Európska únia zavádza nové nariadenie „DORA“ a smernicu „NIS2“ na zvýšenie kyberbezpečnosti finančných inštitúcií aj firiem z viacerých odvetví. Koho sa novinky týkajú a čo prinesú?
Jedným
z cieľov Európskej únie je udržať a chrániť finančnú odolnosť členských
štátov. Súčasná geopolotická situácia, humanitárna kríza na Ukrajine, sankcie uvalené na Rusko,
digitalizácia a s tým hroziace kybernetické riziká, zohrávajú vo finančnom
sektore čoraz dôležitejšiu úlohu. Európska únia si uvedomuje zraniteľnosť
digitálneho systému, a preto prišla s návrhom na vytvorenie jednotného rámca
pre všetky podsektory finančných služieb. Ten bol v máji 2022 predbežne schválený Európskym parlamentom.
Nariadenie o digitálnej prevádzkovej bezpečnosti (DORA)
V rámci Európskej únie doteraz existovali len čiastkové regulácie v jednotlivých podsektoroch, ktoré neboli jednotné. DORA (Digital Operational Resiliance Act), čiže nariadenie o digitálnej prevádzkovej odolnosti, prináša komplexný rámec na riadenie rizík spojených so zvyšujúcou sa digitalizáciou. Vzťahuje sa na entity z finančného odvetvia, a okrem spoločností ako sú banky a poisťovne, sa bude vzťahovať aj na významných dodávateľov služieb informačných a komunikačných technológií (napr. poskytovateľov služieb analýzy údajov či cloudové platformy). Audítori nebudú podliehať tomuto nariadeniu, ale budú súčasťou budúcej revízie nariadenia, v rámci ktorého sa môžu preskúmať súvisiace pravidlá.
Toto nariadenie vytvára regulačný rámec pre digitálnu prevádzkovú odolnosť, v ktorom budú musieť všetky spoločnosti zabezpečiť, aby boli schopné odolávať všetkým typom narušení a hrozieb súvisiacich s IKT (informačné a komunikačné technológie), reagovať na ne a dostať sa z nich. Tieto požiadavky sú rovnaké vo všetkých členských štátoch EÚ. Hlavným cieľom je predchádzať kybernetickým hrozbám a zmierňovať ich.
Od dôležitých poskytovateľov z tretích krajín, ktoré finančným subjektom v EÚ poskytujú služby IKT, sa bude vyžadovať, aby si v rámci EÚ zriadili dcérsku spoločnosť, aby bolo možné riadne vykonávať dohľad.
Slovenské finančné inštitúcie by sa už teraz mali pripraviť na DORA
Napriek tomu, že všetky detaily nariadenia ešte nie sú známe, slovenské finančné inštitúcie by sa už teraz mali zaujímať o novú reguláciu. Získajú tak výhodu základného povedomia o jej požiadavkách. Entity, ktoré sú súčasťou nadnárodných finančných skupín, už implementujú tento regulačný systém priamo cez svoju skupinu a cez ňu budú aj dohľadované. Menšie inštitúcie, ktoré doteraz nevenovali dostatočnú pozornosť kyberbezpečnosti, by mali zvážiť inventarizáciu svojich systémov a porovnať ich s novými požiadavkami.
„Nová regulácia vychádza z aktuálnych trendov zvyšujúcich sa kyber útokov, a preto má svoje opodstatnenie. Niektoré z požiadaviek nebudú znamenať veľké zmeny v súčasných rámcoch a usporiadaniach, zatiaľ čo iné si budú vyžadovať veľa času, koordinácie a úsilia od rôznych odborníkov. Pre významné regulované subjekty, ako sú spomínané banky a poisťovne, môžu byť zmeny len okrajové. Pre typy finančných služieb, v ktorých regulácia kybernetickej bezpečnosti nebola až tak v popredí – napríklad správcovské spoločnosti, prevádzkovatelia crowdfunding platforiem – môže legislatíva významne zvýšiť požiadavky nad súčasný stav,“ zhrnul Pavol Adamec, odborník na kybernetickú bezpečnosť a výkonný riaditeľ oddelenia riadenia rizík, KPMG Slovensko.
Nariadenia DORA každý členský štát EÚ začlení do svojho právneho poriadku. Príslušné európske orgány dohľadu, ako sú Európsky orgán pre bankovníctvo (EBA), Európsky orgán pre cenné papiere a trhy (ESMA) a Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA), potom vypracujú technické normy pre všetky inštitúcie finančných služieb, ktoré sa budú dodržiavať v rámci bankovníctva cez poistenie až po správu aktív. Príslušné vnútroštátne orgány prevezmú úlohu dohľadu nad dodržiavaním predpisov a budú nariadenie náležite presadzovať.
NIS2: posilnenie kybernetickej bezpečnosti a odolnosti v celej EÚ
Rada a Európsky parlament sa v máji dohodli aj na opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii s cieľom ďalej zlepšovať odolnosť verejného aj súkromného sektora a EÚ ako celku a ich schopnosť reagovať na incidenty. Nová smernica s názvom „NIS2“ po prijatí nahradí smernicu o bezpečnosti sietí a informačných systémov (smernica NIS).
Smernica NIS 2 sa vzťahuje na stredné a veľké subjekty z viacerých odvetví, ktoré sú kritické pre hospodárstvo a spoločnosť, vrátane poskytovateľov verejných elektronických komunikačných služieb, digitálnych služieb, odpadových vôd a odpadového hospodárstva, výroby kritických produktov, poštových a kuriérskych služieb a verejnej správy, tak na ústrednej, ako aj na regionálnej úrovni. Rozšírenie pôsobnosti nových pravidiel na väčší počet subjektov a odvetví, ktoré budú mať povinnosť prijímať opatrenia na zníženie rizík pre kybernetickú bezpečnosť, pomôže zvýšiť úroveň kybernetickej bezpečnosti v Európe v strednodobom a dlhodobom horizonte.
Smernica NIS 2 takisto posilňuje požiadavky na kybernetickú bezpečnosť kladené na podniky, rieši bezpečnosť dodávateľských reťazcov a dodávateľských vzťahov a zavádza zodpovednosť vrcholového manažmentu za nedodržiavanie povinností v oblasti kybernetickej bezpečnosti. Do popredia kladie ohlasovacie povinnosti a zavádza prísnejšie opatrenia dohľadu pre vnútroštátne orgány, ako aj prísnejšie požiadavky na presadzovanie práva s cieľom harmonizovať režimy sankcií vo všetkých členských štátoch. Smernica NIS2 pomôže zvýšiť výmenu informácií a spoluprácu v oblasti riadenia kybernetických kríz na vnútroštátnej úrovni a na úrovni EÚ.
Európsky parlament a Rada zosúladili znenie s právnymi predpismi platnými pre jednotlivé odvetvia, najmä s nariadením o digitálnej prevádzkovej odolnosti finančného sektora (DORA) a so smernicou o odolnosti kritických subjektov (CER) s cieľom zabezpečiť právnu zrozumiteľnosť a súdržnosť medzi NIS2 a týmito aktmi.
Členské štáty budú mať 21 mesiacov na to, aby ustanovenia smernice NIS2 transponovali do svojho vnútroštátneho práva.
Zdroj: KPMG, ec.europa.eu, consilium.europa.eu
