Za manje od šest mjeseci, 17. siječnja 2025., u Hrvatskoj kao i čitavoj Europskoj uniji počinje primjena nove Uredbe EU-a o digitalnoj operativnoj otpornosti u financijskom sektoru – DORA (Digital Operational Resilience Act).

Primjena DORA-e, izglasane u prosincu 2022. u Europskom parlamentu, nakon pune dvije godine označava i završetak pripremnog razdoblja u kojem je financijska industrija zajedno s regulatorima proučavala zahtjeve i obveze te pripremala i sada privodi kraju brojne projekte usklađivanja koji podižu razinu njezine digitalne otpornosti.

Nedavni niz kibernetičkih napada kojima svjedočimo ponovno ukazuje na primjerenost i opravdanost usklađenog zakonodavnog okvira za jačanje digitalne otpornosti financijske industrije.

DORA usklađuje pojedine prethodne zahtjeve i različite pristupe u zakonodavstvu za financijske usluge, čija je digitalna operativna otpornost do sada bila, pa i danas je, uređena na fragmentiran način, dok su rizici koji proizlaze iz informacijske i komunikacijske tehnologije (IKT) u posljednje vrijeme porasli, a upravljanje tim područjem nije bilo zakonski uređeno u cjelini u EU-u.

Sektor financijskih usluga u Hrvatskoj do sada je samo manjim dijelom imao obveze ciljanog upravljanja kibernetičkom sigurnosti, zahvaljujući Zakonu o kibernetičkoj sigurnosti iz 2018., koji je usvojen transpozicijom Direktive EU-a NIS (Network and Information Systems), a koji je obuhvatio Zagrebačku burzu i SKDD-CCP.

Uredba DORA preuzima te obveznike te dodatno obvezuje i SKDD, kao i sva investicijska i mirovinska društva te društva za osiguranje, kao i društva za upravljanje investicijskim i mirovinskim fondovima. DORU također moraju primijeniti i pružatelji usluga povezanih s kriptoimovinom.

DORA će stvoriti usklađen i sveobuhvatan pravni okvir koji će ojačati otpornost europskih financijskih poduzeća i financijskog tržišta u cjelini na kibernetičke prijetnje i poremećaje poslovanja povezane s IKT-om. IKT dobavljači usluga bit će pod većim nadzorom financijskih institucija s obzirom na to da istodobno spadaju i u područje IKT rizika, dok će oni najveći dobavljači koji budu klasificirani kao kritični na razini EU-a biti pod posebnim nadzorom.

Navedena Uredba donosi niz vrlo temeljnih i dalekosežnih regulatornih promjena o kojima je Hanfa zajedno s HNB-om organizirala nekoliko radionica i niz sastanaka sa sektorskim udruženjima.

Hanfa je nedavno provela posebnu anketu među financijskim institucijama obveznicima DORA-e o njihovoj spremnosti za nadolazeću regulativu. U anketi su sudjelovala 52 društva iz područja nadležnosti Hanfe.

Ključni rezultati ankete pokazuju:

1. Uprave društva preuzimaju odgovornost i rade na digitalnoj otpornosti

Prema anketnim podacima, više od 40 % društava razvilo je plan uvođenja mjera digitalne otpornosti prema detaljnim zahtjevima DORA-e, što garantira manji rizik od incidenata i postizanje usklađenog poslovanja kad zahtjevi Uredbe DORA stupe na snagu.

2. Uspostava zasebne funkcije kontrole IKT rizika

Ukupno 63 % društava aktivno upravlja IKT rizicima korištenjem vanjskih stručnjaka, često u okviru iste financijske grupacije, kao i angažiranjem specijaliziranih tvrtki i eksperata, dok daljnjih 20 % ima vlastite stručnjake, često u osobi/funkciji CISO (Chief Information Security Officer), koje planiraju transformirati u ciljanu funkciju nadzora IKT rizika. Mali broj, uglavnom manjih društava, još nema uspostavljenu nikakvu usporedivu funkciju nadzora IKT rizika.

3. Upravljanje IKT rizicima dobavljača

Upravljanje rizicima koji se pojavljuju iz ugovaranja usluga vanjskih dobavljača za obavljanje ključnih i važnih poslovnih funkcija prepoznalo je kao jedan od tri najveća izazova podizanja digitalne otpornosti više od 50 % društava.

4. Raspoloživi stručnjaci i opseg mjera koje DORA predviđa – najveći izazovi

Kao najveći pojedinačni rizik implementacije DORA-e društva navode nedostatak stručnjaka, internih resursa koji su nužni za povezivanje procesa i mjera podizanja otpornosti, nakon čega slijedi izazov potpune primjene svih mjera te Uredbe.

Analiza pokazuje da su institucije koje su na vrijeme započele pripreme znatno napredovale u uspostavi potrebnih procesa i alata za postizanje veće digitalne otpornosti, na razini koju DORA traži.

Međutim, vidimo i određen broj obveznika koji nisu u potpunosti svjesni složenosti potrebnih prilagodbi. Neovisno o zahtjevima regulatorne usklađenosti, znatno je važniji poslovni rizik gubitka funkcija poslovanja i gubitka podataka, što uključuje i osobne podatke klijenata, a sve zajedno čini poslovne gubitke koje zasigurno možemo prepoznati kao obično puno teže od pravovremene primjene mjera digitalne otpornosti.

Sama industrija kao i Hanfa suglasni su u stavu da se IKT rizicima mora čvrsto upravljati, izgradnjom sustava kontrola i procedura kojima se financijske institucije štite od razornih posljedica u konačnici vjerojatnih i očekivanih kibernetičkih napada. Tako nominalno nova stroga regulativa postaje podloga i putokaz kojim se rukovodimo u podizanju otpornosti.

Stoga je apsolutno neophodno da se preostalo vrijeme do kraja 2024. iskoristi za dovršetak procesa prilagodbe na DORA-u na najbolji način.