  • správce alternativních investičních fondů;
  • správcovské společnosti;
  • poskytovatele služeb hlášení udajů;
  • pojišťovny a zajišťovny;
  • zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění; instituce zaměstnaneckého penzijního pojištění;
  • ratingové agentury;
  • správce kritických referenčních hodnot; poskytovatele služeb skupinového financování;
  • registry sekuritizací;
  • poskytovatele služeb IKT z řad třetích stran.

Výjimky platí pro následující subjekty:

  • správce alternativních investičních fondů podle čl.3 odst.2 směrnice2011/61/EU;
  • pojišťovny a zajišťovny podle čl. 4 směrnice 2009/138/ES;
  • instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků;
  • fyzické nebo právnické osoby vyňaté podle čl.2 a 3 směrnice2014/65/EU;
  • zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění, kteří jsou mikropodniky, malými nebo středními podniky.

Jak DORA definuje „incident související s IKT“?

Incident související s IKT je jediná událost nebo řada propojených událostí, které finanční subjekt neplánoval a které ohrožují bezpečnost sítí a informačních systémů a mají nepříznivý dopad na dostupnost, hodnověrnost, integritu nebo důvěrnost údajů nebo na služby, které finanční subjekt poskytuje.

Co to jsou služby IKT ve smyslu DORA?

Služby IKT jsou digitální a datové služby poskytované prostřednictvím systémů IKT průběžně jednomu nebo více interním nebo externím uživatelům. To znamená hardwaru jako služby a hardwarových služeb, které zahrnují poskytování technické podpory prostřednictvím aktualizací softwaru nebo firmwaru poskytovatelem hardwaru, s výjimkou tradičních analogových telefonních služeb.

Poskytovatelem služeb IKT z řad třetích stran se tedy rozumí subjekty, který tyto činnosti vykonávají.

Autorem právního okénka je AK FINREG PARTNERS

Jan Šovar, AK FINREG PARTNERS

Jan Šovar je advokátem a  jedním z předních expertů v oblasti práva finančního trhu a poradenství pro fintechy. Prostřednictvím kanceláře FINREG PARTNERS, kterou spoluzakládal,  pomáhá klientům s komplexními právními otázkami ohledně práva finančního sektoru.

AK FINREG PARTNERS

FINREF PARTNERS je advokátní kancelář. Její právní a regulatorní poradenství přesahuje hranice tradičního výkonu advokacie. Klientům poskytujete široké spektrum právních služeb v oblasti finančního trhu, včetně externího výkonu compliance a interního auditu. Soustředí se rovněž na problematiku občanského a obchodního práva zejména v souvislosti s přípravou smluv, obchodních podmínek a jiných dokumentů, které klienti potřebují při své činnosti.

FINREG_LOGO_CMYK
Partnerem vyhledávání jerobomarkets