U današnjem poslovnom svijetu, usklađenost u svakodnevnom poslovanju važnije je nego ikada prije. Društva se moraju pridržavati različitih zakona i propisa, uključujući one koji se odnose na suzbijanje korupcije, zaštitu podataka, zaštitu okoliša te mnoge druge. Kako bi osigurale usklađenost s navedenim propisima, društva trebaju posjedovati sveobuhvatan program i plan usklađenosti koji uključuje i različite interne akte.
Interni akti su skup pravila i propisa kojima se definiraju procesi, radnje i ponašanje djelatnika unutar društva. Oni uključuju strategije, metodologije, pravilnike, politike, procedure, upute te druge slične interne akte koje za cilj imaju definiranje postupaka i procesa. Interni akti su važan dio programa usklađenosti svakog društva jer pružaju smjernice djelatnicima o tome kakao se ponašati i koje procese provoditi u različitim situacijama u kojima se nađu tijekom svakodnevnog obavljanja poslova te osiguravaju da društva posluje na zakoni i etičan način.
Jedan o glavnih benifita internih akata očituje se u tome što pomaže u sprječavanju i otkrivanju kršenja internih procesa, zakona, podzakona i ostalih podzakonskih akata. Interni akti jasno definiraju očekivano ponašanje djelatnika i pružaju okvir za identificiranje i rješavanje potencijalnih rizika usklađenosti. Na primjer, kodeks ponašanja koji zabranjuje primanje darova od dobavljača može pomoći u sprječavanju mita i korupcije unutar društva. Slično tome, politika zaštite osobnih podataka koja zahtijeva da zaposlenici štite i vode brigu o tome koje osobne podatke prikupljaju i za koju svrhu, može pomoći u sprječavanju povreda osobnih podataka i nastanka rizika od velikih novčanih kazni, kao i gubitka ugleda društva.
Interni akti također pomažu u promicanju kulture usklađenosti unutar društva. Pružanjem jasnih smjernica o etičkom ponašanju i dosljednom provođenju tih pravila, društva mogu pokazati svoju predanost usklađenosti i stvoriti kulturu u kojoj zaposlenici razumiju važnost usklađenosti. To, pak, može pomoći u sprječavanju kršenja zakonskih odredbi, procesa i smanjiti rizik od pravne i reputacijske štete.
Još jedna važnost od internih akata ogleda se u tome što mogu pomoći u pokazivanju predanosti društva za usklađenosti prema vanjskim dionicima, uključujući kupce, investitore i regulatorna tijela. Imajući sveobuhvatan program usklađenosti poslovanja koji uključuje interne akte, društva dokazuju da shvaćaju ozbiljnost poštivanja zakona i ostalih pozitivnih propisa i predane su radu u skladu i istima.
U zaključku, interni akti su neophodan dio programa usklađenosti poslovanja svakog društva. Pružaju smjernice zaposlenicima o tome kako se ponašati u različitim situacijama, pomažu u sprječavanju i otkrivanju kršenja zakona i propisa, promiču kulturu usklađenosti i pokazuju predanost tvrtke za usklađenost vanjskim dionicima. Društva koje ulažu u interne akte i njihovo redovno odražavanje vrlo je vjerojatno da će izbjeći pravne i reputacijske štete te održati povjerenje svojih kupaca, investitora i regulatornih tijela.
Europski parlament i vijeće usvojili su Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) br. 2016/1011 (Dora), koja se počinje primjenjivati 17.1.2025. godine na financijski sektor (uz određene iznimke od primjene taksativno navedene u članku 2. stavku 2. Dore), ali i na treće strane pružatelje IKT usluga.
Kako je u Dori uvodno naglašeno, u Izvješću o sistemskom kiberriziku (2020.) Europski odbor za sistemske rizike (ESRB) potvrdio je visoku međuovisnost sustava informacijske komunikacijske tehnologije (IKT) financijskog sektora i samog tržišta što bi moglo predstavljati sistemsku ranjivost za preko 22.000 financijskih subjekata u EU. Zbog navedenog, EU nastoji podići razinu usklađenosti različitih komponenti digitalne otpornosti kroz strože upravljanje i izvješćivanje o IKT rizicima.
Stoga je cilj Dore konsolidirati za dionike financijskog sustava zahtjeve koji će osigurati visoku razinu sigurnosti i otpornosti financijskih institucija na digitalne prijetnje i napade, obzirom da su se zahtjevi povezani s upravljanjem IKT rizicima kao dio operativnih rizika propisivali u različitim aktima EU i na različite načine. U usporedbi s Direktivom (EU) 2022/2555 (NIS 2 direktiva) koja se mora transponirati u nacionalna zakonodavstva država članica do 17.10.2024., a koja propisuje mjere za visoku zajedničku razinu kibersigurnosti širom EU za ključne i važne subjekte, Dora predstavlja lex specialis za obveznike njezine primjene.
Doraobuhvaća devet poglavlja koja su podijeljena na sljedeća područja:
I. Opće odredbe (članci 1. do 4.)
II. Upravljanje IKT rizicima (članci 5. do 16.)
III. Upravljanje, klasifikacija i izvješćivanje u vezi s IKT incidentima (članci 17. do 23.)
IV. Testiranje digitalne operativne otpornosti (članci 24. do 27.)
V. Upravljanje IKT rizikom povezanim s trećim stranama (članci 28. do 44.)
VI. Aranžmani za razmjenu informacija (članak 45.)
VII. Nadležna tijela (članci 46. do 56.)
VIII. Delegirani akti (članak 57.)
IX. Prijelazne i završne odredbe (članci 58. do 64.).
Ovaj članak opisuje primjenu prvih sedam poglavlja Dore na financijske subjekte koji nisu mikropoduzeća ili na koje se Dora, prema posebnim odredbama, ne primjenjuje. Na sažeti način nastojat će se prenijeti razumijevanje primjene vrlo opsežnih odredbi Dore.
