DORA: Nariadenie EÚ o digitálnej prevádzkovej odolnosti finančného sektora

Cieľom nového európskeho nariadenia DORA (Digital Operational Resilience Act) je zaviesť komplexný rámec na harmonizáciu procesov a štandardov digitálnej odolnosti vo finančnom sektore. Nariadenie má tiež posilniť právomoci orgánov dohľadu a umožniť priamu kontrolu. Deloitte pomáha finančným inštitúciám pripraviť sa na toto nové nariadenie a nastaviť všetky súvisiace podnikové procesy tak, aby boli čo najodolnejšie voči digitálnym rizikám a v úplnom súlade s novými pravidlami.

DORA je kľúčovou iniciatívou EÚ v oblasti digitálnej prevádzkovej a kybernetickej odolnosti v sektore finančných služieb. Nariadenie zavádza jednotný súbor pravidiel regulácie a dohľadu na prevádzkovú odolnosť informačných a komunikačných technológií vo finančnom sektore. Okrem iného od finančných inštitúcií vyžaduje, aby uskutočnili významné investície na zlepšenie svojej odolnosti voči digitálnym a kybernetickým rizikám.

Nariadenie bolo uverejnené v Úradnom vestníku Európskej únie 27. decembra 2022 a nadobudlo účinnosť 16. januára 2023. Od tohto dátumu majú inštitúcie 24 mesiacov na to, aby nové pravidlá premietli do svojich procesov.

Nové povinnosti si budú vyžadovať najmä zmenu prístupu riadiacich orgánov, ktorých úlohou bude posilniť odolnosť inštitúcií voči digitálnym hrozbám, ktoré sa budú dynamicky vyvíjať, a minimalizovať zraniteľnosť obchodných modelov. Riadiace orgány finančných inštitúcií, riadenie IT rizík a ďalší lídri finančných inštitúcií budú zohrávať dôležitú úlohu pri zavádzaní interných zmien v reakcii na požiadavky nariadenia DORA, ich implementácii a pri prijímaní strategických investičných rozhodnutí potrebných na budovanie odolnosti.

Uvedené požiadavky sa vzťahujú na tradičné subjekty poskytujúce finančné služby, poskytovateľov finančných technológií, ako aj na externých poskytovateľov služieb pre finančné spoločnosti.

Prečo je dodržiavanie  nariadenia kľúčové?

Hoci je využívanie tretích strán pre finančné subjekty výhodné, zvyšujúca sa závislosť vedie k zodpovedajúcemu nárastu prevádzkového rizika a potenciálu nesprávneho riadenia. Posilnenie prevádzkovej odolnosti širšieho finančného sektora je nevyhnutné a je naším spoločným záujmom. Okrem toho môže byť za porušenie povinností uložená pokuta vo výške 1 % priemerného denného celosvetového obratu.

Ako vám môžeme pomôcť?

Odborníci Deloitte sú pripravení podporiť súkromné aj verejné organizácie pri budovaní pevných pilierov prevádzkovej odolnosti podľa požiadaviek nariadenia DORA. Ponúkame komplexné, holistické služby, ktoré môžu byť pre vašu organizáciu prínosom, od rozdielovej (GAP) analýzy až po samotnú implementáciu.

• Rámec riadenia rizík : Na splnenie požiadaviek nariadenia DORA budú organizácie potrebovať spoľahlivé procesy riadenia rizík. Deloitte vám pomôže zosúladiť obchodné stratégie a kybernetické riziká vašej organizácie a udržiavať komplexný a účinný rámec riadenia rizík.
• Hlásenie incidentov: Cieľom nariadenia DORA je harmonizovať procesy klasifikácie a hlásenia incidentov. Včasné odhalenie incidentov a rýchla reakcia sú nevyhnutné. Našim klientom preto pomáhame prispôsobiť sa novým pravidlám EÚ na hlásenie incidentov a zosúladiť interné procesy v tomto smere s cieľom optimalizovať prideľovanie zdrojov.
• Testovanie odolnosti: Nariadenie DORA vyžaduje, aby poskytovatelia finančných služieb testovali svoje systémy na základe súvisiacich rizík. Zahŕňa to skenovanie zraniteľností a penetračné testovanie, ako aj robustné testovanie kontinuity podnikania a obnovy po havárii.
• Penetračné testovanie na základe hrozieb (TLPT) pre kritických hráčov: Kybernetická prax Deloitte v strednej Európe umožňuje poskytovanie najkvalitnejších služieb penetračného testovania svojho druhu vďaka vysokokvalifikovaným odborníkom a technologickému zázemiu.
• Zdieľanie analýzy hrozieb: Aktivity v oblasti kybernetických hrozieb sa často týkajú viacerých organizácií vo finančnom sektore súčasne. Nariadenie DORA, ktoré sa zameriava na zdieľanie informácií o hrozbách, pomôže celému sektoru stať sa zodpovednejším a aktívnejším pri obrane proti rastúcemu počtu rôznorodých kybernetických útokov. Našim klientom preto pomáhame s vývojom a integráciou procesu zdieľania informácií o týchto hrozbách.
• Riadenie rizík tretích strán (TPRM) a monitorovanie: Spoločnosti by mali posúdiť, či ich stratégie a plány reakcie a obnovy primerane zohľadňujú rozšírené pravidlá riadenia IT rizík. Rámec TPRM od Deloitte je založený na špičkových postupoch a vychádza z globálnych regulačných požiadaviek. Našim klientom tak poskytujeme komplexné riešenie na riadenie v rámci komplikovaných ekosystémov tretích strán. Vďaka implementácii TPRM budú naši klienti využívať všetky výhody komplexnej technologickej platformy, ktorá kombinuje mobilný zber údajov, nástroje na zlepšovanie výkonnosti na úrovni podniku a útvarov, ako aj reportingové a vizuálne analytické dashboardy optimalizované pre mobilné zariadenia.