Krepitev kibernetske varnosti: kaj določajo nova pravila in kdaj bodo v uporabi?

Kaj določa evropska uredba o digitalnih operativni odpornosti (DORA), kdaj jo bomo začeli uporabljati in katera pravila bo uveljavila na področju varnosti omrežnih in informacijskih sistemov?

Kaj je zakon o digitalni operativni odpornosti (DORA)?

Zakon o digitalni operativni odpornosti (DORA) (Uredba (EU) 2022/2554) določa enotne zahteve glede varnosti omrežnih in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov. Pred DORA so finančne institucije nadzorovale operativno tveganje predvsem s kapitalsko zahtevo, niso pa upravljale vseh elementov operativne odpornosti. Postavljena bodo pravila za upravljanje tveganj informacijske in komunikacijske tehnologije (IKT), poročanje o incidentih, testiranje operativne odpornosti in spremljanje tveganja zaradi tretjih ponudnikov IKT storitev. Finančne institucije bodo morale upoštevati pravila za IKT incidente (zaščita, odkrivanje, obvladovanje, obnova in odprava posledic). Ta Uredba priznava, da lahko incidenti IKT in pomanjkanje operativne odpornosti ogrozijo stabilnost celotnega finančnega sistema, tudi če je na voljo zadosten kapital za običajne vrste tveganj.

Časovnica

DORA je bila 27. decembra 2022 objavljena v Uradnem listu EU in bo začela veljati 16. 1. 2023, uporabljati pa se bo začela 17. 1. 2025.

Evropski nadzorni organi (ESA) morajo pripraviti naslednje podporne regulativne in izvedbene tehnične standarde (v nadaljevanju RTS in ITS):

  • RTS, da se podrobneje opredeli vsebina politike o uporabi storitev IKT v zvezi s kritičnimi ali pomembnimi funkcijami, ki jih zagotavljajo tretji ponudniki IKT storitev (javna obravnava predloga – 16. 6. 2023, predlog poslan Evropski komisiji (EK) – 17. 1. 2024),
  • RTS za opredelitev elementov, ko je dovoljeno sklepanje pogodb o storitvah, ki podpirajo kritične ali pomembne funkcije, in pogoje, ki veljajo za sklepanje podizvajalskih pogodb (javna obravnava predloga – 30. 11. 2023, predlog poslan EK – 17. 6. 2024),
  • RTS o okviru za obvladovanje tveganj na področju IKT (javna obravnava predloga – 16. 6. 2023, predlog poslan EK – 17. 1. 2024),
  • RTS o poenostavljenem okviru za obvladovanje tveganj na področju IKT (javna obravnava predloga – 16. 6. 2023, predlog poslan EK – 17. 1. 2024),
  • RTS za opredelitev vidikov testiranja vdorov na podlagi groženj (javna obravnava predloga – 30. 11. 2023, predlog poslan EK – 17. 6. 2024),
  • RTS o merilih za razvrščanje poročil o večjih incidentih na področju IKT (javna obravnava predloga – 16. 6. 2023, predlog poslan EK – 17. 1. 2024),
  • RTS in ITS o postopku in vsebini poročanja o večjih IKT incidentih (javna obravnava predloga – 30. 11. 2023, predlog poslan EK – 17. 6. 2024),
  • Smernice o letnih stroških in izgubah zaradi večjih IKT incidentov (javna obravnava predloga – 30. 11. 2023, predlog poslan EK – 17. 6. 2024),
  • ITS za pripravo predloga registra informacij v zvezi z vsemi pogodbenimi dogovori o uporabi storitev IKT, ki jih opravljajo tretji ponudniki storitev IKT (javna obravnava predloga – 16. 6. 2023, predlog poslan EK – 17. 1. 2024),
  • Smernice o sodelovanju med skupnimi evropskimi nadzornimi organi in pristojnimi nadzornimi organi glede strukture nadzora (javna obravnava predloga – 30. 11. 2023, predlog poslan EK – 17. 6. 2024),
  • RTS za opredelitev informacij o izvajanju nadzora (javna obravnava predloga – 30. 11. 2023, predlog poslan EK – 17. 6. 2024).

Poleg tega se bo v javno obravnavo (Call for Advice) dalo merila kritičnosti tretjih ponudnikov IKT storitev in pristojbinah (javna obravnava predloga – maj 2023, predlog poslan EK – 30. 9. 2023).

Več informacij najdete na Eiopini spletni strani.

Krepitev kibernetske varnosti: kaj določajo nova pravila in kdaj bodo v uporabi?