Ključne ugovorne odredbe prema Dori – Uredbi o digitalnoj operativnoj otpornosti

O Dori – Uredbi o digitalnoj operativnoj otpornosti za financijski sektor (Uredba EU 2022/2554) već smo pisali u članku Što nam donosi Dora – Uredba o digitalnoj operativnoj otpornosti koji možete pronaći na sljedećoj poveznici.
Dora je dokument koji traži stručnu pripremu, implementaciju i suradnju kroz informacijska i tehnička znanja kolega iz IT-a ili informacijske sigurnosti, potom znanja risk menadžera, ali i pravna znanja pravnika i specijalista za usklađenošću poslovanja. Tema Dora se polako zahuktava kako nam se primiče rok pune primjene odnosno 17.1.2025.
U ovom članku osvrnut ćemo se na samo jedan aspekt iz Dore, a to su ključne ugovorne odredbe propisane člankom 30. Dore koje čine dio upravljanja IKT rizikom povezanim s trećim stranama te što je potrebno uskladiti u vrlo kratkom roku odnosno do 17.1.2025. kada će cijeli financijski sektor morati primijeniti Doru u punom opsegu bez mogućnosti konzumiranja nekih „prijelaznih odredbi“. To znači potrebu usklađivanja dosadašnjih ugovora s pružateljima IKT usluga ili kroz aneksiranje ili kroz sklapanje novih ugovora. Također, vrlo je izvjesno da će određeni pružatelji IKT usluga morati bitno mijenjati svoje „šprancirane“ verzije ugovora o pružanju IKT usluga na koje smo do sada više-manje „navikli“.
Da se pojednostavljeno izrazimo, 5 je područja koja imaju najveći naglasak na financijski sektor i koja financijski sektor mora implementirati u svoje poslovanje:

IKT rizici  IKT incidenti i kiberprijetnjeTestiranje digitalne operativne otpornostiRizik trećih ugovornih stranaRazmjene informacija

Člankom 30. Dore propisane su ključne ugovorne odredbe kao dio upravljanja rizikom trećih ugovornih strana koje se primjenjuju na sve pružatelje IKT usluga, a ne samo na one kojima se podupiru ključne ili važne funkcije.

Naime, IKT usluge definirane su Dorom kao „ digitalne i podatkovne usluge koje se putem IKT sustavâ kontinuirano pružaju jednom ili više unutarnjih ili vanjskih korisnika, uključujući usluge najma informatičke opreme (engl. hardware as a service) i hardverske usluge koje uključuju pružanje tehničke podrške od strane pružatelja hardvera putem ažuriranja softvera ili ugrađenog softvera, uz iznimku tradicionalnih analognih telefonskih usluga“, dok je ključna ili važna funkcija definirana kao „funkcija čiji bi poremećaj bitno narušio financijske rezultate financijskog subjekta ili pouzdanost ili kontinuitet njegovih usluga i aktivnosti, odnosno funkcija čiji bi prestanak, neispravnost ili neizvršenje bitno narušili sposobnost financijskog subjekta da kontinuirano ispunjava uvjete i obveze iz svojeg odobrenja za rad ili druge obveze na temelju primjenjivog prava o financijskim uslugama“.

To u praksi znači da se financijski sektor morati brzo početi pripremati kako bi se uskladili s člankom 30. Dore, odnosno kako bi se počeli pripremati, da se tako izrazimo, „obrasci“ ugovora s pružateljima IKT usluga čije usluge više-manje svi koriste, poput FINA-e i telekoma. Naravno, svaki financijski subjekt još ima svoj specifičan lanac pružatelja IKT usluga koji je potpuno drugačiji od nekog drugog financijskog subjekta.

Na održanim predavanjima krajem siječnja 2024. u HGK vezano uz prezentaciju II. paketa podzakonskih akata Dore, predstavnici HNB-a i HANFA-e potaknuli su financijski sektor da se organiziraju preko svojih udruženja (HUB, HUO, HGK i dr.) kako bi se na jedinstven način pristupilo tržištu i vrlo brzo uskladilo s primjenom članka 30. Dora-e. Također, za očekivati je da će i pružatelji IKT usluga imati i svoje komentare i potrebe za usuglašavanjem što sve iziskuje stanovito vrijeme koje vrlo brzo prolazi. Jedno od pitanja bilo je i vezano uz Microsoft od kojeg se očekuje da bi se uskladio s odredbama Dora Uredbe. 

Osim članka 30. Dore, dodatno treba usuglasiti i pitanje podizvršitelja pružatelja IKT usluga kao i razmotriti i uskladiti zahtjeve koji su navedeni u prijedlogu RTS-a kojim se pobliže opisuju zahtjevi za ugovorne odredbe vezano uz korištenje IKT usluga kojima se odupiru ključne ili važne funkcije (prijedlog RTS-a je javno objavljen, a može se pronaći na poveznici).

Zaključno, za financijski sektor nije nepoznanica sjesti za stol i započeti sa stručnom pripremom radnji i aktivnostima koje se stavljaju pred njih. Kad je riječ o Dora Uredbi potrebna je priprema, ne samo u dijelu gore navedenih ugovornih odredbi, već i druga stručna priprema vezana uz IKT usluge, testiranja, upravljanje rizicima i sl., potom razmjena znanja i iskustava što u bitnome doprinosi i boljem sustavu, jer u konačnici, hrvatsko tržište je vrlo malo i stručna znanja na okupu su od bitnog značenja.

I za kraj navodimo članak 30. Dore raščlanjeno na pružatelje IKT usluga i one kojima se podupiru ključne i važne funkcije:

Članak 30. Ključne ugovorne odredbe

  1. Prava i obveze financijskog subjekta i treće strane pružatelja IKT usluga jasno se dodjeljuju i utvrđuju u pisanom obliku. Cjeloviti ugovor uključuje sporazume o razini usluga te se navodi u jednom pisanom dokumentu koji je stranama dostupan u papirnatom obliku ili u dokumentu u nekom drugom trajnom i pristupačnom formatu koji se može preuzeti.