2. PREDMET DORE
Dora, u svom I. poglavlju, navodi:
jedinstvene zahtjeve u pogledu sigurnosti mrežnih i informacijskih sustava za financijske subjekte koji će biti obveznici Dore:
upravljanje IKT rizikom;
izvješćivanje o značajnim IKT incidentima i dobrovoljno obavješćivanje nadležnih tijela o ozbiljnim kiberprijetnjama;
izvješćivanje nadležnih tijela, od strane kreditnih institucija, institucija za platni promet, pružatelja usluga pružanja informacija o računu i institucija za elektronički novac o značajnim operativnim ili sigurnosnim incidentima povezanima s plaćanjem;
testiranje digitalne operativne otpornosti;
razmjenu informacija i saznanja o kiberprijetnjama i ranjivostima;
mjere za dobro upravljanje IKT rizikom povezanim s trećim stranama;
zahtjeve koji se odnose na ugovorne aranžmane sklopljene između trećih strana pružatelja IKT usluga i financijskih subjekata;
nadzorni okvirza ključne treće strane pružatelje IKT usluga pri pružanju usluga financijskim subjektima;
pravila za suradnju nadležnim tijelima i
pravila o nadzoru i izvršavanju koje provode nadležna tijela u vezi s primjenom odredaba koje propisuje Dora.
3. UPRAVLJANJE IKT RIZICIMA
Općenito za financijski sektor, a osobito za bankarski i osigurateljni, zahtjevi Dore navedeni u II. poglavlju povezani s upravljanjem IKT rizicima nisu nepoznanica. Naime, od financijskih subjekata zahtijeva se uspostava sveobuhvatnog okvira za upravljanje IKT rizicima, te postavljanje jasnih uloga i odgovornosti u cjelokupnom procesu, što financijski sektor već u značajnoj mjeri i provodi.
U skladu s načelom proporcionalnosti, uzimajući u obzir svoju veličinu i ukupni profil rizičnosti, te prirodu, opseg i složenost svojih usluga, aktivnosti i poslovanja, financijski sektor trebat će uspostaviti okvir za upravljanje IKT rizicima što obuhvaća barem strategije za digitalnu operativnu otpornost, politike, postupke te IKT protokole i alate koji su potrebni, kako Dora navodi, „za propisnu i primjerenu zaštitu sve informacijske imovine i IKT imovine, što uključuje računalni softver, hardver i poslužitelje, te za zaštitu svih relevantnih fizičkih komponenata i infrastrukture, kao što su prostori, podatkovni centri i područja određena kao osjetljiva, kako bi se osiguralo da je sva informacijska imovina i IKT imovina primjereno zaštićena od rizikâ, među ostalim i od oštećenja te neovlaštenog pristupa ili upotrebe“.
Osim toga, financijski subjekti trebat će:
uspostaviti neovisnu kontrolnu funkciju za upravljanje IKT rizicima i nadzor nad njima koja će biti odvojena od ostalih kontrolnih funkcija i funkcije unutarnje revizije u skladu s modelom „tri linije obrane“ (za financijske subjekte koji nisu mikropoduzeća);
uspostaviti funkciju za praćenje ugovornih aranžmana sklopljenih s pružateljima IKT usluga (za financijske subjekte koji nisu mikropoduzeća) ili imenovati člana višeg rukovodstva za takav nadzor;
uspostaviti funkciju za upravljanje krizama i za provedbu komunikacijske strategije za IKT incidente;
planirati i provoditi unutarnju reviziju;
preispitivati aranžmane za upotrebu IKT usluga koje pružaju pružatelji IKT usluga.
Okvir za upravljanje IKT rizicima čini*:
Utvrđivanje
· utvrditi, klasificirati, dokumentirati i voditi evidencije za poslovne funkcije, uloge i odgovornosti koje se podupiru IKT-om, informacijsku imovinu i IKT imovinu; · provesti procjenu rizika i utvrditi izvore IKT rizika, procijeniti kiberprijetnje i ranjivosti, preispitati scenarije rizika; · utvrditi, dokumentirati i voditi evidencije za sve procese koji ovise o trećim stranama pružateljima IKT usluga i kao i za međusobnu povezanost s trećim stranama pružateljima IKT usluga za ključne ili važne funkcije; · provoditi najmanje jednom godišnje procjenu rizika za sve zastarjele IKT sustave
Zaštita i sprječavanje
· pratiti i kontrolirati sigurnost i funkcioniranje IKT sustava i učinak IKT rizika na sustave · uspostaviti i dokumentirati politiku informacijske sigurnosti · razviti pouzdanu strukturu za upravljanje mrežom i infrastrukturom provoditi upravljačke, logičke i fizičke kontrole pristupa IKT imovini, mehanizme autentifikacije, mjere za zaštitu kriptografskih ključeva · provoditi dokumentirane politike, postupke i kontrole za upravljanje promjenama IKT-a, zakrpama i ažuriranjima
Otkrivanje
· uspostaviti mehanizme za brzo otkrivanje neobičnih aktivnosti te pragove za upozorenja i kriterije za aktiviranje i pokretanje procesa odgovora na IKT incidente, što uključuje i mehanizme za automatsko upozoravanje u slučaju IKT incidenata
Odgovor i oporavak
· uspostaviti i preispitivati politiku/plan kontinuiteta poslovanja · provesti analizu učinka poslovanja (BIA) · testirati planove kontinuiteta poslovanja, odgovora i oporavka kao i planove komunikacije (uključuju scenarije kibernapada i prebacivanja s primarne IKT infrastrukture na redundantne kapacitete, sigurnosne kopije i redundantnu infrastrukturu) · uspostaviti funkciju za upravljanje krizama · u slučaju aktiviranja planova voditi evidenciju aktivnosti prije i nakon poremećaja u radu, a na zahtjev nadzornog tijela dostaviti i procjenu godišnji troškova i gubitaka prouzročenih IKT incidentima
Učenje i razvoj
· prikupljanje i analiza informacija o ranjivostima, kiberprijetnjama, IKT incidentima, napadima i izvještavanje upravljačkog tijela · provesti preispitivanja nakon IKT incidenata i na zahtjev izvješćivati nadzorna tijela/regulatore · mapirati razvoj IKT rizika, analiziraju učestalost, vrste, razmjer te obrasce incidenata i napada · educirati i osposobljavati · pratiti tehnološka dostignuća
Komunikacija
· izrada komunikacijskih planova · odgovorna objava barem značajnih IKT incidenata ili ranjivosti klijentima, partnerskim financijskim subjektima i javnosti, ovisno o slučaju
*Tablica prikazuje skraćeni prikaz odredbi
Za ispunjavanje obveza za ponovnu uspostavu i oporavak IKT sustava i podataka, financijski subjekti trebaju razviti i dokumentirati politike i postupke za izradu sigurnosnih kopija, opseg podataka koji će biti obuhvaćeni i učestalost istih, na temelju ključnosti informacija ili razine povjerljivosti podataka, kao i razviti metode i postupke za ponovnu uspostavu i oporavak IKT sustava. Postupci i metode za uspostavu i oporavak periodički se testiraju.
