Již 27. prosince 2022 bylo v Úředním věstníku zveřejněno nové Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně dalších nařízení, zkráceně označované jako DORA (Digital Operational Resilience Act, tedy předpis o digitální provozní odolnosti). Použitelné (tedy účinné) by mělo být od 17. ledna 2025.
Jde o nařízení, které zavádí nové požadavky pro budování, udržování a provozování informačních systémů finančních institucí. Zavádí nové povinnosti z hlediska sledování bezpečnostních hrozeb, jejich hlášení i z hlediska prevence. Banky a další finanční instituce budou povinny vytvořit si vnitřní pravidla pro udržování odolnosti, zajišťovat pravidelná školení, testovat své systémy, jmenovat osoby odpovědné za odolnost jejich informační infrastruktury apod.
Nařízení se ale dotkne i poskytovatelů ICT systémů a služeb pro instituce, jichž se DORA týká. Jednou z novinek jsou povinná ujednání ve smlouvách mezi dodavatelem a zákazníkem. Nejdůležitější část je upravena v článcích 27 – 30. Co tedy trh ICT od příštího roku čeká?
Testování digitální provozní odolnosti
Tzv. finanční subjekty budou od účinnosti DORA povinny provádět pravidelná testování odolnosti své infrastruktury, a to na základě tzv. programu testování digitální provozní odolnosti.
Tento program by měl určit provádění vhodných testů, jako jsou hodnocení a zjišťování zranitelnosti, analýzy otevřených zdrojů, posouzení bezpečnosti sítě, analýzy nedostatků, přezkumy fyzické bezpečnosti, dotazníky a antivirová softwarová řešení, v případě proveditelnosti přezkumy zdrojových kódů, testy založené na scénářích, testování kompatibility, testování výkonu, testování mezi koncovými body a penetrační testování.
Největší důraz je kladen právě na pokročilé testování s využitím penetračního testování na základě hrozeb, které musí povinné podniky provádět nejméně jednou za tři roky. Penetrační testování přitom budou moci provádět pouze poskytovatelé, kteří:
- jsou nejvhodnější a mají nejlepší pověst
- disponují technickými a organizačními schopnostmi a prokáží specifické znalosti v oblasti operativních informací o hrozbách, penetračního testování a testování metodou „červeného týmu“
- jsou certifikovány akreditačním orgánem v členském státě nebo dodržují formální kodexy chování či etické rámce
- předloží nezávislé potvrzení nebo auditní zprávu týkající se řádného řízení rizik v souvislosti s prováděním penetračního testování na základě hrozeb, včetně náležitého zabezpečení důvěrných informací finančního subjektu a prostředků nápravy rizik pro činnost finančního subjektu
- jsou řádně a plně kryty příslušným pojištěním odpovědnosti za škody při výkonu povolání, včetně rizik pochybení a nedbalosti.
Součástí smlouvy s takovým poskytovatelem penetračního testování pak musí být zejména požadavek na řádnou správu výsledků penetračního testování na základě hrozeb a záruka, aby jakékoli související zpracování údajů, včetně jakéhokoli vypracování, uložení, agregace, návrhu, hlášení, sdělení nebo zničení neohrozilo finanční subjekt.
Finanční subjekty přitom budou povinny vést registr smluvních ujednání, která se týkají i. služeb ICT podporujících zásadní nebo důležité funkce a ii. ostatních služeb. Nová ujednání přitom budou součástí reportingu ve vztahu k regulátorovi trhu.
Obecné požadavky na smlouvy
Článek 30 pak upravuje obecné požadavky smluv mezi finančními subjekty a poskytovateli služeb ICT, souvisejících s problematikou odolnosti informačních systémů. Jedním z nich je požadavek na písemnou formu smlouvy, jejíž součástí je i dohoda o úrovni služeb (tzv. SLA).
Mezi další požadavky patří například:
- srozumitelný a úplný popis všech funkcí a služeb ICT (vč. případného zapojení subdodavatele do služeb podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti)
- regiony nebo země, kde mají být nasmlouvané nebo subdodavatelem zajišťované funkce a služby poskytovány a kde mají být zpracovávána data, včetně místa jejich uchovávání, a povinnost poskytovatele služeb ICT oznámit finančnímu subjektu předem, plánuje-li změnu těchto míst
- ustanovení týkající se dostupnosti, hodnověrnosti, integrity a důvěrnosti, pokud jde o ochranu údajů, včetně osobních údajů
- ustanovení o zajištění přístupu, obnovy a vrácení ve snadno přístupném formátu osobních a jiných než osobních údajů zpracovávaných finančním subjektem v případě platební neschopnosti, řešení krize nebo přerušení činností poskytovatele služeb ICT nebo v případě ukončení smlouvy
- popis úrovně služeb, včetně aktualizací a revizí
- povinnost poskytovatele služeb poskytnout finančnímu subjektu pomoc bez dodatečných nákladů nebo za náklady, které jsou stanoveny předem, dojde-li k incidentu v oblasti ICT, který souvisí se službou ICT poskytovanou finančnímu subjektu
- povinnost poskytovatele spolupracovat s příslušnými orgány a s orgány příslušnými k řešení krize finančního subjektu
- práva na ukončení smlouvy a související minimální výpovědní lhůty pro ukončení smluvních ujednání
Pokud jde o služby, vyhodnocené jako ty, které podporují zásadní nebo důležité funkce finančního subjektu, ukládá nařízení další požadavky na smluvní ujednání.