2. Ugovorni aranžmani o upotrebi IKT usluga sadržavaju barem sljedeće elemente:

  • jasan i cjelovit opis svih funkcija i IKT usluga koje će pružati treća strana pružatelj IKT usluga, pri čemu se navodi je li dopušteno podugovaranje IKT usluge kojom se podupiru ključne ili važne funkcije ili njezinih bitnih dijelova te, ako jest, navode se i uvjeti koji se primjenjuju na takvo podugovaranje;
  • lokacije, posebno regije ili zemlje, na kojima će se pružati ugovorene ili podugovorene funkcije i IKT usluge te na kojima će se obrađivati podatci, uključujući lokaciju pohrane, kao i zahtjev da treća strana pružatelj IKT usluga unaprijed obavijesti financijski subjekt ako namjerava promijeniti takve lokacije;
  • odredbe o dostupnosti, vjerodostojnosti, cjelovitosti i povjerljivosti u vezi sa zaštitom podataka, među ostalim i osobnih podataka;
  • odredbe o osiguravanju pristupa osobnim i neosobnim podatcima koje obrađuje financijski subjekt te o osiguravanju njihova oporavka i vraćanja u lako dostupnom formatu u slučaju nesolventnosti, sanacije ili prestanka poslovanja treće strane pružatelja IKT usluga ili u slučaju raskida ugovornih aranžmana;
  • opise razina usluga, uključujući ažuriranja i revizije tog opisa;
  • obvezu treće strane pružatelja IKT usluga da pruži pomoć financijskom subjektu bez dodatnih troškova ili uz unaprijed utvrđene troškove u slučaju IKT incidenta koji je povezan s IKT uslugom koju ta treća strana pruža financijskom subjektu;
  • obveza treće strane pružatelja IKT usluga da u potpunosti surađuje s nadležnim tijelima i sanacijskim tijelima financijskog subjekta, među ostalim i s osobama koje su ona imenovala;
  • prava raskida i povezane minimalne rokove za prethodne obavijesti o raskidu ugovornih aranžmana u skladu s očekivanjima nadležnih tijela i sanacijskih tijela;
  • uvjete za sudjelovanje trećih strana pružatelja IKT usluga u programima za podizanje svijesti o sigurnosti u području IKT-a i osposobljavanjima o digitalnoj operativnoj otpornosti koje provode financijski subjekti u skladu s člankom 13. stavkom 6. (programi za podizanje svijesti o sigurnosti u području IKT-a i osposobljavanja).

3.   Ugovorni aranžmani o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije, uz elemente iz stavka 2., sadržavaju barem sljedeće:

  • potpune opise razina usluga, uključujući ažuriranja i revizije tog opisa, uz precizne kvantitativne i kvalitativne ciljeve uspješnosti u okviru dogovorenih razina usluga kako bi se financijskom subjektu omogućilo djelotvorno praćenje IKT usluga i poduzimanje, bez nepotrebne odgode, odgovarajućih korektivnih mjera ako se ne postignu dogovorene razine usluga;
  • rokove za prethodne obavijesti i obveze izvješćivanja koje ima treća strana pružatelj IKT usluga u odnosu na financijski subjekt, uključujući obavijesti o svim događajima koji bi mogli bitno utjecati na sposobnost treće strane pružatelja IKT usluga za djelotvorno pružanje IKT usluga kojima se podupiru ključne ili važne funkcije u skladu s dogovorenim razinama usluga;
  • zahtjeve da treća strana pružatelj IKT usluga uvede i testira planove za nepredvidive situacije u poslovanju te da uvede mjere, alate i politike za sigurnost IKT-a kojima se financijskom subjektu osigurava odgovarajuća razina sigurnosti za pružanje usluga, u skladu s njegovim regulatornim okvirom;
  • obvezu treće strane pružatelja IKT usluga da sudjeluje u TLPT-u financijskog subjekta kako je navedeno u člancima 26. (napredno testiranje) i 27. (zahtjevi za provoditelje testiranja) i da pritom bude u potpunosti kooperativna;
  • pravo kontinuiranog praćenja rada treće strane pružatelja IKT usluga, što podrazumijeva sljedeće:
    • neograničena prava financijskog subjekta ili imenovane treće strane te nadležnog tijela na pristup, inspekcijski nadzor i reviziju te pravo na izradu preslika relevantne dokumentacije na licu mjesta ako je ključna za poslovanje treće strane pružatelja IKT usluga, pri čemu drugi ugovorni aranžmani ili provedbene politike ne sprečavaju i ne ograničavaju djelotvorno ostvarivanje tih prava;
    • pravo ugovaranja alternativnih razina osiguranja ako su zahvaćena prava drugih klijenata;
    • obvezu treće strane pružatelja IKT usluga da u potpunosti surađuje tijekom izravnih inspekcijskih nadzora i revizija koje provode nadležna tijela, glavno nadzorno tijelo, financijski subjekt ili imenovana treća strana;
    • obvezu dostavljanja pojedinosti o opsegu, postupcima kojih se treba pridržavati i učestalosti takvih inspekcijskih nadzora i revizija;
  • izlazne strategije, osobito određivanje obveznog primjerenog prijelaznog razdoblja:
    • tijekom kojega će treća strana pružatelj IKT usluga nastaviti pružati dotične funkcije ili IKT usluge kako bi se smanjio rizik od poremećaja u radu financijskog subjekta ili kako bi se osigurali njegova djelotvorna sanacija i restrukturiranje;
    • u kojem financijski subjekt može prijeći na usluge druge treće strane pružatelja IKT usluga ili se prebaciti na interna rješenja, u skladu sa složenošću usluge koja se pruža.

Odstupajući od točke (e), treća strana pružatelj IKT usluga i financijski subjekt koji je mikropoduzeće mogu se dogovoriti da se prava financijskog subjekta u pogledu pristupa, inspekcijskog nadzora i revizije mogu delegirati neovisnoj trećoj strani, koju imenuje treća strana pružatelj IKT usluga, te da financijski subjekt može od te treće strane u bilo kojem trenutku zatražiti informacije i jamstvo o radu treće strane pružatelja IKT usluga.

4.   Tijekom pregovora o ugovornim aranžmanima financijski subjekti i treće strane pružatelji IKT usluga dužni su razmotriti primjenu standardnih ugovornih klauzula koje su tijela javne vlasti sastavila za konkretne usluge.

5.   Europska nadzorna tijela u okviru Zajedničkog odbora izrađuju nacrt regulatornih tehničkih standarda kojima se preciznije utvrđuju elementi iz stavka 2. točke (a) koje financijski subjekt treba utvrditi i procijeniti pri podugovaranju IKT usluga kojima se podupiru ključne ili važne funkcije.

Pri izradi tog nacrta regulatornih tehničkih standarda europska nadzorna tijela uzimaju u obzir veličinu i ukupni profil rizičnosti financijskog subjekta te prirodu, opseg i složenost njegovih usluga, aktivnosti i poslovanja.

Europska nadzorna tijela taj nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. srpnja 2024.

Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz prvog podstavka u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

Autor: Melita Markovinović

Poziv na suradnju pri izradi knjige

Naša članica, tvrtka ZIH (www.zih.hr), uputila je inicijativu da naša udruga bude suizdavač knjige „Upravljanje usklađenostima“ (radni naslov). Predsjedništvo CCA je razmotrilo ovu inicijativu i zaključilo slijedeće:

ZIH je već objavio E-priručnik na ovu temu, dostupan na njihovim Web stranicama, uz prijavu na sljedećoj poveznici. Također, ZIH je na Linkedin-u objavio i 10 članaka na istu temu, dostupnih putem sljedeće poveznice.

Kroz ove, a i druge aktivnosti ZIH-a u implementaciji niza sustava upravljanja temeljenih na ISO i dr. normama i pratećim edukacijama, a i temeljem mišljenja drugih kolegica i kolega, nastala je ideja da postojeći Priručnik ZIH-a preraste u knjigu dodatnim doprinosima drugih koautora koji žele sudjelovati u ovom poduhvatu.

CCA i ZIH mišljenja su da  se postojeći sadržaj Priručnika proširi dodatnim sadržajima zainteresiranih potencijalnih koautora na način:

  • da se prodube postojeća poglavlja i / ili da se otvore nova radnog naziva „Iskustva iz prakse i prijedlozi poboljšanja“, u kojem je moguće dati slobodne tekstove vezane za pojedine djelatnosti (financijsku industriju, farmaceutiku, telekomunikacije, revizijske aktivnosti …), analize slučajeva i sl.,
  • konačni sadržaj ne bi smio biti niz nabacanih i međusobno nepovezanih tema, već bi morao činiti jednu logičnu cjelinu,
  • ovaj poziv nije ograničen samo na potencijalne autore ih Hrvatske, poželjni su i koautori iz regije.

Ova knjiga bila bi namijenjena, ne samo stručnjacima iz upravljanja usklađenostima, ili onima koji bi to željeli postati, već i članovima poslovodstva, zainteresiranim studentima i svima koje ovo područje zanima.

Izdavači ove knjige bili bi CCA i ZIH, ali i mogući drugi zainteresirani partneri. ZIH nudi mogućnost da financira troškove tiskanja ove knjige.

Pozivaju se sve zainteresirane osobe da se zbog dodatnih informacija jave na predsjednistvo@complianceassociation.hr ili ZIH ( zkrakar@zih.hr).

Što su pravilnici i procedure?

Bez obzira u kojoj industriji društvo posluje, za njegovo učinkovito djelovanje potrebni su pravilnici i procedure. Pravilnici i procedure usvajaju se nakon osnivanja društva, a s vremenom se mijenjaju i rastu zajedno s društvom.

Važno je razumjeti razliku između pravilnika i procedure. Pravilnici predstavljaju kulturu, vrijednost i filozofiju društva te postavljaju temelj za radne obveze i daju smjernice za donošenje odluka koje određene organizacijske jedinice društva moraju slijediti te osiguravaju dosljednost i usklađenost s misijom, vrijednostima i strategijskim ciljevima društva. Kvalitetni pravilnici nisu samo skup pravila i propisa, svojim postojanjem demonstriraju djelatnicima razloge koje stoji iza njihovih radnih mjesta i postavljaju standarde za mjerenje uspjeha.

Nakon što se usvoje pravilnici, logični korak je izrada potrebnih procedura. Njihova svrha je definiranje tko je odgovoran za određene zadatke, koji se koraci moraju poduzeti, kome se trebaju podnijeti izvješća i tako dalje. Kao jednostavan primjer možemo uzeti Pravilnik o godišnjem odmoru, njime je definirano koliko dana djelatnik ima na raspolaganju za godišnji odmor, dok procedura ukazuju koji se koraci moraju poduzeti za podnošenja zahtjeva za dobivanje godišnjeg odmora i kome se taj zahtjev podnosi.

Utvrđivanjem tih specifičnosti osigurava se da zaposlenici znaju svoje dužnosti te čini društvo djelotvornim i u situacijama kada upravna tijela (rukovodstvo) nisu nazočna.

Pravilnici daju odgovor na pitanje „zašto“, dok procedure s druge strane govore „kako“, a zajedno čine smjernice za poslovanje društva u skladu s definiranim procesima, smanjuju rizike i promiču dosljednost.

Svaka država ima svoje zakone i podzakonske akte, a interni propisi kao što su pravilnici i procedure zaduženi su da društvo posluje u skladu s zakonima, na osnovi toga možemo konstatirat da pravilnici i procedure osiguravaju usklađenost društva.

Funkcija pravilnika i procedura

S vremenom društva evoluiraju i rastu na različite načine, a pravilnici i procedure osiguravaju da interni procesi imaju i dalje smisla te postižu željene ciljeve, a to je moguće samo ako se redovito pregledavaju i ažuriraju kako bi ostali upotrebljivi tijekom i nakon razvoja.

Još jedna vrlo važna funkcija pravilnika i procedura je sprječavanje incidenata na radnom mjestu na način da se definiraju odgovarajuće sigurnosne mjere, ako i dođe do neželjenih incidenta pomažu u njihovom uklanjanu i vraćaju djelotvornost društva u najkraćem mogućem vremenu. Sprječavanjem i rješavanjem nastalih incidenata osigurava se da incident ne eskalira u krizu koja može ugroziti društvo.

Ažuriranje

Politike i procedure trebale bi rasti i prilagođavati se potrebama i standardima društva, pregledavanje i revidiranje istih preporučljivo je vršiti minimalno jednom godišnje, a po potrebi i češće. Prilikom ažuriranja potrebna je suradnja svih organizacijskih jedinica društva uključenih i odgovarajuće proces.

Autor: Ivan Gazić

Važnost internih akata

U današnjem poslovnom svijetu, usklađenost u svakodnevnom poslovanju važnije je nego ikada prije. Društva se moraju pridržavati različitih zakona i propisa, uključujući one koji se odnose na suzbijanje korupcije, zaštitu podataka, zaštitu okoliša te mnoge druge. Kako bi osigurale usklađenost s navedenim propisima, društva trebaju posjedovati sveobuhvatan program i plan usklađenosti koji uključuje i različite interne akte.

