Akt o digitalnoj operativnoj otpornosti (DORA): Jačanje ICT okvira financijskog sektora EU
Europska unija (EU) uvijek je bila proaktivna u osiguravanju sigurnosti i otpornosti svog financijskog sektora. S obzirom na rastuće digitalne prijetnje i promjenjivi pejzaž financijskih usluga, EU je uvela Akt o digitalnoj operativnoj otpornosti (DORA). Ovaj propis nije samo još jedan zakon; to je sveobuhvatan okvir stvoren kako bi se suočio s izazovima digitalnog doba.
Razumijevanje DORA-e
DORA je obvezujući akt koji uspostavlja opsežan okvir upravljanja rizicima informacijskih i komunikacijskih tehnologija (ICT) za financijski sektor EU. Postavlja tehničke standarde kojih se moraju pridržavati financijske institucije i njihovi ključni pružatelji tehnoloških usluga do 17. siječnja 2025.
Zašto DORA?
Prije uvođenja DORA-e, propisi EU-a o upravljanju rizicima uglavnom su se usredotočavali na kapitalnu adekvatnost financijskih institucija. Iako su postojale neke smjernice o ICT-u i upravljanju sigurnosnim rizicima, nisu se jednako primjenjivale na sve financijske entitete. To je dovelo do fragmentiranog regulatornog pejzaža, što je financijskim entitetima otežavalo snalaženje.
Primarni ciljevi DORA-e su dvojaki:
- Pružanje sveobuhvatnog pristupa upravljanju ICT rizicima u sektoru financijskih usluga
- Harmonizacija različitih propisa o upravljanju ICT rizicima među pojedinim državama članicama EU.
Uvođenjem DORA-e, EU teži eliminirati nesuglasice i preklapanja u propisima među državama članicama. Ovaj ujednačeni pristup osigurava da se svaka financijska institucija, bez obzira na veličinu ili prirodu poslovanja, pridržava istog skupa standarda, čime se povećava otpornost cjelokupnog financijskog sustava EU.
Na koga se DORA odnosi?
DORA ima širok opseg primjene. Odosi se na tradicionalne financijske entitete kao što su banke, investicijske tvrtke i kreditne institucije. Također pokriva netradicionalne entitete poput pružatelja usluga s kripto-imovinom i platformi za crowdfunding. Zanimljivo je da DORA obuhvaća i entitete koji su obično izvan dosega financijskih regulativa. To uključuje pružatelje ICT usluga kao što su pružatelji usluga clouda, podatkovni centri, agencije za kreditni rejting i pružatelje analize podataka.
Koji je rok za usklađivanje?
Europska komisija prvi je puta predložila DORA-u u rujnu 2020. godine kao dio šireg paketa digitalnih financijskih inicijativa. Taj paket uključivao je i inicijative za regulaciju kripto-imovine i unapređenje digitalne financijske strategije EU. Nakon temeljitih razmatranja, Vijeće Europske unije i Europski parlament usvojili su DORA-u u studenom 2022. Rok za usklađivanje je postavljen za 17. siječnja 2025.
Europska nadzorna tijela (ESA), koja uključuju Europsku bankarsku agenciju (EBA), Europsku agenciju za vrijednosne papire i tržišta (ESMA) i Europsku agenciju za osiguranje i profesionalne mirovinske fondove (EIOPA), trenutno rade na detaljima DORA-e. Odgovorni su za izradu regulatornih tehničkih standarda (RTS) i provedbenih tehničkih standarda (ITS) koje entiteti moraju slijediti. Očekuje se da će ti standardi biti finalizirani do 2024.
Provođenje i usklađenost
Kada standardi DORA-e stupe na snagu, odgovornost za provedbu ležat će na određenim regulatorima u svakoj državi članici EU, koje se naziva “nadležna tijela”. Ova tijela će imati moć zahtijevati posebne sigurnosne mjere, otklanjati ranjivosti, pa čak i nametati kazne subjektima koji nisu usklađeni. Svaka država članica odredit će svoje kazne.
Za ICT pružatelje za koje Europska komisija smatra da su “kritični”, nadzor će provoditi “glavni nadzornici” iz ESA. Ti nadzornici mogu nametnuti kazne u iznosu do 1% prosječnog dnevnog svjetskog prometa pružatelja iz prethodne poslovne godine. Pružatelji se mogu suočiti s tim kaznama svakodnevno do šest mjeseci dok ne postignu usklađenost.
Ključni zahtjevi DORA-e
DORA iznosi tehničke zahtjeve u četiri glavna područja:
- Upravljanje i uprava ICT rizicima: Entiteti moraju uspostaviti sveobuhvatne okvire upravljanja ICT rizicima, provoditi kontinuirane procjene rizika i implementirati odgovarajuće mjere kibernetičke sigurnosti.
- Prijavljivanje incidenata: Entiteti moraju imati sustave za nadzor, upravljanje i izvještavanje o incidentima vezanim za ICT.
- Testiranje digitalne operativne otpornosti: Redovito testiranje ICT sustava je obvezno kako bi se procijenile zaštite i identificirale ranjivosti.
- Upravljanje rizicima trećih strana: Financijske tvrtke moraju aktivno upravljati rizicima povezanim s pružateljima ICT usluga trećih strana.
Osim toga, DORA potiče financijske entitete na dijeljenje informacija o incidentima vezanim za ICT, osiguravajući da se iz njih uči i da se šire najbolje prakse.
Summa Summarum
DORA predstavlja posvećenost EU-a osiguravanju da njen financijski sektor ostane snažan u suočavanju s digitalnim izazovima. Postavljanjem ujednačenog standarda za upravljanje ICT rizicima, DORA ne samo da osigurava sigurnost pojedinačnih financijskih entiteta već i jača otpornost cijelog financijskog ekosustava EU. Kako se digitalni krajolik nastavlja razvijati, regulative poput DORA-e bit će ključne u zaštiti interesa financijskih institucija i njihovih klijenata.