Regulace DORA: Jaká pravidla přináší nová éra kybernetické bezpečnosti?
Říjen 30, 2024
Matěj Šach
Regulace na úrovni Evropské unie byly v posledních letech významným tématem nejen pro tradiční finanční instituce, ale i pro společnosti v oblasti kryptoměn a fintechu.
Nařízení MiCA jsme se v posledních měsících i letech věnovali opravdu intenzivně. Pořádali jsme na toto téma hned dvě panelové diskuse, kterých se zúčastnili odborníci i politici.
Ale MiCA není jediná, která klepe na dveře. Spolu s ní celý evropský finanční svět přivítá také regulaci DORA, která se zaměřuje na ochranu finančního sektoru před kybernetickými hrozbami.
Co je to DORA?
DORA je nová regulace, která sjednocuje standardy digitální bezpečnosti v celé Evropské unii pro finanční instituce a další subjekty, jež spadají pod dohled finančních regulátorů. Je součástí širší strategie „Europe Fit for the Digital Age“, která se zaměřuje na adaptaci evropské ekonomiky na digitální éru a zároveň na zajištění její bezpečnosti a odolnosti vůči technologickým rizikům.
Tato regulace zavádí nová pravidla pro řízení rizik informačních a komunikačních technologií (ICT), které budou platit nejen pro banky a burzy, ale také pro fintech a kryptoměnové společnosti. Tyto firmy čelí nejen tlakům na zlepšení kybernetické bezpečnosti, ale také na zvýšenou transparentnost a kontrolu ze strany regulačních orgánů.
Klíčové požadavky DORA
DORA přináší soubor konkrétních opatření, která budou finanční instituce i další subjekty muset splňovat, aby odolaly kybernetickým útokům a technologickým výpadkům:
Řízení rizik ICT
Evropské dohledové orgány ve spolupráci s IT experty vytvoří závazné technické standardy (RTS), které stanoví jasné postupy pro řízení rizik spojených s informačními a komunikačními technologiemi. Tato opatření zahrnují povinnost zavádět a udržovat systémy ochrany dat, monitorování kybernetických incidentů a přijímání opatření pro minimalizaci jejich dopadů.
Hlášení ICT incidentů
Firmy budou povinny hlásit incidenty související s ICT v souladu s přísnými standardy, které určí závažnost incidentu a povinnost jeho nahlášení příslušným regulačním orgánům. To umožní rychlou reakci a koordinaci při řešení problémů, které by mohly ohrozit finanční stabilitu.
Testování odolnosti systémů
Subjekty budou muset pravidelně provádět testování odolnosti svých systémů vůči kybernetickým hrozbám. Mezi metody testování patří například penetrační testy, které simulují hackerské útoky s cílem prověřit úroveň zabezpečení a identifikovat slabiny v systémech.
Správa rizik třetích stran
Pokud firmy využívají služeb třetích stran, bude na ně aplikována stejná úroveň zabezpečení, jakou DORA vyžaduje od finančních institucí. To zahrnuje i povinnost, aby třetí strany, které jsou považovány za kritické, měly dceřinou společnost v EU. Tento požadavek by mohl způsobit komplikace při výběru dodavatelů služeb, zejména pro kryptoměnové a fintech společnosti, které často spolupracují s poskytovateli mimo Evropu.
Dohled nad třetími stranami
DORA zajišťuje, že dohled nad kritickými třetími stranami bude prováděn regulačními orgány, které budou mít přístup k informacím o jejich bezpečnostních procesech a systémových odolnostech. Tím se zajistí vyšší úroveň ochrany před potenciálními riziky.
Koho se DORA dotkne nejvíce?
Přijetí DORA se pravděpodobně nejvíce dotkne fintech a kryptoměnových společností, které budou muset investovat značné prostředky do zlepšení kybernetické bezpečnosti a splnění nových regulatorních požadavků. Zatímco tradiční finanční instituce, jako jsou banky nebo burzy, již často mají zavedené robustní systémy zabezpečení, menší a rychle rostoucí firmy v oblasti kryptoměn a fintechu mohou čelit zvýšeným nákladům na provoz a bezpečnost.
Například kryptoměnové burzy budou muset vypracovat detailní plány řízení rizik a zajistit, že jejich systémy budou pravidelně testovány a certifikovány. To může představovat pro některé subjekty nejen finanční zátěž, ale také nutnost přizpůsobit se novým pravidlům během krátké doby, což vyžaduje komplexní změny v jejich podnikání.
DORA jako krok k budoucnosti
Nařízení DORA je součástí širšího úsilí Evropské unie zajistit, že její finanční sektor bude připraven čelit novým výzvám digitálního věku. Je to klíčová součást digitální transformace, která má za cíl nejen chránit finanční instituce před technologickými riziky, ale také posílit důvěru v evropský finanční trh jako celek. Pro kryptoměnové společnosti to znamená nový standard, který bude formovat jejich budoucí vývoj a působení v evropském prostoru.
Probinex a DORA
Projekt Probinex již od začátku svého působení jde regulacím naproti. Celou vizi naplnění legislativních požadavků si mohli vyslechnout i účastníci akce Probinex Event: Regulace jako příležitost. V projektu jsme totiž přesvědčeni, že ucelený regulatorní rámec příležitosti opravdu přinese. Ale to pouze těm připraveným, kterými se ze všech sil snažíme být.
DORA mimo jiné vyžaduje důsledné řízení rizik ICT a pravidelné testování odolnosti systémů, například prostřednictvím penetračních testů. Probinex se již nyní na tyto požadavky připravuje zaváděním technologií, jako je Fireblocks, která pomáhá zajistit bezpečné operace s digitálními aktivy.
Tato iniciativa je součástí širší strategie Probinexu, která se soustředí na masovou adopci kryptoměn v souladu s regulatorními požadavky.
Díky svému proaktivnímu přístupu k regulacím, včetně DORA, se Probinex staví do pozice jednoho z lídrů, kteří jsou schopni úspěšně kombinovat dynamiku kryptoměnového světa s nutnou digitální odolností a transparentností, jakou požadují evropské regulace.