Interni akti su skup pravila i propisa kojima se definiraju procesi, radnje i ponašanje djelatnika unutar društva. Oni uključuju strategije, metodologije, pravilnike, politike, procedure, upute te druge slične interne akte koje za cilj imaju definiranje postupaka i procesa. Interni akti su važan dio programa usklađenosti svakog društva jer pružaju smjernice djelatnicima o tome kakao se ponašati i koje procese provoditi u različitim situacijama u kojima se nađu tijekom svakodnevnog obavljanja poslova te osiguravaju da društva posluje na zakoni i etičan način.

Jedan o glavnih benifita internih akata očituje se u tome što pomaže u sprječavanju i otkrivanju kršenja internih procesa, zakona, podzakona i ostalih podzakonskih akata. Interni akti jasno definiraju očekivano ponašanje djelatnika i pružaju okvir za identificiranje i rješavanje potencijalnih rizika usklađenosti. Na primjer, kodeks ponašanja koji zabranjuje primanje darova od dobavljača može pomoći u sprječavanju mita i korupcije unutar društva. Slično tome, politika zaštite osobnih podataka koja zahtijeva da zaposlenici štite i vode brigu o tome koje osobne podatke prikupljaju i za koju svrhu, može pomoći u sprječavanju povreda osobnih podataka i nastanka rizika od velikih novčanih kazni, kao i gubitka ugleda društva.

Interni akti također pomažu u promicanju kulture usklađenosti unutar društva. Pružanjem jasnih smjernica o etičkom ponašanju i dosljednom provođenju tih pravila, društva mogu pokazati svoju predanost usklađenosti i stvoriti kulturu u kojoj zaposlenici razumiju važnost usklađenosti. To, pak, može pomoći u sprječavanju kršenja zakonskih odredbi, procesa i smanjiti rizik od pravne i reputacijske štete.

Još jedna važnost od internih akata ogleda se u tome što mogu pomoći u pokazivanju predanosti društva za usklađenosti prema vanjskim dionicima, uključujući kupce, investitore i regulatorna tijela. Imajući sveobuhvatan program usklađenosti poslovanja koji uključuje interne akte, društva dokazuju da shvaćaju ozbiljnost poštivanja zakona i ostalih pozitivnih propisa i predane su radu u skladu i istima.

U zaključku, interni akti su neophodan dio programa usklađenosti poslovanja svakog društva. Pružaju smjernice zaposlenicima o tome kako se ponašati u različitim situacijama, pomažu u sprječavanju i otkrivanju kršenja zakona i propisa, promiču kulturu usklađenosti i pokazuju predanost tvrtke za usklađenost vanjskim dionicima. Društva koje ulažu u interne akte i njihovo redovno odražavanje vrlo je  vjerojatno da će izbjeći pravne i reputacijske štete te održati povjerenje svojih kupaca, investitora i regulatornih tijela.

Autor: Ivan Gazić

Što nam donosi Dora?

1. UVOD

Europski parlament i vijeće usvojili su Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) br. 2016/1011 (Dora), koja se počinje primjenjivati 17.1.2025. godine na financijski sektor (uz određene iznimke od primjene taksativno navedene u članku 2. stavku 2. Dore), ali i na treće strane pružatelje IKT usluga.

Kako je u Dori uvodno naglašeno, u Izvješću o sistemskom kiberriziku (2020.) Europski odbor za sistemske rizike (ESRB) potvrdio je visoku međuovisnost sustava informacijske komunikacijske tehnologije (IKT) financijskog sektora i samog tržišta što bi moglo predstavljati sistemsku ranjivost za preko 22.000 financijskih subjekata u EU. Zbog navedenog, EU nastoji podići razinu usklađenosti različitih komponenti digitalne otpornosti kroz strože upravljanje i izvješćivanje o IKT rizicima.

Stoga je cilj Dore konsolidirati za dionike financijskog sustava zahtjeve koji će osigurati visoku razinu sigurnosti i otpornosti financijskih institucija na digitalne prijetnje i napade, obzirom da su se zahtjevi povezani s upravljanjem IKT rizicima kao dio operativnih rizika propisivali u različitim aktima EU i na različite načine. U usporedbi s Direktivom (EU) 2022/2555 (NIS 2 direktiva) koja se mora transponirati u nacionalna zakonodavstva država članica do 17.10.2024., a koja propisuje mjere za visoku zajedničku razinu kibersigurnosti širom EU za ključne i važne subjekte, Dora predstavlja lex specialis za obveznike njezine primjene.

Dora obuhvaća devet poglavlja koja su podijeljena na sljedeća područja:

I. Opće odredbe (članci 1. do 4.)

II. Upravljanje IKT rizicima (članci 5. do 16.)

III. Upravljanje, klasifikacija i izvješćivanje u vezi s IKT incidentima (članci 17. do 23.)

IV. Testiranje digitalne operativne otpornosti (članci 24. do 27.)

V. Upravljanje IKT rizikom povezanim s trećim stranama (članci 28. do 44.)

VI. Aranžmani za razmjenu informacija (članak 45.)

VII. Nadležna tijela (članci 46. do 56.)

VIII. Delegirani akti (članak 57.)

IX. Prijelazne i završne odredbe (članci 58. do 64.).

Ovaj članak opisuje primjenu prvih sedam poglavlja Dore na financijske subjekte koji nisu mikropoduzeća ili na koje se Dora, prema posebnim odredbama, ne primjenjuje. Na sažeti način nastojat će se prenijeti razumijevanje primjene vrlo opsežnih odredbi Dore.

2. PREDMET DORE

Dora, u svom I. poglavlju, navodi:

  • jedinstvene zahtjeve u pogledu sigurnosti mrežnih i informacijskih sustava za financijske subjekte koji će biti obveznici Dore:
    • upravljanje IKT rizikom;
    • izvješćivanje o značajnim IKT incidentima i dobrovoljno obavješćivanje nadležnih tijela o ozbiljnim kiberprijetnjama;
    • izvješćivanje nadležnih tijela, od strane kreditnih institucija, institucija za platni promet, pružatelja usluga pružanja informacija o računu i institucija za elektronički novac o značajnim operativnim ili sigurnosnim incidentima povezanima s plaćanjem;
    • testiranje digitalne operativne otpornosti;
    • razmjenu informacija i saznanja o kiberprijetnjama i ranjivostima;
    • mjere za dobro upravljanje IKT rizikom povezanim s trećim stranama;
  • zahtjeve koji se odnose na ugovorne aranžmane sklopljene između trećih strana pružatelja IKT usluga i financijskih subjekata;
  • nadzorni okvir za ključne treće strane pružatelje IKT usluga pri pružanju usluga financijskim subjektima;
  • pravila za suradnju nadležnim tijelima i
  • pravila o nadzoru i izvršavanju koje provode nadležna tijela u vezi s primjenom odredaba koje propisuje Dora.

