Regulace finančního sektoru v oblasti kyberbezpečnosti vstoupila v platnost, aby se po čtyřech dnech opět změnila

Pro společnosti ve finančním sektoru v EU byl 17. leden 2025 významným okamžikem, neboť oficiálně vstoupil v platnost zákon o digitální provozní odolnosti (DORA), který pro ně nastavuje pravidla kybernetické ochrany před narůstajícími útoky. Nicméně hned 21. ledna Evropská komise zamítla pravidla zákona pro subdodávky, což mělo za následek oddálení kroků ke zlepšení digitální bezpečnosti a pro dotčené podniky přineslo větší zmatek. Téma dále přibližuje Tomáš Kubíček, partner poradenské společnosti BDO a expert na kyberbezpečnost firem.

„Cílem regulace DORA je posílit digitální odolnost finančních institucí a jejich poskytovatelů významných a zásadních technologií, stanovit požadavky na řízení rizik v oblasti informačních a komunikačních technologií, testování provozní odolnosti a reakci na bezpečnostní incidenty, které by mohly ovlivnit finanční stabilitu,“ shrnuje Tomáš Kubíček z BDO.

Na konci ledna Evropská komise nicméně odmítla navrhované požadavky na subdodávky v oblasti ICT služeb podle Nařízení o digitální provozní odolnosti (DORA). Zamítnuty byly konkrétně článek 5 a odůvodnění 5 návrhu Regulačních technických standardů (RTS), protože podle Komise překračovaly původní právní rámec DORA.

Navrhovaná pravidla ukládala přísné podmínky pro využívání subdodavatelů v ICT službách a povinnost finančních institucí pečlivě monitorovat celé subdodavatelské řetězce. Komise však rozhodla, že tyto požadavky jdou nad rámec toho, co DORA původně stanovila, a zamítla je. Evropským orgánům dohledu (ESAs) následně dala šest týdnů na přepracování těchto pravidel.

Změna má na firmy, kterých se regulace týká, zásadní dopad. „Firmy, které už začaly přizpůsobovat své outsourcingové smlouvy, teď budou muset své plány přehodnotit. To může přinést dodatečné náklady a zmatek,“ komentuje Tomáš Kubíček.

Zároveň pro firmy nastalo určité období nejistoty. „Než ESAs předloží novou verzi pravidel, panuje nejistota. Podniky nevědí, jak přesně se mají připravit, což může zpomalit jejich kroky ke zlepšení digitální bezpečnosti,“ uvádí dále expert z BDO. „Pokud nová pravidla zmírní dohled nad subdodavateli, může to oslabit odolnost vůči kybernetickým hrozbám. Naopak někteří poskytovatelé ICT služeb mohou uvítat větší flexibilitu a nižší náklady,“ hodnotí dále Tomáš Kubíček.

Co je DORA vlastně zač a na koho se vztahuje

DORA zavádí robustní a komplexní rámec, jehož cílem je zajistit, aby finanční subjekty a jejich poskytovatelé kritických technologií dokázali odolávat narušením souvisejícím s ICT, reagovat na ně a zotavit se z nich. „Vztahuje se na různorodé organizace včetně bank, pojišťoven, investičních společností, poskytovatelů platebních služeb a významných ICT dodavatelů, kteří poskytují základní technologické služby. Dopadla třeba ale i na loterijní společnosti nebo třeba velké prodejce automobilů zprostředkovávající finanční a pojišťovací služby,“ připomíná Tomáš Kubíček z BDO.

Nařízení je strukturováno do čtyř základních požadavků, které musí splňovat všechny dotčené subjekty. Podniky musí zavést spolehlivé rámce pro identifikaci, hodnocení a účinné zmírňování rizik v oblasti ICT. Dále musí zavést testování provozní odolnosti a hlášení incidentů. „Včasné odhalení je rozhodující pro minimalizaci dopadu možných narušení,“ říká Tomáš Kubíček. V neposlední řadě musí společnosti zajistit, aby jejich externí partneři dodržovali stejně vysoké standardy odolnosti, což zahrnuje pravidelné hodnocení rizik, sjednávání přísných smluvních podmínek a zavádění průběžných monitorovacích procesů.

Jaký lze očekávat dlouhodobý dopad nařízení DORA

„Zavedení standardu DORA coby vertikální regulace vedle směrnice NIS2 představuje významný milník, ale zároveň signalizuje širší posun směrem k větší odolnosti a odpovědnosti v celém finančním sektoru,“ shrnuje Tomáš Kubíček. Přijetím zásad DORA mohou organizace vybudovat pevnější základy pro řízení rizik v oblasti informačních a komunikačních technologií, posílení provozní stability a ochranu před stále složitějším prostředím hrozeb.

„Toto nařízení není jen o splnění dnešních požadavků – jde o to, aby podnikání bylo připraveno na budoucnost. Ti, kteří investují do neustálého dodržování předpisů a odolnosti, mohou získat konkurenční výhody, včetně lepší důvěry zainteresovaných stran, silnější důvěry zákazníků a nižšího vystavení rizikům,“ komentuje Tomáš Kubíček.

Vzhledem k tomu, že se regulační prostředí neustále vyvíjí, svět se čím dále tím víc přesouvá do digitálního prostoru, musí podniky zůstat proaktivní. Soulad s nařízením DORA by měl být podle Tomáše Kubíčka vnímán jako součást trvalého závazku k digitální odolnosti, nikoli jako jednorázové úsilí.

„Rozhodnutí Komise zamítnout pravidla zákona pro subdodávky má nicméně zásadní vliv zejména pro firmy, které jsou závislé na složitých subdodavatelských řetězcích. Ty budou muset sledovat, jaké změny přinese tato revize, a rychle se jí přizpůsobit. Jde o balanc mezi bezpečností a pružností – a jak se s tím finanční sektor vypořádá, ukáže až čas,“ uzavírá Tomáš Kubíček z BDO.