Okvir za upravljanje IKT rizicima, ali i planove komunikacije u krizi, treba preispitati najmanje jednom godišnje ili periodički za mikropoduzeća kao i po nastanku značajnijih IKT incidenata. Kod preispitivanja se uzimaju u obzir, osim uputa nadzornih tijela, i rezultati testiranja i preporuke/izvješća iz revizijskih pregleda. Na zahtjev nadzornog tijela financijski subjekti podnosit će i izvješća o preispitivanju okvira za upravljanje IKT rizicima.
Za procjenu godišnjih troškova i gubitaka prouzročenih IKT incidentima Dora je predvidjela da će do 17.7.2024. nadzorna tijela (ESAs) donijeti zajedničke smjernice za provjeru svih troškova i gubitaka.
Dora propisuje da će ESAs do 17.1.2024. izraditi i dostaviti Komisiji zajednički nacrt regulatornih tehničkih standarda (RTS-ovi) za upravljanje IKT rizicima, a koji će pobliže opisati:
parametre koje treba uključiti u politike, postupke, protokole i alate za sigurnost IKT-a;
komponente kontrole prava upravljanja pristupom informacijskoj i IKT imovini i povezana politika ljudskih resursa;
mehanizme za brzo otkrivanje neobičnih aktivnosti te kriteriji za aktiviranje otkrivanja IKT incidenata i procesa odgovora;
sastavnice politike kontinuiteta poslovanja u području IKT-a;
testiranje planova kontinuiteta poslovanja u području IKT-a;
sastavnice planova odgovora i oporavka u području IKT-a;
sadržaj i format izvješća o preispitivanju okvira za upravljanje IKT rizicima.
Svi ovi zahtjevi vezani uz upravljanje IKT rizicima neće se primjenjivati na:
mala i nepovezana investicijska društva, institucije za platni promet izuzete na temelju Direktive (EU) 2015/2366;
institucije izuzete na temelju Direktive 2013/36/EU u odnosu na koje su države članice odlučile primijeniti izuzeće;
institucije za elektronički novac izuzete na temelju Direktive 2009/110/EZ;
te male institucije za strukovno mirovinsko osiguranje.
Međutim, ovi financijski subjekti morat će osigurati pojednostavljeni okvir za upravljanje IKT rizicima prema pravilima koja je za njih, također, propisala Dora.
Također, mikropoduzeća izuzimaju se od primjene niza odredbi vezanih uz upravljanje IKT rizicima (npr. nema obveze imenovanja funkcije za praćenje aranžmana o upotrebi IKT rizika niti kontrolne funkcije za upravljanje IKT rizicima, nema obveze izrade procjene rizika nakon svake značajne promjene u infrastrukturi mrežnog i informacijskog sustava i dr.)
Treba napomenuti da je u trenutku objave ovog članka, ESAs 19.6.2023. objavila prvi set od 4 RTS-a i 1 ITS (provedbeni tehnički standard) na koje se do 11.9.2023. može poslati komentare, a mogu se pronaći na ovoj poveznici
4. UPRAVLJANJE, KLASIFIKACIJA I IZVJEŠĆAVANJE U VEZI S IKT INCIDENTIMA
U poglavlju III. Dora propisuje proces upravljanja, klasifikaciju IKT incidenata i kiberprijetnji, izvješćivanje o značajnim IKT incidentima i dobrovoljno obavješćivanje o ozbiljnim kiberprijetnjama, kao i sadržaj koji se odnosi na izvješćivanje, zatim centralizaciju izvješćivanja o značajnim IKT incidentima i povratnim informacijama o nadzoru i incidentima povezanim s plaćanjem.
U okviru procesa upravljanja IKT incidentima, financijski subjekti trebaju uspostaviti proces kojim će evidentirati, pratiti i poduzimati mjere za sve IKT incidente i ozbiljne kiberprijetnje te dokumentirati njihove uzroke. To podrazumijeva uspostavu pokazatelja za rano upozoravanje, kategorizaciju i klasifikaciju IKT incidenata prema ozbiljnosti, zahvaćenosti ključnih usluga i prioritetima, aktivaciju uloga, odgovornosti i planova za unutarnju i vanjsku komunikaciju, rješavanje prigovora korisnika, izvještavanje višeg rukovodstva barem o značajnim IKT incidentima i uspostavu načina odgovora na IKT incidente.
Za klasifikaciju IKT incidenata i kiberprijetnji (broj, učinak, trajanje, raširenost, gubitak podataka, ključnost, ekonomski učinak), koju će provoditi financijski subjekti, ESAs će dodatno izraditi do 17.1.2024. i zajedničkinacrtRTS-ova u kojem će pobliže opisati kriterije za klasifikaciju IKT incidenata i kiberprijetnji, pragove značajnosti i procjene relevantnosti značajnih IKT incidenata i ozbiljnih kiberprijetnji (prijedlog RTS-a objavljen 19.6.2023. i može se pronaći na poveznici: https://www.eiopa.europa.eu/consultations/joint-consultation-first-batch-dora-policy-products_en#reference-documents).
