Poisťovne, banky aj finanční sprostredkovatelia majú od 17.1.2025 nové povinnosti týkajúce sa kybernetickej bezpečnosti. O čo ide, koho sa to netýka a čo sa mení pre klientov?
17. januára 2025 vstúpil do platnosti nová regulácia o digitálnej prevádzkovej odolnosti (DORA). Ide o nariadenie EÚ, ktoré je povinné pre všetky členské štáty. Cieľom je posilniť digitálnu odolnosť regulovaných finančných subjektov. Finančný sektor je čoraz viac závislý od softvéru a digitálnych zariadení, s čím ale, prirodzene, súvisia viaceré riziká. Práve im má nariadenie DORA pomôcť predchádzať, a tiež efektívne reagovať a riešiť narušenia informačných a komunikačných technológií (IKT). Aké povinnosti majú dotknuté inštitúcie a čo to znamená pre ich klientov?
Koho sa DORA týka?
V čase, kedy kybernetických útokov pribúda, nariadenie DORA harmonizuje pravidlá o IT bezpečnosti v celom európskom finančnom sektore. Nové povinnosti a požiadavky na digitálnu prevádzkovú odolnosť museli zapracovať banky (všetky európske banky a pobočky zahraničných bánk), poisťovne či finanční sprostredkovatelia.
Ako ale uvádza Miriam Čizmazia, generálna tajomníčka Asociácie finančných sprostredkovateľov a finančných poradcov (AFISP), povinnosti sa týkajú len tých finančných sprostredkovateľov, ktorí spĺňajú definičné podmienky uvedené v Nariadení – ide najmä o ukazovateľ dosiahnutého ročného obratu alebo počet zamestnancov. Taktiež sa nové povinnosti netýkajú sprostredkovateľov poistenia, ktorí sú mikro, malé alebo stredné podniky.
Na druhej strane sa DORA týka aj napríklad veľkých predajcov automobilov, ktorí sprostredkujú finančné a poisťovacie služby.
Požiadavky Nariadenia o digitálnej prevádzkovej odolnosti (DORA)
Požiadavky, ktoré musia zapracovať finančné inštitúcie a organizácie pôsobiace vo finančnom sektore, sa rozdeľujú do piatich skupín:
- Oznamovanie závažných incidentov v oblasti IKT a dobrovoľné oznamovanie významných kybernetických hrozieb príslušným orgánom;
- Nahlasovanie závažných prevádzkových alebo bezpečnostných incidentov zo strany finančných subjektov príslušným orgánom - cieľom je vytvoriť jednotný systém nahlasovania takýchto incidentov, čo má celý proces zjednodušiť a znížiť administratívne náklady;
- Testovanie digitálnej prevádzkovej odolnosti;
- Zdieľanie informácií a spravodajských informácií súvisiacich s kybernetickými hrozbami a zraniteľnými miestami;
- Zabezpečenie riadneho riadenia rizík poskytovateľov služieb IKT (tretie strany).
„Finančné inštitúcie musia mať zavedený systém riadenia rizík spojených s IKT a súbor procesov a opatrení na posilnenie ochrany IKT. Taktiež Nariadenie ukladá povinnosť testovať odolnosť IKT a štandardizovať rýchlu a efektívnu komunikáciu so štátnymi orgánmi pri hlásení a riešení incidentov,“ v súhrne uvádza M. Čizmazia a dodáva, že pre finančných sprostredkovateľov to v praxi znamená potrebu nastavenia spomínaných vnútorných procesov a opatrení, ktoré DORA predpokladá, a tiež investovanie do riešení používaných finančnými sprostredkovateľmi, ktoré zvýšia odolnosť ich IKT.