3. UPRAVLJANJE IKT RIZICIMA

Općenito za financijski sektor, a osobito za bankarski i osigurateljni, zahtjevi Dore navedeni u II. poglavlju povezani s upravljanjem IKT rizicima nisu nepoznanica. Naime, od financijskih subjekata zahtijeva se uspostava sveobuhvatnog okvira za upravljanje IKT rizicima, te postavljanje jasnih uloga i odgovornosti u cjelokupnom procesu, što financijski sektor već u značajnoj mjeri i provodi. 

U skladu s načelom proporcionalnosti, uzimajući u obzir svoju veličinu i ukupni profil rizičnosti, te prirodu, opseg i složenost svojih usluga, aktivnosti i poslovanja, financijski sektor trebat će uspostaviti okvir za upravljanje IKT rizicima što obuhvaća barem strategije za digitalnu operativnu otpornost, politike, postupke te IKT protokole i alate koji su potrebni, kako Dora navodi, „za propisnu i primjerenu zaštitu sve informacijske imovine i IKT imovine, što uključuje računalni softver, hardver i poslužitelje, te za zaštitu svih relevantnih fizičkih komponenata i infrastrukture, kao što su prostori, podatkovni centri i područja određena kao osjetljiva, kako bi se osiguralo da je sva informacijska imovina i IKT imovina primjereno zaštićena od rizikâ, među ostalim i od oštećenja te neovlaštenog pristupa ili upotrebe“.

Osim toga, financijski subjekti trebat će:

  • uspostaviti neovisnu kontrolnu funkciju za upravljanje IKT rizicima i nadzor nad njima koja će biti odvojena od ostalih kontrolnih funkcija i funkcije unutarnje revizije u skladu s modelom „tri linije obrane“ (za financijske subjekte koji nisu mikropoduzeća);
  • uspostaviti funkciju za praćenje ugovornih aranžmana sklopljenih s pružateljima IKT usluga (za financijske subjekte koji nisu mikropoduzeća) ili imenovati člana višeg rukovodstva za takav nadzor;
  • uspostaviti funkciju za upravljanje krizama i za provedbu komunikacijske strategije za IKT incidente;
  • planirati i provoditi unutarnju reviziju;
  • preispitivati aranžmane za upotrebu IKT usluga koje pružaju pružatelji IKT usluga.

Okvir za upravljanje IKT rizicima čini*:

Utvrđivanje·       utvrditi, klasificirati, dokumentirati i voditi evidencije za poslovne funkcije,
uloge i odgovornosti koje se podupiru IKT-om, informacijsku imovinu i IKT
imovinu;
·       provesti procjenu rizika i utvrditi izvore IKT rizika, procijeniti kiberprijetnje i
ranjivosti, preispitati scenarije rizika;
·       utvrditi, dokumentirati i voditi evidencije za sve procese koji ovise o trećim
stranama pružateljima IKT usluga i kao i za međusobnu povezanost s
trećim
stranama pružateljima IKT usluga za ključne ili važne funkcije;
·       provoditi najmanje jednom godišnje procjenu rizika za sve zastarjele IKT
sustave
Zaštita i sprječavanje·       pratiti i kontrolirati sigurnost i funkcioniranje IKT sustava i učinak IKT rizika
na sustave
·       uspostaviti i dokumentirati politiku informacijske sigurnosti
·       razviti pouzdanu strukturu za upravljanje mrežom i infrastrukturom
provoditi upravljačke, logičke i fizičke kontrole pristupa IKT imovini,
mehanizme autentifikacije, mjere za zaštitu kriptografskih ključeva
·       provoditi dokumentirane politike, postupke i kontrole za upravljanje
promjenama IKT-a, zakrpama i ažuriranjima
Otkrivanje·       uspostaviti mehanizme za brzo otkrivanje neobičnih aktivnosti te pragove
za upozorenja i kriterije za aktiviranje i pokretanje procesa odgovora na
IKT incidente, što uključuje i mehanizme za automatsko upozoravanje u
slučaju IKT incidenata
Odgovor i oporavak·       uspostaviti i preispitivati politiku/plan kontinuiteta poslovanja
·       provesti analizu učinka poslovanja (BIA)
·       testirati planove kontinuiteta poslovanja, odgovora i oporavka kao i
planove komunikacije (uključuju scenarije kibernapada i prebacivanja s
primarne IKT infrastrukture na redundantne kapacitete, sigurnosne kopije i
redundantnu infrastrukturu)
·       uspostaviti funkciju za upravljanje krizama
·       u slučaju aktiviranja planova voditi evidenciju aktivnosti prije i nakon
poremećaja u radu, a na zahtjev nadzornog tijela dostaviti i procjenu
godišnji troškova i gubitaka prouzročenih IKT incidentima
Učenje i razvoj·       prikupljanje i analiza informacija o ranjivostima, kiberprijetnjama, IKT
incidentima, napadima i izvještavanje upravljačkog tijela
·       provesti preispitivanja nakon IKT incidenata i na zahtjev izvješćivati
nadzorna tijela/regulatore
·       mapirati razvoj IKT rizika, analiziraju učestalost, vrste, razmjer te obrasce
incidenata i napada
·       educirati i osposobljavati
·       pratiti tehnološka dostignuća
Komunikacija·       izrada komunikacijskih planova
·       odgovorna objava barem značajnih IKT incidenata ili ranjivosti klijentima,
partnerskim financijskim subjektima i javnosti, ovisno o slučaju
*Tablica prikazuje skraćeni prikaz odredbi

Za ispunjavanje obveza za ponovnu uspostavu i oporavak IKT sustava i podataka, financijski subjekti trebaju razviti i dokumentirati politike i postupke za izradu sigurnosnih kopija, opseg podataka koji će biti obuhvaćeni i učestalost istih, na temelju ključnosti informacija ili razine povjerljivosti podataka, kao i razviti metode i postupke za ponovnu uspostavu i oporavak IKT sustava. Postupci i metode za uspostavu i oporavak periodički se testiraju.

Okvir za upravljanje IKT rizicima, ali i planove komunikacije u krizi, treba preispitati najmanje jednom godišnje ili periodički za mikropoduzeća kao i po nastanku značajnijih IKT incidenata. Kod preispitivanja se uzimaju u obzir, osim uputa nadzornih tijela, i rezultati testiranja i preporuke/izvješća iz revizijskih pregleda. Na zahtjev nadzornog tijela financijski subjekti podnosit će i izvješća o preispitivanju okvira za upravljanje IKT rizicima.

