DORA a digitální transformace pojišťovnictví
Zdroj: Pojistný obzor
Autoři: JUDr. Josef Donát, LL.M., Mgr. Michaela Holíková
Se stupňující se závislostí finančního sektoru na informačních technologiích (ICT) přichází i zvýšená potřeba zabezpečení a ochrany před kybernetickými hrozbami. V souvislosti s tím přijala Evropská unie v rámci Digitální strategie EU[1] Akční plán pro digitální finance[2], který má za cíl posílit odolnost finančního sektoru a zvýšit důvěru v digitální ekosystémy.
Jedním z klíčových nástrojů tohoto plánu je nařízení o digitální provozní odolnosti finančního sektoru, DORA (Digital Operational Resilience Act)[3]. DORA upravuje posílení kybernetické bezpečnosti v oblasti finančního sektoru a dopadá na činnost pojišťoven a zajišťoven, zprostředkovatelů a institucí poskytující zaměstnanecké penzijní pojištění. Vyňaty jsou pouze velmi malé pojišťovny s hrubým výnosem z pojistného do 5 milionů EUR. Dále jsou vyňati zprostředkovatelé kvalifikovaní jako mikropodniky nebo malé a střední podniky. Instituce poskytující zaměstnanecké penzijní pojištění maximálně 15 osobám jsou také vyňaty.
Povinnosti podle DORA: Správa a kontrola ICT rizik
Mezi hlavní povinnosti podle DORA patří zavedení řídícího a kontrolního rámce pro řízení rizik spojených s ICT. Tento rámec musí být součástí celkového procesu řízení rizik finančního subjektu. Společnosti musí zavést a udržovat vhodná bezpečnostní opatření k zajištění dostupnosti, důvěrnosti a integrity ICT prostředků. Nařízení DORA tato opatření dělí do několika skupin.
První skupinou jsou opatření k ochraně a prevenci, kam patří vedení bezpečnostní dokumentace, bezpečné řízení infrastruktury a sítí, omezení fyzického přístupu k aktivům, která obsahují data a informace, a využívání odolných kryptografických prostředků.
Druhou skupinou jsou opatření k detekci. Finanční subjekt musí mít zavedené mechanismy k detekci neobvyklých kybernetických aktivit, aby byl schopen včas zachytit pokusy o kybernetický incident.
Třetí skupinou jsou potom opatření pro okamžitou reakci na případný incident a správnou obnovu fungování společnosti, pokud incident naruší její fungování. Mezi tato opatření spadá příprava a pravidelné testování tzv. business continuity plánů, které zahrnují postupy pravidelného zálohování dat včetně rozsahu a frekvence zálohování, a postupy pro obnovu dat ze záloh. Business continuity plán by měl zajistit obnovu systémů s minimální odstávkou, omezenými výpadky do obchodních funkcí a minimalizaci finančních ztrát v případě úspěšného kybernetického incidentu.
Poslední skupinou jsou opatření k zajištění rozvoje bezpečnostního povědomí zaměstnanců o bezpečnosti a digitální provozní odolnosti.
Jak DORA upravuje povinnosti pro malé a specializované finanční subjekty
Zmíněným povinnostem bude podléhat většina povinných subjektů. Některé finanční subjekty podléhají podle odvětvových právních předpisů EU mírnějším požadavkům nebo výjimkám, a to z důvodů, které vycházejí z jejich velikosti nebo typu poskytovaných služeb. Mezi tyto subjekty spadají malé a nepropojené investiční podniky, některé instituce elektronických peněz a malé instituce zaměstnaneckého penzijního pojištění. V souladu se zásadou proporcionality byl pro tyto subjekty vypracován tzv. zjednodušený rámec pro řízení rizika v IT,[4] který obsahuje výčet minimálních povinností, jež musí podnik zavést.