Kod izvješćivanja o IKT incidentima, Dora razlikuje obvezno izvješćivanje nadležnih regulatora/tijela o značajnim IKT incidentima i dobrovoljno obavještavanje o ozbiljnim kiberprijetnjama, ako financijski subjekti smatraju da je prijetnja relevantna za financijski sustav.
U proces izvješćivanja i dobrovoljnog obavještavanja uključeni su i klijenti koje će financijski subjekti obvezno izvješćivati kada će značajan IKT incident utjecati na njihove financijske interese. S druge strane, kada će biti primjenjivo, u slučaju ozbiljne kiberprijetnje, financijski subjekti će obavijestiti svoje klijente, koji bi mogli biti zahvaćeni, o odgovarajućim zaštitnim mjerama čije bi poduzimanje klijenti mogli razmotriti.
Izvješćivanje nadležnog regulatora/tijela od strane financijskih subjekata sastoji se od:
početne obavijesti;
prijelaznog izvješća nakon početne obavijesti;
završnog izvješća.
Nadležni regulator/tijelo dalje dostavlja pojedinosti drugim nadležnim tijelima u čijoj je nadležnosti takav slučaj (EBA, ESMA, EIOPA, ESB, CSIRT..) koji procjenjuju značajnost IKT incidenta. Ovisno o procjeni ova tijela dalje izvještavaju nadležne regulatore/tijela država članica radi poduzimanja mjera u svrhu očuvanja stabilnosti financijskog sustava. Isto tako, nadležni regulator/tijelo nakon primitka izvješća može financijskom subjektu dati anonimizirane povratne informacije i smjernice o sličnim prijetnjama, potrebnim korektivnim mjerama u svrhu svođenja negativnih učinaka na najmanju moguću mjeru.
Za potrebe izvješćivanja ESAs će izraditi do 17.7.2024. zajednički nacrt RTS-ova kojima će pobliže odrediti sadržaj izvješća i obavijesti i rokove izvješćivanja kao i standardne predloške, obrasce i postupke za izvješćivanje o značajnim IKT incidentima kao i za obavještavanje o ozbiljnim kiberprijetnjama.
Dalje je Dora propisala da će ESAs do 17.1.2025. izraditi zajedničko izvješće u kojem će procijeniti izvedivost daljnje centralizacije izvješćivanja o značajnim incidentima kroz uvođenje jedinstvenog centra za izvješćivanje o značajnim IKT incidentima.
5. TESTIRANJE DIGITALNE OPERATIVNE OTPORNOSTI
Sastavni dio okvira za upravljanje IKT rizicima, incidentima i prijetnjama je izrada opširnog programa testiranja digitalne operativne otpornosti (procjene i skeniranje ranjivosti, mrežne sigurnosti, fizičke sigurnosti, testiranja kompatibilnosti, performansi, integralno testiranje, penetracijsko testiranje,…) koje je propisano u poglavlju IV. Dore. Primjenjuje se načelo proporcionalnosti i pristup koji se temelji na procjeni rizika kojima je ili bi mogao biti izložen financijski subjekt i važnost IKT imovine i usluga. Provođenje testiranja može provesti neovisni vanjski ili unutarnji provoditelj testiranja. Ako testiranje provodi unutarnji provoditelj, mora se osigurati neovisno testiranje s ciljem izbjegavanja sukoba interesa u fazama osmišljavanja i provedbe testiranja.
Minimalno jednom godišnje financijski subjekti trebajuprovesti primjerenitest IKT sustava i aplikacija kojima se podupiru ključne ili važne funkcije.
Pored navedenog, nadležni regulatori/tijela utvrdit će financijske subjekte koji će biti dužni svake tri godine (učestalost se može smanjiti, ali i povećati, ovisno o zahtjevima regulatora/tijela) provesti i napredna testiranja IKT sustava, alata i procesa na temelju TLPT-a (Threat-Led Penetration Testing). Ovdje će financijski subjekti procijeniti koje ključne i važne funkcije moraju biti obuhvaćene ovim testiranjem (funkcije čiji bi poremećaj bitno narušio financijske rezultate ili sposobnost kontinuiranog ispunjavanja uvjeta i obveza financijskog subjekta), a rezultate ove procjene potvrđivat će nadležna tijela, dok će se sažetak rezultata testiranja dostavljati i određenom jedinstvenom tijelu javne vlasti.
Za potrebe provođenja naprednog testiranja na temelju TLPT-a moći će se angažirati samo odgovarajući unutarnji ili vanjski provoditelji testiranja koji će zadovoljiti posebne zahtjeve i kriterije koje je propisala Dora, ali i zahtjeve, standarde i kriterije povezane s ovim testiranjem koje će do 17.7.2024. izraditi ESAs kroz zajednički nacrt RTS-ova.
6. UPRAVLJANJE IKT RIZIKOM POVEZANIM S TREĆIM STRANAMA
Poglavlje V. Dore propisuje način upravljanja IKT rizikom povezanim s trećim stranama što ne predstavlja potpunu nepoznanicu za financijske subjekte koji su sukladno važećim propisima prolazili proces izdvajanja ključnih odnosno važnih poslovnih funkcija na treće strane. Poglavlje opširno opisuje ključna načela dobrog poslovnog upravljanja IKT rizikom povezanim s trećim stranama i nadzorni okvir za ključne treće strane pružatelje IKT usluga.
a. Ključna načela dobrog poslovnog upravljanja IKT rizikom povezanim s trećim stranama (ključna načela)
Ključna načela obuhvaćaju odredbe o općim načelima, preliminarnoj procjeni koncentracijskog IKT rizika na razini subjekta i ključne ugovorne odredbe.