Za procjenu godišnjih troškova i gubitaka prouzročenih IKT incidentima Dora je predvidjela da će do 17.7.2024. nadzorna tijela (ESAs) donijeti zajedničke smjernice za provjeru svih troškova i gubitaka.

Dora propisuje da će ESAs do 17.1.2024. izraditi i dostaviti Komisiji zajednički nacrt regulatornih tehničkih standarda (RTS-ovi) za upravljanje IKT rizicima, a koji će pobliže opisati:

  • parametre koje treba uključiti u politike, postupke, protokole i alate za sigurnost IKT-a;
  • komponente kontrole prava upravljanja pristupom informacijskoj i IKT imovini i povezana politika ljudskih resursa;
  • mehanizme za brzo otkrivanje neobičnih aktivnosti te kriteriji za aktiviranje otkrivanja IKT incidenata i procesa odgovora;
  • sastavnice politike kontinuiteta poslovanja u području IKT-a;
  • testiranje planova kontinuiteta poslovanja u području IKT-a;
  • sastavnice planova odgovora i oporavka u području IKT-a;
  • sadržaj i format izvješća o preispitivanju okvira za upravljanje IKT rizicima.

Svi ovi zahtjevi vezani uz upravljanje IKT rizicima neće se primjenjivati na:

  • mala i nepovezana investicijska društva, institucije za platni promet izuzete na temelju Direktive (EU) 2015/2366;
  • institucije izuzete na temelju Direktive 2013/36/EU u odnosu na koje su države članice odlučile primijeniti izuzeće;
  • institucije za elektronički novac izuzete na temelju Direktive 2009/110/EZ;
  • te male institucije za strukovno mirovinsko osiguranje.

Međutim, ovi financijski subjekti morat će osigurati pojednostavljeni okvir za upravljanje IKT rizicima prema pravilima koja je za njih, također, propisala Dora.

Također, mikropoduzeća izuzimaju se od primjene niza odredbi vezanih uz upravljanje IKT rizicima (npr. nema obveze imenovanja funkcije za praćenje aranžmana o upotrebi IKT rizika niti kontrolne funkcije za upravljanje IKT rizicima, nema obveze izrade procjene rizika nakon svake značajne promjene u infrastrukturi mrežnog i informacijskog sustava i dr.)

Treba napomenuti da je u trenutku objave ovog članka, ESAs 19.6.2023. objavila prvi set od 4 RTS-a i 1 ITS (provedbeni tehnički standard) na koje se do 11.9.2023. može poslati komentare, a mogu se pronaći na ovoj poveznici

4. UPRAVLJANJE, KLASIFIKACIJA I IZVJEŠĆAVANJE U VEZI S IKT INCIDENTIMA

U poglavlju III. Dora propisuje proces upravljanja, klasifikaciju IKT incidenata i kiberprijetnji, izvješćivanje o značajnim IKT incidentima i dobrovoljno obavješćivanje o ozbiljnim kiberprijetnjama, kao i sadržaj koji se odnosi na izvješćivanje, zatim centralizaciju izvješćivanja o značajnim IKT incidentima i povratnim informacijama o nadzoru i incidentima povezanim s plaćanjem.

U okviru procesa upravljanja IKT incidentima, financijski subjekti trebaju uspostaviti proces kojim će evidentirati, pratiti i poduzimati mjere za sve IKT incidente i ozbiljne kiberprijetnje te dokumentirati njihove uzroke. To podrazumijeva uspostavu pokazatelja za rano upozoravanje, kategorizaciju i klasifikaciju IKT incidenata prema ozbiljnosti, zahvaćenosti ključnih usluga i prioritetima, aktivaciju uloga, odgovornosti i planova za unutarnju i vanjsku komunikaciju, rješavanje prigovora korisnika, izvještavanje višeg rukovodstva barem o značajnim IKT incidentima i uspostavu načina odgovora na IKT incidente.

Za klasifikaciju IKT incidenata i kiberprijetnji (broj, učinak, trajanje, raširenost, gubitak podataka, ključnost, ekonomski učinak),  koju će provoditi financijski subjekti, ESAs će dodatno izraditi do 17.1.2024. i zajednički nacrt RTS-ova u kojem će pobliže opisati kriterije za klasifikaciju IKT incidenata i kiberprijetnji, pragove značajnosti i procjene relevantnosti značajnih IKT incidenata i ozbiljnih kiberprijetnji (prijedlog RTS-a objavljen 19.6.2023. i može se pronaći na poveznici: https://www.eiopa.europa.eu/consultations/joint-consultation-first-batch-dora-policy-products_en#reference-documents).

Kod izvješćivanja o IKT incidentima, Dora razlikuje obvezno izvješćivanje nadležnih regulatora/tijela o značajnim IKT incidentima i dobrovoljno obavještavanje o ozbiljnim kiberprijetnjama, ako financijski subjekti smatraju da je prijetnja relevantna za financijski sustav.

U proces izvješćivanja i dobrovoljnog obavještavanja uključeni su i klijenti koje će financijski subjekti obvezno izvješćivati kada će značajan IKT incident utjecati na njihove financijske interese. S druge strane, kada će biti primjenjivo, u slučaju ozbiljne kiberprijetnje, financijski subjekti će obavijestiti svoje klijente, koji bi mogli biti zahvaćeni, o odgovarajućim zaštitnim mjerama čije bi poduzimanje klijenti mogli razmotriti.

Izvješćivanje nadležnog regulatora/tijela od strane financijskih subjekata sastoji se od:

  • početne obavijesti;
  • prijelaznog izvješća nakon početne obavijesti;
  • završnog izvješća.

Nadležni regulator/tijelo dalje dostavlja pojedinosti drugim nadležnim tijelima u čijoj je nadležnosti takav slučaj (EBA, ESMA, EIOPA, ESB, CSIRT..) koji procjenjuju značajnost IKT incidenta. Ovisno  o procjeni ova tijela dalje izvještavaju nadležne regulatore/tijela država članica radi poduzimanja mjera u svrhu očuvanja stabilnosti financijskog sustava. Isto tako, nadležni regulator/tijelo nakon primitka izvješća može financijskom subjektu dati anonimizirane povratne informacije i smjernice o sličnim prijetnjama,  potrebnim korektivnim mjerama u svrhu svođenja negativnih učinaka na najmanju moguću mjeru.

