Poskytujete finanční služby, dodáváte do bank a pojišťoven? Připravte se na Doru!
Ochrana informací, kybernetická bezpečnost a odolnost proti digitálním útoků je velké téma. Příkladů, kdy úspěšný útok vypnul nemocnice, letiště nebo úřad, si všichni vybavíme hodně. I v České republice.
Takovýto výpadek by byl hodně nepříjemný i u finančních institucí. Nedostupnost banky, která spravuje prostředky stovek tisíců či milionů klientů, zajišťuje platby, převody, načerpání půjček atd., způsobí problémy řadě dalších osob. A může rozkolísat celou ekonomiku.
Požadavky na digitální odolnost finančních institucí rostou. V praxi i pod tlakem regulace. Každý už jsme asi slyšeli o nové kyberbezpečnostní směrnici NIS2, která dopadne na prakticky všechny banky.
Trochu v jejím stínu bylo přijato další EU nařízení v oblasti kybernetické bezpečnosti, tentokrát pod zkratkou DORA. Toto nařízení se bude vztahovat na řadu dalších finančních institucí, nejenom banky.
A také na jejich dodavatele a subdodavatele. Pro některé dodavatele dokonce bude nutné mít specifickou certifikaci, aby do bank, pojišťoven, ale i menších platebních institucí a fintechů vůbec mohli dodávat.
Pojďme se na to podívat v detailu
DORA je hotová, čekáme na prováděcí předpisy
DORA byla přijata jako nařízení EU. To znamená, že členské státy ji nemusí převádět, transponovat, do svých zákonů. Kvůli nařízení DORA tak, na rozdíl od NIS2, nebude třeba přijímat nový zákon o kybernetické bezpečnosti.
Nařízení DORA budou muset od ledna 2015 plnit:
Banky
Družstevní záložny
Pojišťovny a zajišťovny
Obchodníci s cennými papíry
Zdánlivě dost času, ale, jak si dále ukážeme, požadavků je celá řada. A nejen na banky a pojišťovny, které už se kybernetickou bezpečnostní zabývají a mají na to zdroje, ale i na řadu menších společností, které jim třeba jenom dodávají dílčí služby. Právní rámec však ještě není úplný. K nařízení DORA se totiž můžeme těšit na prováděcí, technické předpisy vydané evropskými orgány. Mělo by jich být celkem 12! Provádění předpisy budou upravovat detailní požadavky v jednotlivých oblastech nebo pilířích nařízení DORA, jak si je dále představíme.
Nařízení DORA bude přímo účinné ke dni 17. ledna 2025.
Na koho DORA dopadne?
Komu nařízení DORA přímo uloží povinnosti upravit vnitřní systém pro zajištění digitální odolnosti? Na prvním místě takřka všem finančním institucím, které si dokážete představit.
Nařízení DORA upřesňuje, že se jedná o subjekt, který alespoň jedné finanční instituci dodává digitální či datové služby, včetně hardwaru jako služby (Hardware as a Service). Pojem „ICT dodavatel“ tak dopadá skoro na každého, kdo do finančních institucí, velkých či malých, dodává něco spojeného s informační nebo komunikační technikou a technologií.
Ale opravdu jen skoro na každého, výjimky se najdou i v této definici. DORA sama dodává, že za ICT dodavatele není považován ten, kdo finanční instituci poskytuje analogové telefonní služby…
Projekt | Datum | Zisk v % | Zisk v Kč |
|---|---|---|---|
Dora I | 17. ledna 2025 | 8 % | 392 000 Kč |
Dora II | 17. ledna 2025 | 8 % | 392 000 Kč |
Dora III | 1. června 2026 | 12 % | 553 000 Kč |
Dora IV | 1. září 2026 | 5 % | 219 000 Kč |
Dora V | 20. září 2026 | 27 % | 970 000 Kč |
Nařízení DORA rovněž říká, že při dodávání významných služeb finanční instituce využije dodavatele, kteří uplatňují nejaktuálnější a nejkvalitnější normy bezpečnosti informací.