Informovanie o kyber incidentoch
Ako uvádza na svojej webovej stránke Národná banka Slovenska, finančné subjekty v súvislosti s DORA musia od 17.1.2025 ako súčasť svojho rámca riadenia IKT rizika viesť a aktualizovať register informácií v súvislosti so všetkými zmluvnými dojednaniami o využívaní IKT služieb poskytovaných externými poskytovateľmi IKT služieb. Register informácií sa prvýkrát nahlasuje k referenčnému dátumu 31.3.2025, NBS pre splnenie tejto povinnosti ale stanovuje termín 7.4.2025. „Subjekty, ktoré majú prekladať hlásenia priamo NBS, budú oslovené zo strany NBS, ktorá tieto hlásenia následne pošle Európskym orgánom dohľadu (ESAs). Subjekty, ktorých materská spoločnosť je dohliadaný subjekt v pôsobnosti DORA, predkladajú register informácií tejto materskej spoločnosti, ktorá ich následne odošle svojmu domovskému orgánu dohľadu.“ Hlásenia sa predkladajú elektronicky.
Národnej banke Slovenska taktiež finančné subjekty nahlasujú závažné IKT incidenty a dobrovoľne oznamujú významné kybernetické hrozby. Robia tak elektronicky cez informačný systém „Štatistický zberový portál“.
Ak sa napríklad vyskytne bezpečnostný incident, ktorý je možné odstrániť jednoduchým zásahom do systému, finančný subjekt tento incident zaznamenáva. Klasifikuje ho na základe kritérií a prahových hodnôt. Do NBS potom reportuje závažné IKT incidenty a na dobrovoľnej báze významné kybernetické hrozby. Závažný incident je potrebné nahlásiť aj v prípade následného rýchleho odstránenia. „V takomto prípade by finančný subjekt mohol všetky tri hlásenia poslať naraz, prípadne ak by medzičasom dospel k názoru, že incident nespĺňal klasifikačné kritériá, vyreportuje tzv. reklasifikáciu zo závažného incidentu na nezávažný,“ dodáva NBS na webe.
Testovanie digitálnej prevádzkovej odolnosti
Spomedzi všetkých opatrení hrá dôležitú rolu testovanie digitálnej prevádzkovej odolnosti, ktoré je povinné a ktorého cieľom je posúdiť pripravenosť na riešenie incidentov súvisiacich s IKT, identifikovať slabé stránky, nedostatky a medzery v digitálnej prevádzkovej odolnosti a urýchlene zaviesť nápravné opatrenia. Ide napríklad o penetračné testy – teda akýsi pokus o neoprávnený prienik do systémov, ktorý má odhaliť jeho slabiny a mieru zraniteľnosti spoločnosti. Taktiež je súčasťou testovanie schopnosti obnovy po incidente.
Dopady Nariadenia DORA na klientov finančných inštitúcií
Zástupcovia finančného sektora sa zhodujú, že klientov finančných inštitúcií Nariadenie DORA neovplyvní. „Nariadenie vyžaduje plnenie komplexného súboru pravidiel, ktorý má zabezpečiť vyššiu bezpečnosť a stabilitu subjektov na finančnom trhu v digitálnej ére. Na klientov nekladie žiadne požiadavky,“ uvádza M. Čizmazia a dodáva: „Naopak, klienti benefitujú z Nariadenia, nakoľko subjekty na finančnom trhu sú povinné informovať klientov o prípadných hrozbách či incidentoch, ktoré by mohli mať alebo majú na nich negatívny vplyv.“
Súhlasí s tým aj Daniela Gilányi, PR manažérka a hovorkyňa Slovenskej bankovej asociácie, ktorá pre Podnikajte.sk uviedla, že dodržiavaním týchto pravidiel sa zvýši odolnosť finančného sektora. To klientov podľa nej utvrdí v dôveryhodnosti, bezpečnosti a stabilite ich finančných služieb. „Nariadenie DORA je orientované na finančné inštitúcie a ich prevádzkové schopnosti, nie priamo na jednotlivých zákazníkov,“ dopĺňa hovorkyňa.
Aj podnikatelia z iných sektorov ale musia riešiť kybernetickú bezpečnosť, mnohých sa totiž dotýka nová smernica NIS 2. O čo ide, približujeme v článku Zákon o kybernetickej bezpečnosti a opatrenia smernice NIS2 v praxi.
