Nařízení DORA je tady! Na co se připravit?
Dne 17. ledna 2025 vstoupilo v účinnost nařízení DORA, které přináší zásadní změny v oblasti kybernetické bezpečnosti finančního trhu. Níže naleznete základní přehled toho, jaké dopady na Vás nařízení DORA může mít.
Co nařízení DORA upravuje a na koho se uplatní?
Nařízení DORA stanovuje požadavky na bezpečnost sítí a informačních systémů podporujících obchodní procesy a jiné funkce finančních subjektů a další pravidla související s řízením rizik v oblasti informačních a komunikačních technologií (IKT).
Tato pravidla se přímo uplatní na finanční subjekty. Finančním subjektem se přitom rozumí většina finančních institucí operujících na trhu finančních služeb, například banky, obchodníci s cennými papíry, centrální depozitáři, platební instituce, pojišťovny a zajišťovny a další subjekty, které nařízení DORA jednotlivě jmenuje. Z osobní působnosti nařízení DORA jsou naopak vyloučeny podlimitní investiční společnosti nebo třeba zprostředkovatelé pojištění, kteří jsou mikropodniky, malými nebo středními podniky.
Finanční subjekty v dnešní době často spoléhají na outsourcing některých činností a spolupracují tak s externími dodavateli.
Nařízení DORA proto rovněž stanoví klíčové zásady, které by finanční subjekty měly respektovat při řízení rizik v oblasti IKT spojeného s třetími stranami. Tyto zásady doplňuje o výčet základních smluvních ujednání na podporu účinného řízení rizik vznikajících při poskytování služeb IKT externími subjekty.
Nařízení DORA se tak v konečném důsledku uplatní také na poskytovatele služeb IKT, a to skrze smluvní ujednání, která musí být obsažena ve smlouvě o poskytování služeb IKT.
Na tzv. kritické poskytovatele služeb IKT pak nařízení DORA dopadá i přímo. Kritické poskytovatele určí Evropské orgány dohledu na základě kritérií stanovených nařízením DORA. Evropské orgány dohledu rovněž vedou jejich veřejný seznam. Takto určeným poskytovatelům podle nařízení DORA přímo vznikají některé povinnosti v rámci výkonu správního dohledu nad nimi.
Externí zajištění služeb IKT
Pokud v rámci svého podnikání odebíráte anebo poskytujete služby IKT, může na Vás mít nařízení DORA významné dopady.
Jste-li finančním subjektem, budete nuceni optikou požadavků na řízení rizika v oblasti IKT spojeného s třetími stranami mimo jiné zrevidovat obsah všech smluv s poskytovateli služeb IKT a v případě zjištění jakýchkoliv nedostatků zajistit jejich nutnou aktualizaci.
Naopak, pokud jste poskytovatelem služeb IKT, finanční subjekty (odběratelé Vašich IKT služeb) se na Vás s podobným dodatkem ke smlouvě s velkou pravděpodobně brzy obrátí, pokud tak již neučinily.
Jak bylo ale nastíněno výše, nařízení DORA se na externí zajištění služeb uplatní pouze tehdy, kdy:
- jsou finančnímu subjektu poskytovány služby IKT; přičemž
- rozsah jejich uplatnění závisí na tom, jak je poskytovaná služba IKT pro finanční subjekt významná.
Co je to tedy služba IKT?
Nařízení DORA definuje služby IKT jako digitální anebo datové služby poskytované prostřednictvím systémů IKT průběžně interním nebo externím uživatelům.[1]
Definice je velmi obecná, tudíž je i škála činnosti, které pod ní spadají, relativně široká. Lze sem zařadit služby jako vývoj softwaru a jeho testování, pronájem hardwaru pro ukládání dat, provoz telekomunikačních systémů, pronájem softwaru, cloudové služby, služby hostingu a mnohé další.
Poskytování uvedených IKT služeb bude v praxi řešeno na základě licenčních smluv, smluv o vývoji nebo implementaci softwaru, smluv o pronájmu hardwaru anebo smluv o datové analýze.
Jaké konkrétní povinnosti musí být ve smlouvě zakotveny?
Rozsah povinností vyplývající ze smlouvy je v prvé řadě závislý na tom, zda poskytovaná služba IKT podporuje zásadní nebo důležité funkce finančního subjektu.[2] Toto hodnocení provádí sám finanční subjekt na svou vlastní odpovědnost na základě provedené analýzy rizik v oblasti IKT.
Obsah každé smlouvy se bude lišit, a to s ohledem na konkrétní rizika v oblasti IKT, která v souvislosti s outsourcingem příslušných funkcí finanční subjekt identifikuje. Pokud finanční subjekt identifikuje rizika, která na základě jeho vlastního hodnocení rizik odůvodňují zpřísnění některých uvedených povinností, může finanční subjekt vyžadovat tento přísnější standard. Konec konců je to finanční subjekt, kdo je odpovědný za jeho řízení rizik v oblasti IKT spojené s třetími stranami, a tedy za zajištění odpovídajícího smluvní rámce s konkrétním poskytovatelem.
Nařízení DORA jako výzva pro finanční subjekty i poskytovatele IKT služeb
Nařízení DORA přináší velké množství změn, které se týkají nikoliv jen finančních subjektů. Na nové regulatorní požadavky budou nuceni reagovat také poskytovatelé služeb IKT, kteří s finančními subjekty spolupracují a přizpůsobit jim i své vnitřní mechanismy fungování.
JUDr., Bc. Martin Stančík
Counsel
Mgr. Roman Marša
Advokát
Mgr. Tomáš Holický
Koncipient
[1] – Úplné znění definice služeb IKT je: „Digitální a datové služby poskytované prostřednictvím systémů IKT průběžně jednomu nebo více interním nebo externím uživatelům, včetně hardwaru jako služby a hardwarových služeb, které zahrnují poskytování technické podpory prostřednictvím aktualizací softwaru nebo firmwaru poskytovatelem hardwaru, s výjimkou tradičních analogových telefonních služeb.“
[2] – Zásadní nebo důležitou funkcí se rozumí: „Funkce, jejíž narušení by významně narušilo finanční výkonnost finančního subjektu nebo řádný průběh nebo kontinuitu jeho služeb a činností nebo jejíž přerušení či chybný nebo neúspěšný průběh by významně narušily dodržování podmínek a povinností finančního subjektu vyplývajících z jeho povolení nebo jeho dalších povinností na základě platného práva v oblasti finančních služeb.“
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