Konzistentní harmonizaci požadavků DORA mezi různými typy subjektů finančního sektoru mají zajistit tzv. regulační technické standardy (RTS) a implementační technické standardy (ITS), které společně vypracují evropské orgány dohledu – EBA, EIOPA a ESMA. Evropské komisi je svěřena pravomoc k přijetí těchto standardů a vydání dalších aktů v přenesené působnosti, které mají například upřesnit kritéria pro určení kritických poskytovatelů služeb ICT z řad třetích stran.[5] Ke dni vydání tohoto článku byl zveřejněn první balíček návrhů harmonizačních standardů, které se věnují čtyřem oblastem.
ICT Risk Management Framework
Řízení rizik je základním kamenem požadavků DORA. Návrh RTS poskytuje upřesnění specifických požadavků na řízení rizik spojených s informačními a komunikačními technologiemi (ICT) s cílem harmonizovat nástroje, metody, procesy a politiky. V návrhu jsou identifikovány klíčové prvky rámce pro řízení rizik, které jsou relevantní i pro povinné subjekty podléhající zjednodušenému rámci povinností.
Návrh RTS vychází ze dvou hlavních principů – technologické neutrality a sektorové agnostičnosti[6], a upřesňuje požadavky na řízení rizik v oblasti předpokládaných interních dokumentů (politiky, směrnice). Tento přístup byl vyhodnocený jako nejvhodnější s ohledem na potřebu zajistit maximální jasnost požadavků a zároveň ponechat dostatek prostoru k aplikaci principu proporcionality.
Kritéria pro klasifikaci kybernetických incidentů
Hlášení incidentů by se mělo vyžadovat po všech finančních subjektech, ale neočekává se stejný dopad na všechny. Návrh RTS pro klasifikaci kybernetických incidentů upřesňuje prahové hodnoty významnosti incidentů a způsob určení jejich hodnoty. Na dokumentu spolupracovala Evropská centrální banka (ECB) a Agentura Evropské unie pro kybernetickou bezpečnost (ENISA).
Pro klasifikaci incidentů je nutné posoudit dopad v oblastech: počet dotčených klientů, finančních institucí, finančních transakcí a reputace. Dále je nutné posoudit dobu trvání výpadku služeb, geografický výskyt incidentu, objem dotčených dat, rozsah postižených kritických služeb a ekonomický dopad.
Důležitou součástí je návrh kritérií a prahových hodnot pro určení tzv. závažného kybernetického incidentu. Ten se stává závažným, pokud alespoň dvě kritéria z uvedených oblastí dosáhnou určené prahové hodnoty předpokládané v návrhu, jako je například dopad na více než 10 % uživatelů dané služby nebo více než 10 % denních transakcí.
Povinný subjekt musí v případě závažného incidentu nahlásit příslušnému orgánu dle čl. 19 odst. 6 a 7 DORA. Navrhované RTS zatím neupravují způsob oznamování incidentů. Povinný subjekt musí po identifikaci závažného incidentu předložit prvotní oznámení o existenci incidentu a jeho charakteru. Dále musí předložit průběžné zprávy o změnách stavu nebo nové informace o incidentu. Nakonec musí předložit závěrečnou zprávu s analýzou příčiny incidentu, jeho dopadů a popisem zmírňujících opatření.
Strategie v oblasti ICT služeb
DORA požaduje, aby povinné subjekty zavedly a pravidelně přezkoumávaly strategii v oblasti ICT služeb podporujících kritické nebo důležité funkce, které jsou poskytovány třetími stranami. Navrhované RTS upřesňuje požadavky na obsah interních dokumentů, opět s ohledem na požadavek proporcionality přijímaných opatření pro různé typy subjektů finančního sektoru.
V praxi se lze často setkat se situací, kdy jsou kritické a důležité ICT služby zajišťovány subjektem, který patří do skupiny v rámci finančního sektoru. Návrh RTS upřesňuje, že i takové schéma je považováno za poskytování služeb třetí stranou a touto optikou je důležité posuzovat také rizika spojená s těmito poskytovateli. Ačkoliv rizika, která tito poskytovatelé představují, mohou být různá, rozsah požadavků, které se na ně vztahují, by měl být stále v souladu s požadavky DORA.
