Přichází nová kybernetická regulace DORA. Menší a střední firmy ji nestíhají řešit.
Už v lednu 2025 nabyde účinnosti nařízení DORA, které zasáhne všechny klíčové hráče na finančním trhu. Dopadne totiž na banky, platební instituce, pojišťovny, obchodníky s cennými papíry, investiční společnosti i prodejce kryptoměn.
Nařízení má vést k zajištění kybernetické bezpečnosti a ochrany informačních a komunikačních technologií a vyšší digitální odolnosti finančního trhu. Těmto oblastem se větší finanční instituce, zpravidla členové nadnárodních finančních skupin, věnují již delší dobu. Nová rozsáhlá regulace bude ale nyní značné množství povinností vyžadovat i od menších a středních, často lokálních subjektů.
Bude nutné vytvořit a implementovat nové funkce, pravidla, procesy i dohledové a školící mechanismy. Jen strategií, politik, plánů a obdobných dokumentů jsme v nařízení DORA identifikovali okolo třiceti. Je jisté, že dotčené finanční subjekty se nevyhnou investicím do nových technologií a odborníků v oblasti kybernetické bezpečnosti. Problémem je ale skutečnost, že mnoho povinností je v nařízení definováno obecně. Jsou sice upřesněny v regulatorních technických standardech, ty ovšem dosud nebyly finálně schváleny. Dotčené subjekty tak, s ohledem na blížící se termín účinnosti nařízení, musí nejen sledovat vývoj legislativy, ale také se musí spolehnout na to, že regulatorní technické standardy již nebudou v rámci evropského legislativního procesu radikálně měněny.
Stihneme to? Kolik nás to bude stát? Na nejčastější dotazy klientů odpovídáme s nadsázkou, že včera bylo pozdě a že s implementací je třeba začít co nejdříve, ideálně okamžitě. Proces je časově i finančně náročný a expertů s potřebnými znalostmi je omezené množství. Zpožděná implementace totiž povede k dalšímu navýšení již tak značných nákladů a hrozby sankcí nikoho rovněž neuklidní. Návrh zákona o digitálních financích totiž počítá s pokutou až 50 milionů Kč za přestupky finančního subjektu spočívající v porušení nařízení DORA.
Z trhu máme indikace, že Česká národní banka významně posiluje svůj tým odborníků na kybernetickou bezpečnost. Lze tedy očekávat, že kontroly v oblasti kybernetické bezpečnosti nebudou klouzat po povrchu, ale budou velmi detailní. Z naší praxe také víme, že u některých dohlížených subjektů k tomu již dochází, a to vše v situaci, kdy nejistot ohledně nařízení DORA je stále mnoho.
Pro dotčené subjekty bude největší výzvou, aby se veškeré požadované činnosti a postupy nestaly pouze formálně splněným úkolem založeným v pracovním šuplíku. Zda bude splněn cíl nařízení, aby se klienti finančních institucí dočkali vyšší úrovně bezpečnosti a spolehlivosti svých finančních služeb, nejen případného navýšení jejich ceny, ukáže praxe budoucnosti. Snad.