Opća načela za financijske subjekte kojih se moraju pridržavati vezano uz aranžman trećih strana o upotrebi IKT usluga obuhvaćaju:
potpuna odgovornost za poštovanje i izvršavanje svih obveza iz Dore i primjenjivog prava o financijskim uslugama;
upravljanje IKT rizikom povezanim s trećim stranama;
preispitivanje strategije za IKT rizik povezan s trećim stranama, uključujući i preispitivanje strategije nabave od više dobavljača, ako je primjenjivo;
vođenje registra informacija o svim ugovornim aranžmanima o upotrebi IKT usluga uz dokumentiranje i razlikovanje IKT usluga koji podupiru ključne ili važne funkcije;
godišnje izvješćivanje nadležnih regulatora/tijela o aranžmanima o upotrebi IKT usluga (broj, kategorija, vrsta i funkcije koje pružaju) kao i obavješćivanje o planiranim aranžmanima kojima se podupiru ključne ili važne funkcije ili je to postala;
prije sklapanja ugovornog aranžmana provesti procjenu, dubinsku analizu i analizu rizika treće strane, upravljati sukobom interesa, procijeniti radi li se o ključnoj ili važnoj funkciji i ispunjavaju li treće strane odgovarajuće, a za ključne ili važne funkcije najnovije i najkvalitetnije, standarde informacijske sigurnosti kao i je su li ispunjeni uvjeti za nadzor treće strane;
provoditi reviziju ugovornih aranžmana i nadzora nad njima;
ugovoriti mogućnost raskida suradnje osobito kada je treća strana ozbiljno prekršila zakone, propise ili ugovorne uvjete ili su nastupile bitne promjene koje mogu utjecati na pružanje usluga, utvrđene su slabosti u vezi s općim upravljanjem IKT rizikom ili nadležni regulator/tijelo više ne može djelotvorno provesti nadzor nad financijskim subjektom, a zbog uvjeta iz ugovornog aranžmana ili okolnosti povezanih s trećom stranom;
osigurati strategiju/plan izlaska i kontinuitet pružanja usluga bez remećenja poslovnih aktivnosti i ograničavanja regulatornih zahtjeva u slučaju povlačenja iz ugovornog aranžmana.
Prema odredbama o preliminarnoj procjeni koncentracijskog IKT rizika na razini subjektafinancijski subjekti trebat će kod procjene svih relevantnih rizika, provesti i ovu procjenu koja će obuhvatiti, između ostalog, procjenu radi li se o aranžmanima za ključne ili važne funkcije koje nije lako zamijeniti ili postoji više sklopljenih aranžmana s istom trećom stranom ili s usko povezanim trećim stranama; koje su koristi i troškovi alternativnih rješenja; koje su koristi i rizici podugovaranja; može li se osigurati usklađenost s pravima EU; ograničenja do kojih može doći u slučaju stečaja treće strane pružatelja IKT usluga za ključne ili važne funkcije ili ograničenja pri hitnom oporavku podataka financijskog subjekta.
Prava i obveze odnosno ključne ugovorne odredbekoje se moraju definirati pisanim ugovorom vezano uz upotrebu IKT usluga i IKT usluga koje podupiru ključne ili važne funkcije su detaljno specificiraneDorom. Dodatno će i ESAs izraditi do 17.7.2024. RTS-ove kojima će precizirati uvjete za opis svih funkcija i IKT usluga koje financijski subjekti trebaju utvrditi i procijeniti pri podugovaranju IKT usluga za ključne ili važne funkcije.
b. Nadzorni okvir za ključne treće strane pružatelje IKT usluga
ESAs će u skladu s posebnim kriterijima koje je propisala Dora (Komisija može donijeti i poseban delegirani akt za preciznije utvrđivanje kriterija) imenovati(utvrditi) treće strane IKT usluga koji su ključni za financijske subjekte i objavljivati popis takvih trećih strana.I pojedine treće strane IKT usluga moći će zatražiti da ih se uvrsti na popis ključnih trećih strana pružatelja IKT usluga na razini EU.
Dora je propisala i da će se financijski subjekti smjeti koristiti uslugama treće strane pružatelja IKT usluga koja je imenovana kao ključna, a ima poslovni nastan u trećoj zemlji, samo ako je ta treća strana osnovala društvo kćer u EU u roku od 12 mjeseci nakon imenovanja.
Dodatno,imenovatće seglavno nadzorno tijeloza svaku ključnu treću stranu pružatelja IKT usluga koje će biti, kako propisuje Dora, odgovorno za financijske subjekte „koji zajedno imaju najveći udio ukupne imovine u vrijednosti ukupne imovine svih financijskih subjekata koji se koriste uslugama relevantne ključne treće strane pružatelja IKT usluga, što dokazuje zbroj pojedinačnih bilanci tih financijskih subjekata“.
Isti tako, osnovat će se Nadzorni forum kao pododbor koji će biti potpora ovom tijelu i Zajedničkom odboru unutar kojeg djeluju ESAs i donijeti smjernice o suradnji. Tri glavna nadzorna tijela koja će biti imenovana uspostavit će Zajedničku nadzornu mrežu radi međusobne koordinacije provedbe aktivnosti nadzora.
Glavno nadzorno tijelo će prema prethodno izrađenom planu provoditi sveobuhvatan nadzor nad ključnim trećim stranama pružateljima IKT usluga koje su mu dodijeljene i bit će primarna točka za te ključne treće strane. Za usklađivanje uvjeta koji će omogućiti provedbu aktivnosti nadzora ESAs će do 17.7.2024. izraditi RTS-ove.
Također, glavno nadzorno tijelo moći će izreći periodične novčane kazne u iznosu do 1% prosječnog dnevnog prometa na svjetskoj razini za ključnu treću stranu pružatelja IKT usluga u prethodnoj poslovnoj godini, pod uvjetima koji su detaljno propisani u Dori. Kao krajnju mjeru, a nakon što se provedu sve radnje propisane Dorom povezane s obavljanjem nadzora i ako se ne otklone rizici utvrđeni nadzorom, nadležni regulatori/tijela koji su zaprimili informacije od glavnog nadzornog tijela, mogu donijeti odluku kojom se od financijskih subjekata zahtijeva da djelomično ili u cijelosti privremeno suspendiraju korištenje ili uvođenje usluge dok se ne otklone rizici ili zatražiti da raskinu, djelomično ili u cijelosti, relevantne ugovorne aranžmane sklopljene s ključnim trećim stranama pružateljima IKT usluga.
