
Cílem tohoto nového regulačního rámce je posílit digitální odolnost finančních institucí a jejich poskytovatelů významných a zásadních technologií a stanovit požadavky na řízení rizik v oblasti informačních a komunikačních technologií, testování provozní odolnosti a reakci na bezpečnostní incidenty, které by mohly ovlivnit finanční stabilitu.
Pro organizace, které do příprav na splnění nových povinností investovaly potřebné množství času a zdrojů, je současná chvíle příležitostí, jak prokázat svou připravenost, posílit vztahy s regulačními orgány a vybudovat si důvěru u všech zúčastněných stran.
Pro ty, kteří nové regulaci dosud potřebnou pozornost nevěnovali, nelze podceňovat naléhavost jednat – dodržování předpisů již není volitelné. Pravdou je, že některé prováděcí předpisy (ITS/RTS) ještě nejsou schválené, přesto jejich existující znění dává tušit, co bude třeba naplnit.
DORA zavádí robustní a komplexní rámec, jehož cílem je zajistit, aby finanční subjekty a jejich poskytovatelé kritických technologií dokázali odolávat narušením souvisejícím s ICT, reagovat na ně a zotavit se z nich.
Vztahuje se na různorodé organizace včetně bank, pojišťoven, investičních společností, poskytovatelů platebních služeb a významných ICT dodavatelů, kteří poskytují základní technologické služby. Dopadla třeba ale i na loterijní společnosti nebo třeba velké prodejce automobilů zprostředkovávající finanční a pojišťovací služby.
Nařízení je strukturováno do čtyř základních požadavků, které musí splňovat všechny dotčené subjekty: Řízení rizik ICT, testování provozní odolnosti, hlášení incidentů a řízení rizik třetích stran.
Pro organizace, které již splňují požadavky standardu DORA, je tento milník pouze začátkem pokračující cesty k udržení odolnosti. Soulad není jednorázový úspěch – je to trvalý proces, který vyžaduje ostražitost, přizpůsobování a neustálé zlepšování.
Zavedení standardu DORA coby vertikální regulace vedle směrnice NIS2 představuje významný milník, ale zároveň signalizuje širší posun směrem k větší odolnosti a odpovědnosti v celém finančním sektoru.
Přijetím zásad DORA mohou organizace vybudovat pevnější základy pro řízení rizik v oblasti informačních a komunikačních technologií, posílení provozní stability a ochranu před stále složitějším prostředím hrozeb.
Toto nařízení není jen o splnění dnešních požadavků – jde o to, aby vaše podnikání bylo odolné vůči budoucnosti. Ti, kteří investují do neustálého dodržování předpisů a odolnosti, mohou získat konkurenční výhody, včetně lepší důvěry zainteresovaných stran, silnější důvěry zákazníků a nižšího vystavení rizikům.
Vzhledem k tomu, že se regulační prostředí neustále vyvíjí, svět se čím dále tím víc přesouvá do digitálního prostoru, musí podniky zůstat proaktivní. Soulad s nařízením DORA by měl být vnímán jako součást trvalého závazku k digitální odolnosti, nikoli jako jednorázové úsilí.
Autor je odborník na kybernetickou bezpečnost a partner poradenské společnosti BDO
(Redakčně upraveno)