Nové opatrenia EÚ na zvýšenie kyberbezpečnosti

Európska únia zavádza nové nariadenie „DORA“ a smernicu „NIS2“ na zvýšenie kyberbezpečnosti finančných inštitúcií aj firiem z viacerých odvetví. Koho sa novinky týkajú a čo prinesú?

Jedným z cieľov Európskej únie je udržať a chrániť finančnú odolnosť členských štátov. Súčasná geopolotická situácia, humanitárna kríza na Ukrajine, sankcie uvalené na Rusko, digitalizácia a s tým hroziace kybernetické riziká, zohrávajú vo finančnom sektore čoraz dôležitejšiu úlohu. Európska únia si uvedomuje zraniteľnosť digitálneho systému, a preto prišla s návrhom na vytvorenie jednotného rámca pre všetky podsektory finančných služieb. Ten bol v máji 2022 predbežne schválený Európskym parlamentom.

Nariadenie o digitálnej prevádzkovej bezpečnosti (DORA)

V rámci Európskej únie doteraz existovali len čiastkové regulácie v jednotlivých podsektoroch, ktoré neboli jednotné. DORA (Digital Operational Resiliance Act), čiže nariadenie o digitálnej prevádzkovej odolnosti, prináša komplexný rámec na riadenie rizík spojených so zvyšujúcou sa digitalizáciou. Vzťahuje sa na entity z finančného odvetvia, a okrem spoločností ako sú banky a poisťovne, sa bude vzťahovať aj na významných dodávateľov služieb informačných a komunikačných technológií (napr. poskytovateľov služieb analýzy údajov či cloudové platformy). Audítori nebudú podliehať tomuto nariadeniu, ale budú súčasťou budúcej revízie nariadenia, v rámci ktorého sa môžu preskúmať súvisiace pravidlá.

Toto nariadenie vytvára regulačný rámec pre digitálnu prevádzkovú odolnosť, v ktorom budú musieť všetky spoločnosti zabezpečiť, aby boli schopné odolávať všetkým typom narušení a hrozieb súvisiacich s IKT (informačné a komunikačné technológie), reagovať na ne a dostať sa z nich. Tieto požiadavky sú rovnaké vo všetkých členských štátoch EÚ. Hlavným cieľom je predchádzať kybernetickým hrozbám a zmierňovať ich.

Od dôležitých poskytovateľov z tretích krajín, ktoré finančným subjektom v EÚ poskytujú služby IKT, sa bude vyžadovať, aby si v rámci EÚ zriadili dcérsku spoločnosť, aby bolo možné riadne vykonávať dohľad.

Slovenské finančné inštitúcie by sa už teraz mali pripraviť na DORA

Napriek tomu, že všetky detaily nariadenia ešte nie sú známe, slovenské finančné inštitúcie by sa už teraz mali zaujímať o novú reguláciu. Získajú tak výhodu základného povedomia o jej požiadavkách. Entity, ktoré sú súčasťou nadnárodných finančných skupín, už  implementujú tento regulačný systém priamo cez svoju skupinu a cez ňu budú aj dohľadované. Menšie inštitúcie, ktoré doteraz nevenovali dostatočnú pozornosť kyberbezpečnosti, by mali zvážiť inventarizáciu svojich systémov a porovnať ich s novými požiadavkami.

„Nová regulácia vychádza z aktuálnych trendov zvyšujúcich sa kyber útokov, a preto má svoje opodstatnenie. Niektoré z požiadaviek nebudú znamenať veľké zmeny v súčasných rámcoch a usporiadaniach, zatiaľ čo iné si budú vyžadovať veľa času, koordinácie a úsilia od rôznych odborníkov. Pre významné regulované subjekty, ako sú spomínané banky a poisťovne, môžu byť zmeny len okrajové. Pre typy finančných služieb, v ktorých regulácia kybernetickej bezpečnosti nebola až tak v popredí  –  napríklad správcovské spoločnosti, prevádzkovatelia crowdfunding platforiem – môže legislatíva významne zvýšiť požiadavky nad súčasný stav,“ zhrnul Pavol Adamec, odborník na kybernetickú bezpečnosť a výkonný riaditeľ oddelenia riadenia rizík, KPMG Slovensko.