Naknade za provođenje nadzora snosit će ključne treće strane pružatelji IKT usluga, a Komisija će do 17.7.2024. delegiranim aktom propisati iznos naknada i načina njihova plaćanja.
7. ARANŽMANI ZA RAZMJENU INFORMACIJA
Poglavlje VI. opisuje razmjenu informacija među financijskim subjektima, na način da će oni moći, u mjeri koju propisuje Dora, međusobno razmjenjivati informacije i saznanja o kiberprijetnjama, uključujući pokazatelje ugroženosti, taktike, tehnike i postupke, kibersigurnosna upozorenja i konfiguracijske alate.
Financijski subjekti obavještavat će svoje nadležne regulatore/tijela o sudjelovanju u takvim aranžmanima za razmjenu informacija.
8. NADLEŽNA TIJELA
Poglavlje VII. daje popis nadležnih regulatora/tijela za svaki financijski subjekt; opisuje njihovu međusobnu suradnju, suradnju s glavnim nadzornim tijelom i tijelom osnovanim u skladu s NIS 2 direktivom; uspostavu mehanizama za razmjenu djelotvornih primjera iz prakse među financijskim sektorima; ovlasti za nadzor, istrage i sankcije potrebne za izvršavanje svojih zadaća propisanih Dorom; ovlasti izricanja administrativnih kazni i korektivnih mjera, objavu administrativnih kazni; dužnosti obavješćivanja Komisije, ESMA-e, EBA-e i EIOPA-e o zakonima i propisima kojima se provodi primjena ovog poglavlja; čuvanja poslovnih tajni i zaštiti podataka.
10. I NA KRAJU….
Bit će potrebno pripremiti opsežnu GAP analizu radi usklađivanja sa zahtjevima Dore, planirati financijska sredstva u provođenju propisanih aktivnosti i istovremeno pratiti i analizirati primjenu RTS-ova i smjernica, koji su jako opširni.
Dodatan izazov mogu predstavljati i opsežni zahtjevi vezani uz ugovorne aranžmane s trećim stranima pružateljima IKT usluga, osobito ugovorni aranžmani o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije.
Kad pogledam unazad, kroz cijelu moju poslovnu karijeru protezao se pojam sukoba interesa. Pojam koji, kao i mnogi drugi, vrlo često nisam razumjela, nisam znala što s njim i kako ga tumačiti.
S ulaskom u compliance svijet taj pojam postaje sve značajniji, međutim i dalje vrlo maglovitog značenja, a tumačenja raznih funkcija koja su se bavila njime bila su nedorečena, nekad vrlo filozofska, nekada vrlo površna.
Promijenila sam poslovne sektore, industrije, međutim nerazumijevanje, a potom posljedično i strah i dalje postoje kod mojih suradnika.
Budući sam uvijek smatrala kako je pojmovima i situacijama u poslu uvijek potrebno pristupiti na jednostavan način i objasniti ih tako da te i onaj tko ne razumije baš ništa na kraju može shvatiti, veliki dio svog poslovnog vremena posvetila sam se izučavanju, tumačenju i naglašavanju važnosti upravljanja sukobom interesa.
Dakle, znamo li uopće na što mislimo kad kažemo sukob interesa?
Možda najjednostavnije objašnjeno, sukob interesa je situacija kada jedna osoba ima neke profesionalne ili osobne obveze, odnosno profesionalne ili osobne interese koji mu otežavaju djelotvorno obavljanje poslovne funkcije i ugrožavaju njegovu objektivnost ili mogu stvoriti dojam da je njegova objektivnost ugrožena.
Vrlo je važno naglasiti da je sukob interesa SITUACIJA, a ne PONAŠANJE, u kojoj neki pojedinac na odgovornom položaju (ili član njegove uže obitelji), ima istovremeno međusobno konkurentne, profesionalne i osobne interese.
Sa sukobom interesa se možemo susresti i u situaciji kada je razlika između individualnih i profesionalnih obveza takva da neovisni promatrač može postaviti opravdano pitanje jesu li profesionalni rad i odluke dotične osobe vođene osobnim interesima.
Temelji interesa mogu biti:
Financijski (opipljivi) – novac, dobivanje nekog posla, imovina/vlasništvo
Nefinancijski (neopipljivi) – uspjeh na profesionalnom planu, osobno zadovoljstvo, psihološko stanje
U teorijskom smislu razlikujemo:
STVARNI sukob interesa: kada pojedinac zna da svojim aktivnostima može i dodatno ostvariti privatni interes, a na štetu interesa organizacije – to i učini.
PRIVIDNI sukob interesa: situacija u kojoj se čini da bi privatni interesi mogli na neprikladan način utjecati na obavljanje dužnosti; kada se relativno dobro informiranoj osobi, na temelju zdravog prosuđivanja, učini da je netko od kolega u stvarnom sukobu interesa
POTENCIJALNI sukob interesa: kada postoji neki privatni interes koji može utjecati na vršenje dužnosti, no osoba još ništa nije počinila po tom pitanju
Teoriji bi mogli dodati i činjenicu da u Republici Hrvatskoj postoji važeći Zakon o sprječavanju sukoba interesa, ali da je sadržajno najviše usmjeren prepoznavanju i upravljanju sukobom interesa u javnom sektoru.