Regulace obecně se v řadě oblastí se posouvá směrem k certifikaci, nezávislému potvrzení dostatečné kvality a seberegulaci. Platí to i v oblasti kybernetické bezpečnosti a ochraně dat. S certifikací počítá GDPR i NIS2.
DORA jde ještě o kousek dál.
Účelem tohoto nařízení je posílit digitální odolnost finančního sektoru. Zejména proti kybernetickým útokům a provozním incidentům. Vhodným nástrojem k testování digitální odolnosti jsou penetrační testy, o kterých už jsme se zmínili výše.
Nařízení DORA a certifikace
Penetrační testy proto, aby splnily svoji roli, tzn. odhalily slabiny a nedostatky, musí být provedeny kvalifikovaně, s dostatečnou znalostí a expertízou. Vždy ale hrozí, že zjištěné slabiny budou testerem zneužity. Tím spíše tomu tak je u finančních institucí, kde využití slabiny může znamenat neoprávněný přístup k penězům. K penězům někoho jiného, dlužno dodat.
Nařízení DORA proto požaduje, aby penetrační testy finančních institucí od ledna 2015 prováděly pouze subjekty, které
Mají dobrou reputaci na trhu
Disponují dostatečnými schopnostmi a znalostmi, včetně testování metodou „červeného týmu“ (Red Team)
Nařízení DORA upřesňuje, že se jedná o subjekt, který alespoň jedné finanční instituci dodává digitální či datové služby, včetně hardwaru jako služby (Hardware as a Service). Pojem „ICT dodavatel“ tak dopadá skoro na každého, kdo do finančních institucí, velkých či malých, dodává něco spojeného s informační nebo komunikační technikou a technologií.
Ale opravdu jen skoro na každého, výjimky se najdou i v této definici. DORA sama dodává, že za ICT dodavatele není považován ten, kdo finanční instituci poskytuje analogové telefonní služby…
Míra ziskovosti v závislosti na certifikaci | |
|---|---|
GDPR Certification Basic | 8 %, 178 000 Kč |
GDPR Certification Advanced | 10 %, 199 000 Kč |
GDPR Certification Pro | 20 %, 492 000 Kč (bez bonusů) |
GDPR Certification Ultimate | 26 %, 605 000 Kč |
Nařízení DORA upřesňuje, že se jedná o subjekt, který alespoň jedné finanční instituci dodává digitální či datové služby, včetně hardwaru jako služby (Hardware as a Service). Pojem „ICT dodavatel“ tak dopadá skoro na každého, kdo do finančních institucí, velkých či malých, dodává něco spojeného s informační nebo komunikační technikou a technologií.
Ale opravdu jen skoro na každého, výjimky se najdou i v této definici. DORA sama dodává, že za ICT dodavatele není považován ten, kdo finanční instituci poskytuje analogové telefonní služby…
To nejlepší nakonec: Pokud je mezi vašimi klienty finančních institucí více, může se stát, že vás evropské úřady označí za tzv. kritického poskytovatele ICT. Pak se můžete těšit na přímý dohled od finančních regulátorů, za který ještě budete platit (ano, platit), další požadavky na řízení společnosti (corporate governance), zkrátka celkové přiblížení se regulaci finančních institucí. Regulaci, kterou můžeme diplomaticky označit za jednu z nejdetailnějších.
Jsou certifikovány akreditačním orgánem nebo dodržují formální kodexy chování
Předloží report z nezávislého auditu, který posoudil jejich řízení rizik související s prováděním penetračních testů a zabezpečení důvěrných informací
Mají dostatečnou profesní pojistku
Splňují firmy, které pro vás provádějí penetrační testování, tyto požadavky?
Pokud naopak penetrační testy jako službu poskytujete, jste připraven se nechat auditovat a certifikovat?
