DORA, neboli Digital Operational Resilience Act, je nařízení Evropské unie, které se zabývá minimálními požadavky na bezpečnost informačních systémů a sítí v prostředí finančních sektoru. Toto nařízení reflektuje závislost finančního a bankovního systému na informačních a komunikačních technologiích, přičemž jejich výpadek v důsledku kybernetického útoku může ohrozit finanční stabilitu nejen samotné instituce, ale i zákazníků. V České republice je toto nařízení platné od ledna 2025.

Na koho je DORA cílena?

Jedná se zejména o úvěrové a platební instituce, investiční společnosti, poskytovatele služeb o informování účtu, poskytovatele kryptoaktivních služeb a emitenty tokenů, elektronické peněžní instituce, správce alternativních investičních fondů, depozitáře cenných papírů, obchodní systémy a uložiště, manažerské společnosti, poskytovatele služeb vykazování dat, pojišťovny a zprostředkovatelé pojištění, administrátory kritických referenčních informací, ratingové agentury, poskytovatelé crowdfundingu a uložiště cenných papírů.

V hledáčku DORA jsou i poskytovatelé informačních a komunikačních technologií, kteří dodávají své služby finančnímu sektoru. Mezi tyto subjekty patří poskytovatelé softwaru, cloudu, služeb analýzy dat a datových center, zpracování plateb a platební infrastruktury. DORA nedělá rozdíl mezi vlastním IT oddělením finanční instituce či sjednaným poskytovatelem. Pro oba typy zajištění funkčnosti informačních technologií platí od ledna 2025 stejná pravidla.

Nové klíčové požadavky

Řízení rizik

Instituce musí zavést fungující plán metodik a procesů na řízení kybernetických rizik, přičemž odpovědni jsou vedoucí pracovníci. Jedná se především o rámce, procedury, protokoly a nástroje, které zajistí nejen bezpečnost softwaru, ale i dat a hardwaru. Nově také musí být zavedena kontrola těchto prvků, která musí být dostatečně oddělena od jiných struktur kybernetické bezpečnosti, aby nedošlo ke střetu zájmů.

Minimálně jednou za rok se musí funkčnost systému kybernetické ochrany zdokumentovat a zkontrolovat, společně s pravidelnými audity. Mezi minimální požadavky pro strategii kyberbezpečnosti každého povinného subjektu spadá vysvětlení důležitosti kybernetické bezpečnosti pro obchodní strategii, stanovení tolerance rizik a bezpečnostních cílů včetně klíčových indikátorů výkonu a metrik, popsání aktiv, a navržení metod pro řešení incidentů včetně prevence. Protokoly a nástroje musí být spolehlivé a adekvátní k velikosti organizace. Přístup k citlivým informacím by měl být omezen jen pro zaměstnance, kteří je potřebují k práci, a nakládání s těmito informacemi musí být kontrolováno.

Detekce bezpečnostních incidentů a anomálií v systému finančních subjektů či dodavatelů by mělo být založeno na vícevrstvé kontrole, včetně automatizovaných upozornění. V případě, že dojde k incidentu, subjekty musí mít strategii kontinuity podniku, která zajišťuje kritické funkce i v případě problému. Definován musí být také plán reakce a obnovy, včetně zajištění krizové komunikace, analýzy incidentu a jeho evidence. Samozřejmostí je neustálý monitoring všech systémů.

DORA také uvádí, že by si měly finanční instituce vyměňovat poznatky o indikátorech kompromisů, taktikách, technikách a procedurách kybernetických zločinců, a společně se podporovat v rámci tzv. zpravodajství kybernetických hrozeb (Cyber Threat Intelligence).

CSA – Váš přítel při řízení kyberbezpečnosti

Cyber Security Audit 2.0 od společnosti Gordic představuje špičkovou aplikaci pro komplexní analýzu rizik a efektivní řízení bezpečnosti pro Vaši organizaci. Uživatelsky přívětivé prostředí umožňuje správu aktiv, hodnocení rizik, návrh opatření a tvorbu plánů obchodní kontinuity. CSA je navržen tak, aby Vám pomohl plnit požadavky nejen zákona o kybernetické bezpečnosti, ale i normy ISO 27 000 či evropské směrnice NIS2 a nařízení DORA.

Více informací o nástroji CSA

V případě incidentu

V případě zaznamenání bezpečnostního incidentu musí dojít k jeho klasifikaci a musí být zaevidovány relevantní informace. Současně musí dojít k informování zainteresovaných stran. Klasifikace incidentu a jeho dopadu je založena na množství zasažených zainteresovaných stran, časové délce útoku, velikosti útoku, rozsahu ztráty dat, dopadu na transakce a operace subjektu, a finančnímu dopadu na společnost. Pokud je incident klasifikován jako závažný, musí být informována kompetentní autorita ve své zemi dle svých zákonů. Subjekty musí informovat hlavně o detekci incidentu, následně při relevantní změně v průběhu incidentu, a nakonec musí být zaslán report s detailní analýzou. Informování o méně závažných kybernetických útocích je dobrovolné.

Testování odolnosti

Každé testování by mělo být provedeno nezávisle, ale DORA umožňuje i využití interních kyberbezpečnostních expertů, pokud nedochází ke střetu zájmů. Kromě tradičních možností zjišťování zranitelnosti jako např. gap analýzy, skenování sítí a analýz z otevřených zdrojů je zmiňováno především tzv. penetrační testování pomocí hrozeb (TLPT), které je mířeno na kritické technologie subjektu. Toto testování se musí dělat min. jednou za tři roky a musí ho provádět certifikovaní profesionálové.

Risk třetích stran

Subjekty spadající do působnosti DORA se nově musí zajímat i o kybernetické zabezpečení svých dodavatelů. Zodpovědnost za případné nedodržení bezpečnostních norem ze strany dodavatele komunikačních a informačních služeb padá na finanční subjekty, které musí minimálně jednou za rok informovat příslušné autority o zapojení nových dodavatelů do jejich podnikání, včetně typu smlouvy a domluvených služeb.

Před tím, než je smlouva s dodavatelem uzavřena, musí finanční subjekty zhodnotit vhodnost a bezpečnost dodavatele, stejně tak střet zájmů. Dohoda mezi finančním subjektem a dodavatelem musí být ukončena, pokud dodavatel nesplňuje či porušuje zákony, regulace či danou dohodu, pokud nemá dostatečnou kyberbezpečnostní odolnost a pokud nelze dodavatele dostatečně kontrolovat, např. skrze audity. Pro potřeby dohledu vznikla v DORA pozice tzv. vrchního dozoru (Lead Overseer), který má za úkol zajištění spolehlivosti a bezpečnosti dodavatelů.

Zdroj: https://kybez.cz/dora-revoluce-kyberneticke-bezpecnosti-ve-financnim-sektoru/