Određene životne situacije i okolnosti koje se opisuju kao sukob interesa, a to su one iz kojih proizlazi njihova mogućnost utjecaja na nepristranost dužnosnika u obnašanju javne dužnosti, same po sebi ne predstavljaju protupravno stanje. Stupanjem na dužnost ne mogu nestati sve poveznice određenog dužnosnika sa pojedinim osobama, poslovnim subjektima, interesnim zajednicama, i drugim situacijama koje čine dio njegovog životnog puta i identiteta. Sukob interesa postaje povreda odredbi Zakona o sprječavanju sukoba interesa, a time i predmet pokretanja i vođenja postupka protiv dužnosnika od strane Povjerenstva za odlučivanje o sukobu interesa, onda kada je dužnosnik propustio uočiti da se nalazi u konfliktnim ulogama odlučivanja, ili kada je propustio uočiti postojanje nekih drugih razloga iz kojih proizlazi sukob između njegovih osobnih, odnosno privatnih i javnih interesa te kada je slijedom navedenog dužnosnik propustio na primjeren način razriješiti ili upravljati situacijom sukoba interesa u kojoj se našao.
Sa sukobom interesa lako možemo povezati moralno odnosno nemoralno djelovanje te odgovorno, odnosno neodgovorno ponašanje.
Kad bi se malo odmaknuli od teorije i pokušali to čim jednostavnije prikazati u praksi izgledalo bi otprilike ovako.
SUKOB INTERESA vs. SUKOB ODGOVORNOSTI
Odlučila sam otići na odbojkašku utakmicu svoje kćeri i pritom svjesno propustiti obvezu prema instituciji, društvu, ustanovi u kojoj radim (održati unaprijed dogovoreno predavanje, predati projekt na vrijeme i sl)
Budući imam položen ispit za odbojkaškog suca i sudila sam nekoliko utakmica, nazvat ću delegata utakmice koju igra moja kćer (budući smo dobri prijatelji) i dogovoriti s njim da ja sudim tu utakmicu. Važno mi je da njena ekipa pobijedi, ona odigra fantastično i da osvoje prvenstvo
Primjeri nemoralnog djelovanja u poslovanju
Sukob interesa: kum mi je vlasnik društva koje prodaje proizvode koje moje društvo stavlja na tržište u RH. Nazvat ću ga i dogovoriti da prikaže povećanu potražnju za tim proizvodima kako bi se povećala distribucija i prodaja, a samim time utjecalo na moj bonus kao prodajnog predstavnika. Dio bonusa podijelit ću s njim.
Poštenje, iskrenost, komunikacija: namjerno iznošenje neistinitih tvrdnji o proizvodu, stavljanje na tržište kozmetičkih proizvoda s prikrivenim sastojcima koji su lošeg utjecaja na ljudsko zdravlje, lažno ili nepotpuno reklamiranje
Poslovni odnosi: odavanje poslovnih tajni
Neuspješno utvrđivanje i nadziranje sukoba interesa te upravljanje njime može ugroziti postupak donošenja odluka i cjelokupni proces dobrog upravljanja te dovesti do narušavanja ugleda, a u nekim slučajevima i novčane kazne.
Kako se ovaj tekst ne bi pretvorio u jednodnevnu edukaciju o upravljanju sukobom interesa jer primjera je nebrojeno mnogo i situacija o kojima je moguće raspravljati je još toliko, uzet ću si za pravo iz svega izvući sljedeći zaključak.
Sukob interesa je situacija, pojava koja se nalazi svuda oko nas.
Ako radite u društvu, kompaniji, instituciji, ustanovi koja još nije uspostavila sustav prepoznavanja i upravljanja sukobom interesa, neka vas ovaj, a i mnogi drugi tekstovi do kojih možete doći jednostavnom Google pretragom potaknu da pokrenete priču i inicijativu da se ovaj dio sustava upravljanja uredi i u vašem okruženju.
Budite project manager na koji dan i učinite vrlo dobru stvar za vašu poslovnu zajednicu.
U slučaju da sustav već postoji, budite transparentni i svesrdno zagovarajte transparentnost u prijavljivanju situacija koje mogu predstavljati sukob interesa.
Sukob interesa kao takav nije problem, ali ne znanje i ne postojanje svijesti o situaciji koja predstavlja sukob interesa može biti i jeste problem.
Sve dok znamo za okolnosti koje mogu predstavljati sukob interesa, možemo njima uspješno upravljati i na taj način osigurati da je sustav upravljanja u našem poslovnom okruženju efikasan, a poslovanje uspješno.
Zakon o sprječavanju pranja novca i financiranja terorizma (u daljnjem tekstu: Zakon) usvojen je u Hrvatskome saboru u listopadu 2017. a počeo se primjenjivati 1. siječnja 2018.
Zakonom je u pravni poredak Republike Hrvatske prenesena Direktiva (EU) 2015/849 Europskoga parlamenta i Vijeća od 20. svibnja 2015. o sprječavanju korištenja financijskoga sustava u svrhu pranja novca i financiranja terorizma, o izmjeni Uredbe (EU) 648/2012 Europskoga parlamenta i Vijeća te o stavljanju izvan snage Direktive 2005/60/EZ Europskoga parlamenta i Vijeća i Direktive Komisije 2006/70/EZ (SL L 141, 5. 6. 2015.) te se osigurala provedba Uredbe (EU) 2015/847 Europskoga parlamenta i Vijeća od 20. svibnja 2015. o informacijama koje su priložene prijenosu novčanih sredstava i o stavljanju izvan snage Uredbe (EZ) 1781/2006 (SL L 141, 5. 6. 2015.) i Uredbe (EZ) br. 1889/2005 Europskog parlamenta i Vijeća od 26. listopada 2005. o kontrolama gotovine koja se unosi u Zajednicu ili iznosi iz Zajednice (SL L 309, 25. 11. 2005.).
Zakon ima preventivni karakter i njime se propisuju mjere, radnje i postupci obveznika iz financijskoga i nefinancijskoga sektora, zadaće Ureda za sprječavanje pranja novca kao financijsko-obavještajne jedince, interaktivna postupanja drugih nadležnih državnih tijela iz sustava sprječavanja pranja novca i financiranja terorizma te druge preventivne mjere u svrhu sprječavanja korištenja financijskog sustava za pranje novca i financiranje terorizma.