DORA: Registr smluvních požadavků
Dle DORA musí povinné subjekty zavést registr informací o všech smluvních podmínkách a ujednáních o využívání služeb ICT třetí stranou. Registr musí zpřístupnit příslušným orgánům společně s dalšími informacemi k usnadnění účinného dohledu. ITS obsahující standardizované požadavky na tento registr byl vypracován za tímto účelem. ITS zahrnuje informace, které jsou společné všem smluvním ujednáním o použití služeb ICT třetích stran. Celkem byl zveřejněn návrh čtrnácti šablon pro sedm hlavních oblastí.
Implementace do českého právního řádu
V současné době čeká na zařazení na program jednání vlády návrh zákona o digitálních financích[7]. Tento zákon, navržený Ministerstvem financí ČR, zapracovává a rozvádí příslušná ustanovení DORA do českého právního řádu. Aktuální předpokládaná účinnost tohoto zákona je 17. ledna 2025, přičemž je pravděpodobné, že k jeho přijetí dojde v průběhu druhého pololetí 2024.
Zákon stanovuje příslušný orgán, kterým bude v souladu s kritérii DORA Česká národní banka (ČNB). Nepředpokládá, že by ČNB pravomoci sdílela s dalším subjektem. Nicméně je možné, že vzhledem k obecnému charakteru DORA bude docházet k těsné spolupráci mezi ČNB a Národním úřadem pro informační a kybernetickou bezpečnost (NÚKIB).
Zákon dále rozšiřuje pravomoci příslušného orgánu nad rámec požadavků DORA. ČNB tak bude moci mimo obecných sankcí ukládat povinným subjektům nápravná opatření a uložit jim povinnost podávat potřebné informace k výkonu dohledu. V případě neplnění uložených povinností má ČNB pravomoc uložit donucovací pokutu, a to i opakovaně, až do výše 20 milionů korun. Navrhovaná úprava stanovuje také sankce za porušení předepsaných povinností. Ty jsou rozděleny do pěti skupin dle závažnosti porušení a charakteru subjektu a mohou dosahovat výše až 50 milionů korun.
DORA směřuje k posílení kybernetické bezpečnosti finančního sektoru
Pro odvětví pojišťovnictví je klíčové analyzovat mezery v existujících postupech řízení rizik a správy ICT. Společnosti musí ověřovat schopnost klasifikovat a hlásit incidenty. Nedílnou součástí je také pravidelné testování zabezpečení a odolnosti systémů ICT. Detailní analýza stávajících smluv je nutná pro řízení rizik poskytovatelů služeb ICT z třetích stran. Poté je potřeba případně upravit smlouvy v souladu s požadavky na obsah smluvních ustanovení.
Zveřejněné návrhy RTS a ITS poskytují bližší upřesnění požadavků DORA a vypracované šablony pro finanční subjekty v oblasti řízení rizik ICT, klasifikace incidentů a správy registrů smluvních požadavků. Tyto normy usilují o harmonizaci nástrojů, metod a procesů v celém finančním sektoru, což přispívá k efektivnější koordinaci a reakci na kybernetické hrozby.
Je nezbytné, aby subjekty v tomto odvětví nejen dodržovaly nové regulační požadavky, ale také aktivně pracovaly na budování odolných digitálních ekosystémů a spolupracovaly na sdílení informací, což přispěje k celkové bezpečnosti a důvěře v digitální finanční prostředí.
- Digitální strategie EU. Dostupné zde: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/shaping-europes-digital-future_cs
- Akční plán pro digitální finance. Dostupné zde: https://www.consilium.europa.eu/cs/policies/digital-finance/#strategy
- Nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32022R2554
- Čl. 16 Nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. Dostupné z: https://eur-lex.europa.eu/legal-content/EN-CS/TXT/?from=EN&uri=CELEX%3A32022R2554
- Čl. 31 Nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. Dostupné z: https://eur-lex.europa.eu/legal-content/EN-CS/TXT/?from=EN&uri=CELEX%3A32022R2554
- „Agnostický“ v kontextu ICT a DORA označuje technologie, postupy a procesy, které jsou zobecněny tak, že dochází k maximální interoperabilitě.
- Návrh zákona o digitálních financích dostupný zde: https://odok.cz/portal/veklep/material/KORNCWHFWZ3M/
