Financijski subjekti se u svojem svakodnevnom poslovanju u velikoj mjeri oslanjaju na primjenu digitalne tehnologije. Zbog sve učestalijih kibernetičkih napada, osobito je ugrožena sigurnost financijskih subjekata kao što su banke, osiguravajuća društva i investicijska društva. Vijeće EU je stoga 28. studenoga donijelo Akt o digitalnoj operativnoj otpornosti (DORA) kojim bi se osigurali da financijski sektor u EU može zadržati svoju otpornost pri ozbiljnom poremećaju u radu.
DORA je stupio na snagu 16. siječnja 2023. godine i primjenjivat će se od 17. siječnja 2025. godine.
Cilj:
DORA-om se stvara regulatorni okvir za digitalnu operativnu otpornost, u sklopu kojeg sva poduzeća (koje zahvaća obveza) moraju osigurati da su otporna na sve vrste poremećaja i prijetnji povezanih s IKT-om (informacijske i komunikacijske tehnologije) te da mogu odgovoriti na njih i oporaviti se od njih. Jednaki zahtjevi vrijede za sve države članice EU-a, a pritom je glavni cilj spriječiti i ublažiti kiberprijetnje.
- Jačanje operativne otpornosti financijskih subjekata poput banaka, osiguravajućih društava i investicijskih tvrtki te osiguravanje da financijski sektor u Europi bude otporan u slučaju ozbiljnih operativnih poremećaja.
- Ujednačavanje pravila koja se odnose na operativnu otpornost za financijski sektor koji se primjenjuju na 20 različitih vrsta financijskih subjekata i pružatelja usluga treće strane za ICT.
- Povećanje transparentnosti u vezi s rizicima vezanim uz ICT i rizicima treće strane za ICT.
- Smanjenje rizika od ozbiljnih operativnih poremećaja u financijskom sektoru.
Tko je obveznik:
- Banke
- Osiguravajuća društva
- Investicijska društva
Što DORA obuhvaća:
- Upravljanje rizicima ICT-a
- Upravljanje rizicima trećih strana ICT-a
- Testiranje digitalne operativne otpornosti
- ICT incidenti
- Nadzor kritičnih pružatelja usluga trećih strana ICT-a
Tri europska nadzorna tijela (Europska bankarska agencija (EBA), Europsko osiguravajuće i mirovinsko nadzorno tijelo (EIOPA) i Europska agencija za vrijednosne papire i tržišta (ESMA)) pripremaju skup proizvoda politike kako bi omogućili primjenu DORE.
Na nacionalnoj razini Nacionalna nadležna tijela će nadzirat usklađenost i provoditi propise prema potrebi.
S obzirom da se radi o zakonskoj obvezi sve tvrtke koje će biti obuhvaćene imati će zakonsku obvezu uskladiti se sa Zakonom. Kazne za nepoštivanje DORE mogu biti ozbiljne, uključujući novčane kazne kao postotak ukupnih godišnjih prihoda tvrtke. Regulatori će također moći naložiti reviziju ili, u ekstremnim slučajevima, obustaviti poslovanje tvrtke.
U Hrvatskoj je priprema DORA-e u tijeku. U kolovozu je prijedlog zakona bio na e- savjetovanju te će biti spreman do 17. siječnja 2025. kada treba krenuti s primjenom.
DORA i NIS2
Iako su DORA i NIS2 dvije različite regulative, one su povezane jer je Europsko vijeće uskladilo tekst NIS2 direktive s sektorskim zakonodavstvom, posebno s regulacijom o digitalnoj operativnoj otpornosti za financijski sektor (DORA) i direktivom o otpornosti kritičnih subjekata (CER), kako bi se osigurala pravna jasnoća i usklađenost između NIS2 i ovih akata.
NIS2 utvrdit će polaznu vrijednost za mjere upravljanja rizicima u području kibersigurnosti i obveze izvješćivanja u svim sektorima obuhvaćenima direktivom, dok će se DORA usklađujući se s NIS2, usredotočiti na financijski sektor.