DORA – Uredba o digitalnoj operativnoj otpornosti za financijski sektor u primjeni iduće godine

Objavljeno: 19.4.2024.
DORA – Uredba o digitalnoj operativnoj otpornosti za financijski sektor u primjeni iduće godine
Slaven Smojver
Autor: Marko Prpić/Pixsell

Kibernetička sigurnost kao temelj za jačanje otpornosti svake kompanije u digitalnom svijetu, s posebnim naglaskom na NIS2 Direktivu i Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor (DORA), bila je glavna tema stručnog skupa Poslovnog dnevnika "Kibernetičke prijetnje i sigurnost – Defend Tech & Insur", održanog u četvrtak, 18. travnja u hotelu Zonar u Zagrebu.

"DORA Uredba (engl. Digital Operational Resilience Act) postavlja opsežne zahtjeve prema pružateljima financijskih usluga u pogledu upravljanja rizika u informacijskoj i komunikacijskoj tehnologiji (IKT), izvješćivanja o IKT incidentima, testiranja sigurnosti i nadzora ključnih IKT pružatelja usluga", rekao je tom prilikom Slaven Smojver iz HNB-ove Direkcije supervizije informacijskih sustava u "Intervjuu 1na1: DORA – nekom pjesma, nekom uredba". Smojver je pritom govorio o ulozi HNB-a u nadzoru primjene DORA-e koja se počinje primjenjivati 17. siječnja 2025. godine na financijski sektor, ali i na tvrtke koje pružaju IKT usluge. On je posebno naglasio da DORA propisuje niz obaveza za gotovo sve pružatelje financijskih usluga, uključujući banke, osiguravajuća društva te investicijska društva ali i velike pružatelje tehnoloških usluga od posebnog značaja za financijski sektor EU, poput – primjerice – ključnih pružatelja usluga računarstva u oblaku (cloud computing). Pod superviziju i nadzor HNB-a uz kreditne institucije spadaju i institucije za platni promet te institucije za elektronički novac.

"Financijske institucije moraju ispuniti obveze koje su propisane DORA-om, no u ispunjavanju tih obaveza kao i u njihovom nadzoru primjenjuje se princip proporcionalnosti. Princip proporcionalnosti osigurava da se propisi primjenjuju na način koji je razmjeran veličini, složenosti poslovanja i rizicima specifičnima za pojedinačnu instituciju. No neovisno o tome, DORA nalaže i određene minimalne zahtjeve koje sve institucije (koje nisu eksplicitno izuzete iz obuhvata) moraju ispuniti", istaknuo je je Smojver.

Prema njegovim riječima, DORA Uredba i NIS2 Direktiva se međusobno nadopunjuju – dok NIS2 pokriva širi spektar sektora i usmjeren je na opću kibernetičku sigurnost i upravljanje rizicima, DORA je specifično usmjerena na financijski sektor, naglašavajući digitalnu operativnu otpornost i upravljanje IKT rizicima. DORA Uredba, ustvrdio je Smojver, prema financijskim institucijama postavlja zahtjeve da uspostave i primjenjuju robusne mehanizme za upravljanje o IKT rizicima te da redovito testiraju sigurnost svojih sustava. Usto, DORA uspostavlja i okvir za nadzor i suradnju između nadležnih tijela unutar EU, kako bi se osigurala koordinirana reakcija na prekogranične kibernetičke prijetnje i incidente. "Potrebno je napomenuti da je obveza financijskih institucija da dokumentiraju, prate i nadziru sve pružatelje IKT usluga, posebno one koji podržavaju pružanje kritičnih usluga, a te obveze odnose se i na podizvođače (nadzor lanca pružatelja usluga)", zaključio je Slaven Smojver.