ČNB přistupuje k rámci TIBER-EU

27. 9. 2024

V rámci přípravy na zavedení nařízení (EU) 2022/2554 o digitální provozní odolnosti (DORA), které nabývá účinnosti od 17. ledna 2025, přistupuje Česká národní banka (ČNB) k evropskému standardu pro pokročilé penetrační testování na základě hrozeb Threat Intelligence-based Ethical Red Teaming (TIBER-EU).

Rámec TIBER-EU byl vytvořen pod záštitou Evropské centrální banky (ECB) jako evropský standard pro pokročilé testování kybernetické odolnosti. Upravuje postupy a spolupráci příslušných dohledových orgánů, testovaných finančních subjektů, dodavatelů zajišťujících penetrační testování a poskytovatelů zpravodajských informací o hrozbách při testování kybernetické odolnosti.

Zapojení do TIBER-EU poskytne ČNB přístup k široké znalostní bázi obsahující důležité informace v oblasti pokročilého testování a k metodice pro simulace kybernetických útoků na základě identifikace reálných hrozeb, které mohou být lokální nebo zasahovat více států EU. Těchto přínosů využívá již 16 zemí EHP, které ke standardu doposud přistoupily.

Přistoupení ČNB k TIBER-EU zohledňuje také skutečnost, že samotné nařízení DORA zavádí ucelené požadavky na testování digitální odolnosti na základě hrozeb koncipované tak, že jsou s rámcem TIBER-EU kompatibilní.

Penetrační testování na základě hrozeb definuje nařízení DORA jako „rámec napodobující taktiku, techniky a postupy skutečných aktérů hrozeb vnímaných jako skutečné kybernetické hrozby, který poskytuje řízené, individualizované a na operativních informacích založené (metoda „červeného týmu“) testování kritických systémů finančního subjektu za provozu“.

V podmínkách ČR bude orgánem odpovědným za pokročilé penetrační testování na základě hrozeb ve finančním sektoru ČNB, která bude podle prováděcí legislativy zároveň zajišťovat povinnosti dohledové autority vůči finančním subjektům v jurisdikci ČR podléhajícím působnosti nařízení DORA. V rámci ČNB bude roli dohledu nad průběhem pokročilých penetračních testů zajištovat sekce dohledu nad finančním trhem, která dohled v oblasti IS/IT systematicky dlouhodobě provádí.

Určení relevantních institucí pro pokročilé testování bude ČNB provádět pravidelně, minimálně jednou ročně. Tyto instituce budou povinny provádět alespoň jednou za tři roky pokročilé testování s využitím penetračního testování na základě hrozeb. Každý test pokryje některé nebo všechny zásadní nebo důležité funkce a bude se provádět za provozu, a to na systémech reálně využívaných k zajištění těchto funkcí.

DORA představuje zásadní harmonizační iniciativu, která významným způsobem ovlivní standardy v oblasti kybernetické bezpečnosti institucí ve finančním sektoru EU i výkon dohledu v této oblasti na straně národních i evropských dohledových autorit. Primárním tématem DORA je provozní a digitální odolnost institucí finančního trhu EU s tím, že v této souvislosti klade nařízení značný důraz právě na systematický přístup k testování digitální odolnosti.

Účast v TIBER-EU vnímá ČNB jako důležitý předpoklad, který přispěje k úspěšné implementaci nařízení DORA v ČR.