Povinná doložka o ukončení smlouvy
Finanční subjekty budou mít povinnost, aby jim smlouvy s poskytovateli ICT služeb umožňovaly ukončit smluvní ujednání, týkající se poskytování služeb, minimálně za těchto podmínek:
- pokud poskytovatel služeb ICT zásadním způsobem poruší platné právní předpisy nebo smluvní podmínky (dle našeho názoru toto právo vyplývá již z existující právní úpravy o odstoupení od smlouvy, přesto je potřeba upozornit na rozdíl v terminologii, kdy občanský zákoník v těchto případech hovoří o „podstatném porušení“, zatímco nařízení DORA o porušení „zásadním“)
- pokud se objeví okolnosti, které by mohly změnit plnění funkcí poskytovaných prostřednictvím smluvního ujednání, včetně podstatných změn ovlivňujících dané ujednání nebo situaci poskytovatele služeb ICT
- pokud jsou v rámci spolupráce zjištěna slabá místa, a to zejména s ohledem na zajištění dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů, ať již osobních či jiných citlivých údajů, nebo jiných než osobních údajů
- pokud příslušný orgán již nedokáže dále efektivně dohlížet na finanční subjekt v důsledku podmínek příslušného smluvního ujednání nebo okolností s ním souvisejících.
Pokud jde o smlouvy týkající se služeb podporujících zásadní nebo důležité funkce, musí mít finanční subjekty vytvořenu i strategii ukončení smluvního vztahu, tedy tzv. Exit Plán. Ten by měl řešit situace, kdy poskytovatel nezajistí dostatečnou úroveň služeb, ale i stavy po ukončení spolupráce. Pokud finanční subjekty nezajistí v případě ukončení smlouvy kontinuitu a kvalitu provozu nebo plnění svých regulatorních povinností, poruší tím nařízení DORA. Exit Plán by měl rovněž řešit další možná rizika, jakým je insolvence na straně poskytovatele apod.
Lze předpokládat, že Exit Plány jsou obsaženy ve smlouvách mezi dodavateli a zákazníky již nyní. Protože rizika spočívající v přerušení dodávek služeb, jakož i narušení procesů souvisejících s přechodem k novému dodavateli, znamená závažný problém již nyní, a to zdaleka nejen pro uživatele z řad finančního sektory.
Zvláštnosti a výjimky nové úpravy
Nařízení se vztahuje nejen na „tradiční“ finanční instituce. Bude se týkat například i poskytovatelů služeb souvisejících s kryptoaktivy a vydavatele tokenů na tato aktiva vázaných (ve smyslu nařízení o trzích s kryptoaktivy, které nabude účinnosti 30. 12. 2024).
Nařízení upravuje i výjimky pro menší podniky v oblasti finančního trhu, na které se vztahuje. Označuje je jako „mikropodniky“, jimiž rozumí finanční subjekt jiný než obchodní systém, ústřední protistrana, registr obchodních údajů nebo centrální depozitář cenných papírů, který zaměstnává méně než 10 osob a jehož roční obrat nebo celková roční bilanční suma nepřekračuje 2 miliony EUR. Výjimky poskytuje i dalším podnikům a institucím, zejména těm, na které se nevztahují směrnice o platebních službách nebo o tzv. institucích elektronických peněz.
Další postup?
Jakkoliv zbývá relativně dost času na to, vyhovět podmínkám nařízení DORA, je vhodné přípravy nepodcenit. Naše zkušenosti se zaváděním nařízení GDPR potvrdily, že hledat řešení na poslední chvíli vede ke zbytečnému nárůstu nákladů. S ohledem na uvedené lze doporučit následující postup:
- Ověření, zda se nařízení DORA týká i Vaší společnosti, případně v jakém rozsahu.
- Provést analýzu oblastí, v nichž se Vás DORA dotýká, a pro každou oblast stanovit konkrétní úkoly.
- Sledovat přípravu dalších, na toto nařízení navazujících, předpisů a dalších dokumentů na úrovni Evropské unie i České republiky.
Ačkoliv, podobně jako nařízení GDPR, řada povinností představuje pro firmy spíše formální a administrativní činnosti, nařízení přináší i povinnosti, jejichž splnění, pokud je provedeno s dostatečným předstihem, může vést k větší transparentnosti a bezpečnosti vztahů mezi dodavateli a zákazníky.