Nariadenia DORA každý členský štát EÚ začlení do svojho právneho poriadku. Príslušné európske orgány dohľadu, ako sú Európsky orgán pre bankovníctvo (EBA), Európsky orgán pre cenné papiere a trhy (ESMA) a Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA), potom vypracujú technické normy pre všetky inštitúcie finančných služieb, ktoré sa budú dodržiavať v rámci bankovníctva cez poistenie až po správu aktív. Príslušné vnútroštátne orgány prevezmú úlohu dohľadu nad dodržiavaním predpisov a budú nariadenie náležite presadzovať.

Článok pokračuje pod reklamou

NIS2: posilnenie kybernetickej bezpečnosti a odolnosti v celej EÚ

Rada a Európsky parlament sa v máji dohodli aj na opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii s cieľom ďalej zlepšovať odolnosť verejného aj súkromného sektora a EÚ ako celku a ich schopnosť reagovať na incidenty. Nová smernica s názvom „NIS2“ po prijatí nahradí smernicu o bezpečnosti sietí a informačných systémov (smernica NIS).

Smernica NIS 2 sa vzťahuje na stredné a veľké subjekty z viacerých odvetví, ktoré sú kritické pre hospodárstvo a spoločnosť, vrátane poskytovateľov verejných elektronických komunikačných služieb, digitálnych služieb, odpadových vôd a odpadového hospodárstva, výroby kritických produktov, poštových a kuriérskych služieb a verejnej správy, tak na ústrednej, ako aj na regionálnej úrovni. Rozšírenie pôsobnosti nových pravidiel na väčší počet subjektov a odvetví, ktoré budú mať povinnosť prijímať opatrenia na zníženie rizík pre kybernetickú bezpečnosť, pomôže zvýšiť úroveň kybernetickej bezpečnosti v Európe v strednodobom a dlhodobom horizonte.

Smernica NIS 2 takisto posilňuje požiadavky na kybernetickú bezpečnosť kladené na podniky, rieši bezpečnosť dodávateľských reťazcov a dodávateľských vzťahov a zavádza zodpovednosť vrcholového manažmentu za nedodržiavanie povinností v oblasti kybernetickej bezpečnosti. Do popredia kladie ohlasovacie povinnosti a zavádza prísnejšie opatrenia dohľadu pre vnútroštátne orgány, ako aj prísnejšie požiadavky na presadzovanie práva s cieľom harmonizovať režimy sankcií vo všetkých členských štátoch. Smernica NIS2 pomôže zvýšiť výmenu informácií a spoluprácu v oblasti riadenia kybernetických kríz na vnútroštátnej úrovni a na úrovni EÚ.

Európsky parlament a Rada zosúladili znenie s právnymi predpismi platnými pre jednotlivé odvetvia, najmä s nariadením o digitálnej prevádzkovej odolnosti finančného sektora (DORA) a so smernicou o odolnosti kritických subjektov (CER) s cieľom zabezpečiť právnu zrozumiteľnosť a súdržnosť medzi NIS2 a týmito aktmi.

Členské štáty budú mať 21 mesiacov na to, aby ustanovenia smernice NIS2 transponovali do svojho vnútroštátneho práva.

Zdroj: KPMG, ec.europa.eu, consilium.europa.eu

Našli ste chybu či nepresnosť v texte? Dajte nám o tom vedieť.

Viac podobných článkov nájdete na www.podnikajte.sk


Slovenskí europoslanci 2024 - 2029: prehľad funkcií a právomocí

Slovensko má zastúpenie v predsedníctve europarlamentu aj výborov či frakcií. Ktorých poslancov sa to týka a aké úlohy im z ich postov vyplývajú?

Otváracie hodiny obchodov 14.9. a 15.9.2024

Prehľad otváracích hodín obchodných prevádzok počas sviatočného víkendu. Niektoré obchody predlžujú otváraciu dobu.

Budovanie nabíjacej infraštruktúry podľa nových pravidiel EÚ

Nariadenie EÚ stanovuje pravidlá a termíny výstavby nabíjacích staníc pre osobné elektromobily, no tiež pre nákladnú prepravu a autobusy. Čo a dokedy musia členské štáty stihnúť?

HS kód tovaru podľa colného sadzobníka: ako ho zistiť?

Krátky sprievodca HS kódmi, ktoré sú dôležité pri preclievaní tovaru. Na čo všetko slúžia, ako sa určujú a ako sa v colnom sadzobníku orientovať?
To najlepšie z Podnikajte.sk do vašej schránky