Michael Kralert, seniorní projektový manažer společnosti BDO, ve svém komentáři informuje, že Evropská unie reaguje na narůstající počet kybernetických útoků a zavádí směrnici DORA (Digital Operational Resilience Act). Ta má za cíl lépe ochránit banky, další finanční instituce a společně s tím i účty milionů lidí.
Co se dozvíte v článku
Směrnice podle Kralerta stanovuje, že všechny společnosti spojené s finančním sektorem musí být schopny zabezpečit své informační a komunikační systémy proti případným narušením a hrozbám a v případě problémů okamžitě reagovat.
Tyto přísné standardy budou muset respektovat nejen banky a ostatní finanční instituce, ale také třetí strany poskytující tomuto sektoru kritické služby související s informačními a komunikačními technologiemi, jako například poskytovatelé cloudových služeb.
Zásadní bude odhalování rizik…
Celkově se bude jednat o tisíce firem. Kralert připomíná, že všechny dotčené instituce budou muset průběžně plnit řadu stanovených úkolů. Nejde přitom pouze o technické aspekty bezpečnosti, na rozdíl do některých předchozích nařízení se DORA zaměřuje i na provozní aspekty.
Konkrétně budou muset jednotlivé instituce podle regulace DORA zavést vhodné řízení rizik v tom smyslu, že identifikují zranitelná místa a posoudí všechna relevantní rizika spojená se svými digitálními provozními systémy a jejich vzájemnou provázaností.
Rizikovost by podle odborníků měla být vyhodnocována průběžně, pravidelně přezkoumávána a aktualizována. Kromě snahy o zmírnění rizik by instituce měly průběžně transparentně vyhodnocovat stav rizikovosti.
Pro případ kybernetického útoku instituce mají mít důkladný plán řízení incidentů a reakce na ně, a to včetně předem vyhodnoceného schématu komunikace s příslušnými zúčastněnými stranami a nástrojů ke zmírnění dopadu incidentu.
Soustředit se dále mají primárně na ochranu dat a kontinuitu provozu. Do celého procesu musí být začleněn i celý dodavatelský řetězec, na což DORA klade oproti dřívějším regulacím značně větší důraz.
… hlášení incidentů…
Druhým zásadním úkolem pro finanční instituce je podle odborníků hlásit incidenty neprodleně příslušným státním orgánům. Informace by podle Kralerta měla obsahovat údaj o délce incidentu, přehled o všech dotčených organizacích a geografický rozsah incidentu, zvláště pokud probíhal na území více než dvou členských států.
Případně by instituce měly uvést, zdali útok způsobil ztrátu dat, či narušil jejich integritu, a kolika transakcí či jaké částky se incident dotkl. Doplnit by měly také, jestli incident způsobil dopad na pověst a jaký je jeho hospodářský dopad v odhadnutých přímých a nepřímých nákladech a ztrátách.
… testování odolnosti systémů…
Dále DORA nařizuje dotčeným subjektům regulace, aby prováděly pravidelné testování odolnosti svých IT systémů a procesů s cílem zajistit jejich účinnost a identifikovat potenciální problémy.
Zavedení účinných bezpečnostních kontrol může být pro organizace podle Kralerta výzvou, protože musí zajistit, aby odpovídaly velikosti, složitosti a rizikovému profilu své digitální infrastruktury a služeb. Kromě toho musí organizace zajistit, aby všechny bezpečnostní kontroly byly pravidelně monitorovány a testovány.
… a sdílení informací
Kromě toho DORA předpokládá vzájemnou kooperaci a sdílení informací. Nařizuje, aby finanční instituce sdílely informace s jinými finančními institucemi a regulačními orgány v jiných zemích, což podle Kralerta může představovat výzvu z hlediska ochrany údajů, důvěrnosti a regulačních požadavků.
Odborníků na kyberbezpečnost bude nedostatek
Kralert zároveň upozorňuje, že lze očekávat, že některé rutinní činnosti spojené s testováním, sběrem a zpracováním dat v souvislosti s reportingem budou brzy v budoucnu vykonávány s minimálním zapojením lidské činnosti.
Tu podle analytiků nahradí strojové učení a umělá inteligence, a to i z toho důvodu, že firmy nebudou mít dostatek zaměstnanců, kteří by se vyhodnocování stále většího objemu dat mohli věnovat.
Lze také očekávat, že odborníků, kteří by ještě předtím řešili samotnou implementaci regulace, bude nedostatek, stejně tak jako na druhé straně inspektorů nastavených procesů. Ostatně nouzi o odborníky zažívají firmy již nyní.
Společnost upozorňuje, že zejména pro menší firmy se zdá nerealistické, že by dokázaly sestavit trvalý plnohodnotný tým odborníků na kybernetickou bezpečnost. Proto lze očekávat větší zapojení externích partnerů, případně lze očekávat zajišťování některých komponent kybernetické bezpečnosti určitou formou sdílené služby.
Hříšníky čeká sankce
Kralert v neposlední řadě dodává, že příslušný státní orgán může v případě jakéhokoliv porušení regulace DORA uložit správní sankce a nápravná opatření, jejich výše pro finanční instituce nicméně zatím nebyla stanovena.
Ovšem kritickým poskytovatelům informačních a komunikačních služeb mohou úřady uložit pokutu do 1 % jejich průměrného denního celosvětového obratu za předchozí hospodářský rok po dobu maximálně šesti měsíců, a to denně až do dosažení souladu s předpisy.
„Jak finanční instituce, tak jejich dodavatelé by se měli na regulaci připravovat již v současné době. Lhůta, kterou na splnění zákonných podmínek mají, opravdu není příliš dlouhá,“ uzavírá Kralert.
Zdroj: BDO
