DORA a NIS2 – dva legislativní nástroje EU a příprava na soulad s nimi

DORA

DORA je nařízení vytvářející regulační rámec a udávající specifické požadavky na digitální odolnost pro regulované finanční instituce a poskytovatele služeb spojených s kryptoaktivy (CASP).  Zároveň také zahrnuje obecné požadavky směrnice NIS2. Dané požadavky mají za cíl napomoci relevantním subjektům zajistit, aby byly schopny přestát všechny druhy narušení a hrozeb souvisejících s ICT, reagovat na ně a zotavovat se z nich. 

DORA vstoupila v platnost 16. ledna 2023, od té doby mají jednotlivé subjekty 24 měsíců na zohlednění nových pravidel ve svých procesech. Je proto klíčové se začít včas připravovat – a to napříč všemi oblastmi, které DORA pokrývá. Týká se to samozřejmě i klasifikace a hlášení incidentů souvisejících s ICT, testování odolnosti ICT nástrojů a systémů na základě souvisejících rizik, změn v rámci řízení ICT rizik a řízení rizik třetích stran a také sdílení informací o hrozbách.

NIS2

NIS2 navazuje na předcházející směrnici NIS. S a stanovuje jednak rámec spolupráce mezi členskými státy EU, včetně stanovení orgánů pro oblast digitální odolnosti v rámci členských států a jejich vztahy a komunikaci s evropskými institucemi, a zároveň obecný rámec požadavků pro společnosti a orgány veřejné moci k zajištění digitální odolnosti. 

Na rozdíl od DORA nařízení, NIS2 je směrnice. Znamená to, že je zodpovědností členských států stanovit vlastní národní legislativou konkrétní požadavky na povinné subjekty tak, aby reflektovaly směrnici. Tyto požadavky se tak mohou dílčím způsobem lišit. V kontextu České republiky se jedná o nový Zákon o kybernetické bezpečnosti, který bude aplikovatelný na rozšířený počet subjektů a také na vyšší počet systémů a služeb v rámci stejné organizace. Tento nový zákon by měl dle předpokladů začít platit v druhé polovině roku 2024 a poskytovat 12 měsíců jako přechodnou lhůtu pro dostatečné přizpůsobení a plnění požadavků.

Jaké požadavky je třeba plnit – NIS2 nebo DORA?

Pokud oblast Vašeho podnikání spadá pod regulované finanční služby, popřípadě naplňuje přímo definici CASP, bude spadat do působnosti nařízení DORA. Implementace požadavků nařízení pro Vás tedy bude představovat lex specialis. Naplněním DORA nicméně budou de facto naplněny i požadavky směrnice NIS2, jelikož se ve většinovém rozsahu překrývají.

V případě, že Vaše podnikání nespadá pod výše zmíněné, je třeba určit, zda se na Vás vztahuje NIS2. Oblast použití této směrnice je definována na základě odvětví a na základě velikosti podniku. Směrnice je zjednodušeně řečeno aplikovatelná na podniky střední a větší velikosti (50 a více zaměstnanců nebo aktiva nebo roční obrat přesahující 10 milionů EUR) z různých oblastí – veřejná správa, energetika, zdravotnictví, doprava, výrobní, chemický a potravinářský průmysl, vodní a odpadové hospodářství, digitální infrastruktura a služby a další.

Oba legislativní nástroje představují významný pokrok v oblasti kybernetické bezpečnosti, zavádějí nezbytné požadavky a normy pro posílení digitální odolnosti finančních organizací a zajištění bezpečnosti kritických služeb napříč různými odvětvími. 

Organizace by měly jednat rychle, aby dosáhly souladu s těmito se měnícími právními rámci, neboť jejich nedodržování může mít závažné následky – od pokut po pozastavení výkonu soudním rozhodnutím. Tým Deloitte složený z expertů na dodržování předpisů, kyberbezpečnost, právníků, případně odborníků na jednotlivá odvětví,  Vám může nabídnout holistické služby zaměřené na zhodnocení Vaší připravenosti, poradenství a implementaci nutných kroků k naplnění povinností s oběma regulacemi. Zavedení jakýchkoliv změn do podnikové praxe často znamená sesouladění procesů, zavedení změn v rámci organizační struktury a technologické základny. I proto je důležité dobře plánovat a skrz hloubkovou analýzu stávající situace navrhnout implementační roadmapu a konkrétní změny, které pak následně bude třeba uskutečnit.