Za potrebe izvješćivanja ESAs će izraditi do 17.7.2024. zajednički nacrt RTS-ova kojima će pobliže odrediti sadržaj izvješća i obavijesti i rokove izvješćivanja kao i standardne predloške, obrasce i postupke za izvješćivanje o značajnim IKT incidentima kao i za obavještavanje o ozbiljnim kiberprijetnjama.

Dalje je Dora propisala da će ESAs do 17.1.2025. izraditi zajedničko izvješće u kojem će procijeniti izvedivost daljnje centralizacije izvješćivanja o značajnim incidentima kroz uvođenje jedinstvenog centra za izvješćivanje o značajnim IKT incidentima.

5. TESTIRANJE DIGITALNE OPERATIVNE OTPORNOSTI

Sastavni dio okvira za upravljanje IKT rizicima, incidentima i prijetnjama je izrada opširnog programa testiranja digitalne operativne otpornosti (procjene i skeniranje ranjivosti, mrežne sigurnosti, fizičke sigurnosti, testiranja kompatibilnosti, performansi, integralno testiranje, penetracijsko testiranje,…) koje je propisano u poglavlju IV.  Dore. Primjenjuje se načelo proporcionalnosti i pristup koji se temelji na procjeni rizika kojima je ili bi mogao biti izložen financijski subjekt i važnost IKT imovine i usluga. Provođenje testiranja može provesti neovisni vanjski ili unutarnji provoditelj testiranja. Ako testiranje provodi unutarnji provoditelj, mora se osigurati neovisno testiranje s ciljem izbjegavanja sukoba interesa u fazama osmišljavanja i provedbe testiranja.

Minimalno jednom godišnje financijski subjekti trebajuprovesti primjereni test IKT sustava i aplikacija kojima se podupiru ključne ili važne funkcije.

Pored navedenog, nadležni regulatori/tijela utvrdit će financijske subjekte koji će biti dužni svake tri godine (učestalost se može smanjiti, ali i povećati, ovisno o zahtjevima regulatora/tijela) provesti i napredna testiranja IKT sustava, alata i procesa na temelju TLPT-a (Threat-Led Penetration Testing). Ovdje će financijski subjekti procijeniti koje ključne i važne funkcije moraju biti obuhvaćene ovim testiranjem (funkcije čiji bi poremećaj bitno narušio financijske rezultate ili sposobnost kontinuiranog ispunjavanja uvjeta i obveza financijskog subjekta), a rezultate ove procjene potvrđivat će nadležna tijela, dok će se sažetak rezultata testiranja dostavljati i određenom jedinstvenom tijelu javne vlasti.

Za potrebe provođenja naprednog testiranja na temelju TLPT-a moći će se angažirati samo odgovarajući unutarnji ili vanjski provoditelji testiranja koji će zadovoljiti posebne zahtjeve i kriterije koje je propisala Dora, ali i zahtjeve, standarde i kriterije povezane s ovim testiranjem koje će do 17.7.2024. izraditi ESAs kroz zajednički nacrt RTS-ova.

6. UPRAVLJANJE IKT RIZIKOM POVEZANIM S TREĆIM STRANAMA

Poglavlje V. Dore propisuje način upravljanja IKT rizikom povezanim s trećim stranama što ne predstavlja potpunu nepoznanicu za financijske subjekte koji su sukladno važećim propisima prolazili proces izdvajanja ključnih odnosno važnih poslovnih funkcija na treće strane. Poglavlje opširno opisuje ključna načela dobrog poslovnog upravljanja IKT rizikom povezanim s trećim stranama i nadzorni okvir za ključne treće strane pružatelje IKT usluga.

a.   Ključna načela dobrog poslovnog upravljanja IKT rizikom povezanim s trećim stranama (ključna načela)

Ključna načela obuhvaćaju odredbe o općim načelima, preliminarnoj procjeni koncentracijskog IKT rizika na razini subjekta i ključne ugovorne odredbe.

Opća načela za financijske subjekte kojih se moraju pridržavati vezano uz aranžman trećih strana o upotrebi IKT usluga obuhvaćaju:

  • potpuna odgovornost za poštovanje i izvršavanje svih obveza iz Dore i primjenjivog prava o financijskim uslugama;
  • upravljanje IKT rizikom povezanim s trećim stranama;
  • preispitivanje strategije za IKT rizik povezan s trećim stranama, uključujući i preispitivanje strategije nabave od više dobavljača, ako je primjenjivo;
  • vođenje registra informacija o svim ugovornim aranžmanima o upotrebi IKT usluga uz dokumentiranje i razlikovanje IKT usluga koji podupiru ključne ili važne funkcije;
  • godišnje izvješćivanje nadležnih regulatora/tijela o aranžmanima o upotrebi IKT usluga (broj, kategorija, vrsta i funkcije koje pružaju) kao i obavješćivanje o planiranim aranžmanima kojima se podupiru ključne ili važne funkcije ili je to postala;
  • prije sklapanja ugovornog aranžmana provesti procjenu, dubinsku analizu i analizu rizika treće strane, upravljati sukobom interesa, procijeniti radi li se o ključnoj ili važnoj funkciji i ispunjavaju li treće strane odgovarajuće, a za ključne ili važne funkcije najnovije i najkvalitetnije, standarde informacijske sigurnosti kao i je su li ispunjeni uvjeti za nadzor treće strane;
  • provoditi reviziju ugovornih aranžmana i nadzora nad njima;
  • ugovoriti mogućnost raskida suradnje osobito kada je treća strana ozbiljno prekršila zakone, propise ili ugovorne uvjete ili su nastupile bitne promjene koje mogu utjecati na pružanje usluga, utvrđene su slabosti u vezi s općim upravljanjem IKT rizikom ili nadležni regulator/tijelo više ne može djelotvorno provesti nadzor nad financijskim subjektom, a zbog uvjeta iz ugovornog aranžmana ili okolnosti povezanih s trećom stranom;  
  • osigurati strategiju/plan izlaska i kontinuitet pružanja usluga bez remećenja poslovnih aktivnosti i ograničavanja regulatornih zahtjeva u slučaju povlačenja iz ugovornog aranžmana.

Za vođenje registra informacija o svim ugovornim aranžmanima o upotrebi IKT usluga i za politike (strategije) vezano uz ugovorne aranžmane o upotrebi IKT usluga za ključne ili važne funkcije ESAs će do 17.1.2024. izraditi nacrt RTS-ova u kojem će propisati standardizirane obrasce za potrebe registrai sadržaj politika za ugovorne aranžmane (prijedlozi RTS-a objavljeni su 19.6.2023. i mogu se pronaći na poveznici: https://www.eiopa.europa.eu/consultations/joint-consultation-first-batch-dora-policy-products_en#reference-documents).