IZMJENE I DOPUNE ZAKONA
Od 1.1.2023. su stupile na snagu izmjene i dopune Zakona s ciljem ispunjenja preventivnih mjera iz Akcijskog plana za jačanje učinkovitosti hrvatskog sustava sprječavanja pranja novca i financiranja terorizma te zbog uvođenja eura kao službene valute u Republici Hrvatskoj. Akcijski plan sadrži mjere i aktivnosti čiji je cilj daljnje jačanje hrvatskog sustava sprječavanja pranja novca i financiranja terorizma, a kojima će se ujedno ispuniti i preporučene mjere Odbora stručnjaka Vijeća Europe MONEYVAL iz Izvješća o 5. krugu evaluacije Republike Hrvatske, usvojenom na 62. plenarnoj sjednici MONEYVALa održanoj u prosincu 2021. godine.
Ispunjenjem mjera i aktivnosti iz Akcijskog plana, Republika Hrvatska također osigurava i daljnje usklađivanje zakonodavnog okvira s preporukama Stručne skupine za financijsko djelovanje (eng. Financial Action Task Force – FATF) koje predstavljaju međunarodne standarde u borbi protiv pranja novca te financiranja terorizma i proliferacije.
Izmjene i dopune se odnose na sljedeća područja:
uvedena obveza upisa pružatelja usluga virtualne imovine u registar pružatelja usluga virtualne imovine,
uvedena obveza registracije i vođenje registra pravnih i fizičkih osoba koje se bave djelatnošću pružanja usluga povezanih s trustovima i trgovačkim društvima te prometom plemenitih metala i dragog kamenja,
dopunjena odredba koja propisuje obvezu utvrđivanja i provjere identiteta stranke od strane ovlaštenih mjenjača,
proširena obveza provođenja dubinske analize i na upravitelje trustova koji upravitelji imaju prebivalište odnosno sjedište u inozemstvu,
dopunjena odredba koja propisuje obvezu utvrđivanja i provjere identiteta za trustove i slična pravna uređenja,
precizirana odredba koja propisuje poduzimanje mjera za provjeru identiteta stvarnog vlasnika,
precizirana odredba koja propisuje obvezu razumijevanja svrhe i prirodu poslovnog odnosa,
izmijenjena definicija neizravnog vlasništva (nad pravnom osobom) na način da uključuje i neizravno vlasništvo putem trustova,
propisana obveza da obveznici moraju prikupiti informacije o ovlastima koje reguliraju i obvezuju pravne osobe ili pravne aranžmane – osnivački akt društva,
proširena obveza prijavljivanja sumnjivih transakcija, osoba i sredstava Uredu za sprječavanje pranja novca,
propisana suradnja s europskim nadzornim tijelima u pogledu virtualne imovine propisana,
suradnja s nadzornim tijelima država članica u području nadzora obveznika iz nefinancijskog sektora,
smanjen prag obavještavanja o gotovinskim transakcijama Ureda za sprječavanje pranja novca sa 200.000,00 kuna na 10.000,00 eura.
IZMJENE DEFINCIJA
Uz navedene izmjene izmijenjena je i definicija financiranja terorizma te se financiranjem terorizma smatra:
1. osiguravanje ili prikupljanje sredstava odnosno pokušaj osiguravanja ili prikupljanja sredstava, zakonitih ili nezakonitih, na bilo koji način, izravno ili neizravno, s namjerom da se upotrijebe ili sa znanjem da će biti upotrijebljena, u cijelosti ili dijelom, od strane terorista ili terorističke organizacije u bilo koju svrhu, što uključuje i počinjenje terorističkoga kaznenog djela, ili od strane osoba koje financiraju terorizam
2. financiranje putovanja u svrhu počinjenja ili doprinosa u počinjenju kaznenog djela terorizma ili počinjenja kaznenog djela obuke za terorizam i terorističkog udruženja.
Također, izvršena je i izmjena termina poslovnog odnosa te se poslovnim odnosom smatra:
1. poslovni, profesionalni ili komercijalni odnos povezan s profesionalnim aktivnostima obveznika i za koji se očekuje, u vrijeme uspostavljanja, da ima element trajnosti, što uključuje i otvaranje računa kod obveznika,
2. odnos u kojem se od obveznika traži da osnuje trgovačko društvo ili trust za svoju stranku, neovisno o tome je li osnivanje trgovačkog društva ili trusta jedina transakcija koja se obavlja za tu stranku,
3. registracija i/ili identifikacija igrača sukladno propisima kojima se uređuje priređivanje igara na sreću i sukladno Zakonu.
U Zakon su uvrštene i definicije i obveze u vezi s virtualnom imovinom. Ovdje možete pronaći detaljniji prikaz navedenih dopuna.
Također, kod kategorizacije rizika, termin „visok rizik“ je zamijenjen u „viši rizik.
OBVEZE IZ ZAKONA
Obveznik iz Zakona dužan je uspostaviti i provoditi djelotvoran sustav unutarnjih kontrola te donijeti pisane politike, kontrole i postupke za smanjivanje i učinkovito upravljanje rizikom od pranja novca i financiranja terorizma utvrđenih analizom rizika te je dužan uzeti u obzir pravilnike i odluke odnosno smjernice nadležnoga tijela, Nacionalnu procjenu rizika i Nadnacionalnu procjenu rizika.
Za obveznike koji se ne usklade sa Zakonom propisane su prekršajne kazne od 4.640,00 do 132.720,00 eura.
Sažetak priručnika koji vam je predstavljamo u današnjoj objavi namijenjen članovima uprave i vršnog menadžmenta u privatnom sektoru, dužnosnicima u javnom sektoru, voditeljima poslovnih funkcija koji upravljaju rizicima, te pravnicima, revizorima, i ostalim koji se bave s usklađenošću u svakodnevnom poslovanju te ostalima. Zahvaljujući ZIH-u i prof.dr.sc. Zdravku Krakaru i suradnicima predstavljamo vam sažetak Priručnika.
