Cyberblog: Jaké dopady bude mít nová evropská směrnice na český bankovní sektor?

Cyberblog uspořádal další z debatních kulatých stolů věnujících se problematice nové evropské směrnice NIS 2. Tentokrát jsme se zaměřili na dopady této legislativy na sektor bankovnictví.

Na sérii kulatých stolů zaměřených na problematiku evropské směrnice NIS 2 navázal 11. srpna 2022 portál Cyberblog další debatou, tentokrát zaměřenou na sektor bankovnictví. Stěžejním tématem kulatého stolu, kterého se zúčastnili zástupci České bankovní asociace (ČBA), České národní banky (ČNB) a Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), byly zejména dopady připravované legislativy na subjekty bankovního sektoru. Debata se rovněž zaměřila na vzájemné vztahy těchto institucí nebo na formu a obsah spolupráce mezi ČBA a NÚKIB, která byla ohlášena 31. května 2022 v rámci podpisu memoranda o spolupráci.

Cílem evropské směrnice NIS 2 je zejména rozšířit oblast působnosti aktuálně platné legislativy stanovující povinné minimální standardy pro odpovídající úroveň bezpečnosti sítí a informačních systémů napříč celou EU. Tato nová legislativa tedy představuje celoevropské řešení pro posílení zabezpečení kyberprostoru, a to zejména ve strategicky důležitých odvětvích ekonomiky, kam patří také bankovní sektor.

„V případě bankovnictví vedle směrnice NIS 2 přichází ještě nová evropská právní úprava v podobě nařízení DORA (nařízení o digitální provozní odolnosti), která představuje specifickou úpravu zaměřenou právě na finanční sektor. Směrnice NIS 2 je zastřešujícím právním předpisem a použije se v případě, kdy sektorová úprava nepokrývá základní povinnosti. Zejména tedy zavádění bezpečnostních opatření a hlášení kybernetických incidentů. Nařízení DORA má širší působnost na finanční sektor než NIS 2,“ uvedl Martin Švéda, vedoucí regulace soukromého sektoru v Národním úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Dohled nad bankami tak bude dle zástupce NÚKIB primárně vykonáván prostřednictvím ČNB. NÚKIB, který je obecně připraven nabídnout zejména své kapacity technického rázu, však s ČNB již několik let velmi úzce spolupracuje a provádí mimo jiné i společné kontroly. Miroslav Kotrle ze sekce dohledu nad finančním trhem ČNB pak vyzdvihl význam memoranda z května 2022, které si klade za cíl posílit společné aktivity a pokračovat také v metodické oblasti při přípravě testů kybernetické odolnosti nebo v oblasti výukových projektů či cvičení. Memorandum podle zástupců obou institucí umožní posílení spolupráce právě s ohledem na přicházející regulace NIS 2 či DORA.

„V případě DORA jsme identifikovali řadu technických i právních otázek, kde bude třeba se s NÚKIB velmi dobře sladit. NÚKIB má výhodu, že směrnici NIS 2 lze do české legislativy volně přepsat, kdežto nařízením DORA bude po schválení Evropským parlamentem pouze velmi omezený prostor cokoliv změnit. Je třeba tedy předvídat, co přesně bude nařízením DORA vyžadováno, protože NÚKIB již proces psaní novely transponující směrnici NIS 2 začal připravovat,” uvedl Miroslav Kotrle z ČNB. Rovněž dodal, že nařízení DORA bude Evropským parlamentem formálně schváleno nejspíše až na podzim letošního roku a další provádějící dokumenty, které budou mít rovněž formu nařízení, mohou teprve vznikat v průběhu příštích 12–18 měsíců. Zástupce NÚKIB k tomu podotkl, že ani směrnice NIS 2 ještě není ve finálním znění, které by mělo být k dispozici nejspíše v říjnu letošního roku.

„V návrhu směrnice se hovoří o možnosti certifikace systémů, nicméně stále nevíme, jak tato certifikace může konkrétně vypadat. Banky si však s ohledem na bezpečnost své dodavatele pečlivě prověřují již dnes,“ uvedl Tomáš Hládek z komise pro platební styk ČBA. Zástupce ČNB také potvrdil, že regulace outsourcingu je v bankovnictví velmi propracovaná. Banky již dnes nesou zodpovědnost za své dodavatele a musí využívat nástroje pro řízení rizik. Jedna z potenciálních novinek v případě nařízení DORA je vznik centrálního dohledu nad významnými IT dodavateli pro evropský bankovní sektor.

Bezpečnost dodavatelských řetězců je velké téma i dle zástupce NÚKIB. Nařízení DORA zaměřené na finanční sektor půjde zřejmě nejdál, neboť podrobí významné dodavatele přímé kontrole na evropské úrovni.