Prema odredbama o preliminarnoj procjeni koncentracijskog IKT rizika na razini subjektafinancijski subjekti trebat će kod procjene svih relevantnih rizika, provesti i ovu procjenu koja će obuhvatiti, između ostalog, procjenu radi li se o aranžmanima za ključne ili važne funkcije koje nije lako zamijeniti ili postoji više sklopljenih aranžmana s istom trećom stranom ili s usko povezanim trećim stranama; koje su koristi  i troškovi alternativnih rješenja; koje su koristi i rizici podugovaranja; može li se osigurati usklađenost s pravima EU; ograničenja do kojih može doći u slučaju stečaja treće strane pružatelja IKT usluga za ključne ili važne funkcije ili ograničenja pri hitnom oporavku podataka financijskog subjekta.

Prava i obveze odnosno ključne ugovorne odredbekoje se moraju definirati pisanim ugovorom vezano uz upotrebu IKT usluga i IKT usluga koje podupiru ključne ili važne funkcije su detaljno specificirane Dorom. Dodatno će i ESAs izraditi do 17.7.2024. RTS-ove kojima će precizirati uvjete za opis svih funkcija i IKT usluga koje financijski subjekti trebaju utvrditi i procijeniti pri podugovaranju IKT usluga za ključne ili važne funkcije.

b.   Nadzorni okvir za ključne treće strane pružatelje IKT usluga

ESAs će u skladu s posebnim kriterijima koje je propisala Dora (Komisija može donijeti i poseban delegirani akt za preciznije utvrđivanje kriterijaimenovati (utvrditi) treće strane IKT usluga koji su ključni za financijske subjekte i objavljivati popis takvih trećih strana.I pojedine treće strane IKT usluga moći će zatražiti da ih se uvrsti na popis ključnih trećih strana pružatelja IKT usluga na razini EU.

Dora je propisala i da će se financijski subjekti smjeti koristiti uslugama treće strane pružatelja IKT usluga koja je imenovana kao ključna, a ima poslovni nastan u trećoj zemlji, samo ako je ta treća strana osnovala društvo kćer u EU u roku od 12 mjeseci nakon imenovanja.

Dodatno, imenovat će se glavno nadzorno tijelo za svaku ključnu treću stranu pružatelja IKT usluga koje će biti, kako propisuje Dora, odgovorno za financijske subjekte „koji zajedno imaju najveći udio ukupne imovine u vrijednosti ukupne imovine svih financijskih subjekata koji se koriste uslugama relevantne ključne treće strane pružatelja IKT usluga, što dokazuje zbroj pojedinačnih bilanci tih financijskih subjekata“.

Isti tako, osnovat će se Nadzorni forum kao pododbor koji će biti potpora ovom tijelu i Zajedničkom odboru unutar kojeg djeluju ESAs i donijeti smjernice o suradnji. Tri glavna nadzorna tijela koja će biti imenovana uspostavit će Zajedničku nadzornu mrežu radi međusobne koordinacije provedbe aktivnosti nadzora.

Glavno nadzorno tijelo će prema prethodno izrađenom planu provoditi sveobuhvatan nadzor nad ključnim trećim stranama pružateljima IKT usluga koje su mu dodijeljene i bit će primarna točka za te ključne treće strane.  Za usklađivanje uvjeta koji će omogućiti provedbu aktivnosti nadzora ESAs će do 17.7.2024. izraditi RTS-ove.

Također, glavno nadzorno tijelo moći će izreći periodične novčane kazne u iznosu do 1% prosječnog dnevnog prometa na svjetskoj razini za ključnu treću stranu pružatelja IKT usluga u prethodnoj poslovnoj godini, pod uvjetima koji su detaljno propisani u Dori. Kao krajnju mjeru, a nakon što se provedu sve radnje propisane Dorom povezane s obavljanjem nadzora i ako se ne otklone rizici utvrđeni nadzorom, nadležni regulatori/tijela koji su zaprimili informacije od glavnog nadzornog tijela, mogu donijeti odluku kojom se od financijskih subjekata zahtijeva da djelomično ili u cijelosti privremeno suspendiraju korištenje ili uvođenje usluge dok se ne otklone rizici ili zatražiti da raskinu, djelomično ili u cijelosti, relevantne ugovorne aranžmane sklopljene s ključnim trećim stranama pružateljima IKT usluga.

Naknade za provođenje nadzora snosit će ključne treće strane pružatelji IKT usluga, a Komisija će do 17.7.2024. delegiranim aktom propisati iznos naknada i načina njihova plaćanja.

7. ARANŽMANI ZA RAZMJENU INFORMACIJA

Poglavlje VI. opisuje razmjenu informacija među financijskim subjektima, na način da će oni moći, u mjeri koju propisuje Dora, međusobno razmjenjivati informacije i saznanja o kiberprijetnjama, uključujući pokazatelje ugroženosti, taktike, tehnike i postupke, kibersigurnosna upozorenja i konfiguracijske alate.

Financijski subjekti obavještavat će svoje nadležne regulatore/tijela o sudjelovanju u takvim aranžmanima za razmjenu informacija.

8. NADLEŽNA TIJELA

Poglavlje VII. daje popis nadležnih regulatora/tijela za svaki financijski subjekt; opisuje njihovu međusobnu suradnju, suradnju s glavnim nadzornim tijelom i tijelom osnovanim u skladu s NIS 2 direktivom; uspostavu mehanizama za razmjenu djelotvornih primjera iz prakse među financijskim sektorima; ovlasti za nadzor, istrage i sankcije potrebne za izvršavanje svojih zadaća propisanih Dorom; ovlasti izricanja administrativnih kazni i korektivnih mjera, objavu administrativnih kazni; dužnosti obavješćivanja Komisije, ESMA-e, EBA-e i EIOPA-e o zakonima i propisima kojima se provodi primjena ovog poglavlja; čuvanja poslovnih tajni i zaštiti podataka. 

10. I NA KRAJU….

Bit će potrebno pripremiti opsežnu GAP analizu radi usklađivanja sa zahtjevima Dore, planirati financijska sredstva u provođenju propisanih aktivnosti i istovremeno pratiti i analizirati primjenu RTS-ova i smjernica, koji su jako opširni. 

Dodatan izazov mogu predstavljati i opsežni zahtjevi vezani uz ugovorne aranžmane s trećim stranima pružateljima IKT usluga, osobito ugovorni aranžmani o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije.

Autor: Melita Markovinović