Digital Operational Resilience Act: Ve stínu regulace MiCA

Michal Hladký

Regulace na unijní úrovni jsou v roce 2022 jedním z nejprobíranějších témat v evropské kryptokomunitě. Většina diskusí se však věnuje především regulaci MiCA, tedy Markets in Crypto Assets, která má za úkol regulovat samotné fungování kryptoměnového odvětví.

Debaty o ní byly tak živé, že MiCA v podstatě zastínila další projednávaná nařízení, mezi něž patří také Nařízení o digitální provozní odolnosti, které ve veřejném prostoru lze dohledat spíše pod zkratkou DORA neboli Digital Operational Resilience Act. DORA se připravuje v souladu se strategií pojmenovanou Europe Fit for Digital Age, jež má reagovat na probíhající transformaci Evropy do nového věku digitálních technologií.

Co je to DORA?

DORA je zkratka pro anglický název Digital Operational Resilience Act. Úkolem této regulace bude sjednotit standardy a normy, kterými se řídí vybrané subjekty. Konkrétně se jedná o subjekty, které podnikají v oblasti financí nebo nějakým způsobem podléhají finančnímu dohledu jednotlivých regulátorů. Mimo jiné tato regulace definuje právě subjekty, které do této oblasti spadají.

A co konkrétně tedy DORA těmto subjektům nařizuje?

Požadavky na řízení rizik informačních komunikačních technologií

V této oblasti budou hrát důležitou roli evropské dohledové orgány, které ve spolupráci s unijními odborníky z IT oblastí připraví navazující regulatorně technické standardy tzv. RTS. Ty budou stanovovat jasné mantinely, kterými se budou subjekty řídit. Ve hře je například nařízení o zveřejňování záznamů o bezpečnostních incidentech apod.

Požadavky na hlášení incidentů v oblasti ICT

I v tomto případě budou vypracovány návazné RTS. V nich budou stanoveny například mezní hodnoty, pomocí kterých budou moci firmy identifikovat o jak závažný bezpečnostní incident se jedná a zda je nutné jej hlásit příslušným orgánům.

Požadavky na testování odolnosti

Firmy budou mít za úkol zajistit dostatečnou robustnost a zabezpečení systémů, které bude nutné pravidelně ověřovat. K tomu budou využívány různé metody testování, například i tzv. penetrační testy. V takových případech si firmy u odborníků v podstatě zaplatí simulaci hackerského útoku, při němž se bude sledovat úroveň bezpečnostních opatření.

Větší detaily by měly opět přinést návazné RTS, které budou vypracovávat evropští odborníci.

Správa rizik třetích stran

V případě, že budou firmy využívat služeb třetích stran, měly by se i na tyto vztahovat povinnosti, které DORA stanovuje. Evropský parlament v této oblasti požaduje například i to, aby se třetí strany řídily právem daného evropského státu. V tomto ohledu však panují obavy, že následkem bude náročnější volba vhodného partnera pro spolupráci a ztížená vyjednávací pozice pro obě smluvní strany.

Dohled nad třetími stranami

V této oblasti zatím panuje shoda na tom, že všechny třetí strany, které budou považovány jako kritické, by měly podléhat dohledu regulátora. Jedním z požadavků je například to, aby všechny tyto třetí strany měly dceřinou společnost na území EU, budou-li chtít nabízet služby subjektům ve finančním sektoru.

Koho se DORA týká?

Toto nařízení nově definuje také subjekty, kterých se týká. Proto jsou zde zahrnuté ty největší instituce, jako jsou například banky či burzy s cennými papíry. Tyto subjekty už v dnešní době investují velké prostředky do zabezpečení svých systémů a přijetí nařízení by na ně nemělo mít takový dopad. Mnohem více zasaženy budou firmy podnikající v kryptoměnovém odvětví či společnosti ze sektoru fintech. Právě pro některé z nich by mohlo znamenat nařízení problém, jelikož vysoké nároky na bezpečnost budou znamenat také navýšení provozních výdajů.