Co přináší DORA?
DORA není holka, ani Lola, co běží o život (Lola rennt, 1998). Jedná se o Evropskou komisí připravované Nařízení o digitální provozní odolnosti finančních institucí (DORA).
Cílem nařízení DORA je sjednotit požadavky na řízení rizik v oblasti informačních a komunikačních technologií (IKT) a digitální provozní odolnosti u subjektů, které podléhají povolení a finančnímu dohledu. Ve všech regulovaných oblastech finančního trhu již nyní platí nějaká pravidla pro řízení rizik IKT. Tato pravidla jsou však rozdílná, v některých oblastech jsou jen rámcová či kusá, někde, jako např. v bankovnictví a platebních službách jsou již nyní velmi robustní.
Od účinnosti nařízení DORA budou všechny v něm vymezené subjekty podléhat jednotné regulaci řízení rizik a hlášení incidentů v oblasti IKT. Nařízením to však neskončí, na ně budou navazovat regulatorně technické standardy (RTS) vypracované evropskými orgány pro finanční regulaci po konzultaci s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA). Tyto RTS půjdou do velkého detailu a stanový jasné mantinely správné praxe.
Nařízení bude mít dopad na všechny regulované finanční instituce. Některé subjekty, jako jsou např. banky či platební instituce, si s regulací poradí snadněji, protože již nyní musejí aplikovat náročné řízení rizik v oblasti IKT, jelikož jim to nařizuje směrnice PSD2 a prováděcí akty jako např. Obecné pokyny EBA pro řízení rizik v oblasti IKT a bezpečnosti. Pro menší subjekty finančního trhu, jako jsou např. nebankovní obchodníci s cennými papíry, investiční společnosti či poskytovatelé služeb v oblasti kryptoaktiv, může být naplnění povinností velmi náročné. Požadavky regulace DORA totiž u nich povedou k významnému zvýšení nákladů na bezpečnost a řízení rizik IKT, a to jak z důvodu technologických, tak i personálních.
Adresáti nařízení musejí zavést a uplatňovat proces řízení incidentů souvisejících s IKT, a to i za účelem hlášení incidentů a jsou povinni zavést interní výstražné ukazatele včasného varování. V případě nastalého incidentu musí instituce reagovat velmi rychle, incident musí být neprodleně nahlášen regulátorovi, nejpozději však do konce obchodního dne, v němž se přihodil. Subjekty budou také povinny závažnost incidentů klasifikovat, a to dle pravidel v nařízení a navazujících prováděcích aktech.
I přes uvedené se však domníváme, že nařízení DORA nepovede k pozastavení či zastavení vývoje fintechu. Vzhledem ke komplexnosti regulace řízení rizik IKT však bude vstup nových fintech společností do finančních odvětví zase o něco složitější. Společnosti budou muset vynaložit na získání licence v příslušném odvětví vyšší náklady, budou muset regulátorovi prokázat, že splňují vysoké nároky na regulaci IKT v daném odvětví. Inovativní fintechové služby si však cestu na trh najdou, buď ve spolupráci s investory nebo již existujícími regulovanými subjekty v odvětví.
JUDr. Lumír Schejbal,
advokát
SCHEJBAL&PARTNERS s.r.o., advokátní kancelář
Florentinum, Na Florenci 15
110 00 Praha
Jiráskova 25
602 00 Brno
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
