DORA jako systém řízení ICT rizik
Nařízení DORA (2022/2554) se vztahuje na banky, pojišťovny, crowdfundingové platformy, poskytovatele kryptoaktiv, investiční firmy a další finanční subjekty — a nepřímo i na jejich ICT třetí strany. Není to pouze compliance projekt: vyžaduje, aby organizace měla strukturovaný systém řízení ICT rizik, evidence incidentů, testování odolnosti a kontrolu nad dodavatelským řetězcem.
Cílem je, aby finanční subjekt dokázal pokračovat v poskytování kritických funkcí i ve chvíli, kdy se část jeho ICT prostředí (vlastního nebo dodavatelského) chová mimo předpokládaný stav.
Oblasti, které je potřeba pokrýt
DORA pracuje s pěti vzájemně propojenými pilíři. Každý z nich musí mít odpovědnost, postup a doložitelný výstup:
- ICT risk management — identifikace, klasifikace, ošetření a monitoring rizik s konkrétním vlastníkem.
- Incident management — klasifikace, evidence a hlášení významných ICT incidentů orgánu dohledu v zákonném termínu.
- Digital operational resilience testing — pravidelné testy, threat-led penetration testing (TLPT) u významných subjektů.
- ICT third-party risk — registr klíčových ICT dodavatelů, smluvní požadavky, kontrola závislostí na kritických externích službách.
- Information sharing — předávání informací o hrozbách v rámci finančního sektoru.
Řízení dodavatelů a ICT třetích stran
Největší část přípravy v praxi padá na ICT třetí strany. Vyžadují se nové smluvní doložky, registr smluv ve formátu EBA/ESA, klasifikace kritičnosti, exit strategy pro klíčové služby a schopnost auditovat (přímo nebo přes nezávislou stranu) poskytovatele. Bez aktualizovaného přehledu dodavatelských závislostí nelze DORA splnit ani formálně.
Incidenty, testování a důkazní podklady
DORA výrazně zpřísňuje pravidla pro hlášení incidentů — jak interních, tak vůči orgánu dohledu. Vyžaduje to:
- jednotnou klasifikaci a evidenci incidentů,
- postup hlášení v zákonných termínech,
- retenci důkazních materiálů,
- plán a evidenci testů odolnosti,
- návaznost na business continuity a krizový management.
Jaký výstup získáte
- rozdílová analýza současného stavu vůči DORA,
- návrh ICT risk frameworku nebo jeho aktualizace,
- klasifikační schéma ICT incidentů a postup hlášení,
- registr ICT třetích stran a požadavky na smluvní doplňky,
- plán testování odolnosti s prioritizací,
- materiál pro statutární orgán o aktuálním stavu odolnosti.
DORA není primárně právní nebo compliance projekt. Je to rámec pro řízení digitální provozní odolnosti, který vyžaduje propojení IT, bezpečnosti, řízení rizik, dodavatelů a vedení organizace.