Banke i financijske institucije u cijeloj Europskoj uniji pa tako i u Hrvatskoj već dugi niz godina ulažu značajna sredstva u digitalizaciju svojih proizvoda i usluga, istodobno vodeći računa o najvišim sigurnosnim standardima.

Europski parlament i vijeće usvojili su Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor (Dora), koja se počinje primjenjivati od 17. siječnja 2025. godine na financijski sektor, ali i na treće strane, pružatelje usluga vezanih uz informacijsku i komunikacijsku tehnologiju (ICT).

U usporedbi s NIS 2 direktivom koja propisuje mjere za visoku zajedničku razinu kibernetičke sigurnosti širom Unije za ključne i važne subjekte, Dora predstavlja lex specialis za obveznike njezine primjene i posebno će obuhvatiti financijske subjekte (banke i ostale financijske institucije), naglasio je Slaven Smojver iz Direkcije supervizije informacijskih sustava u Hrvatskoj narodnoj banci (HNB) na konferenciji Kibernetičke prijetnje i sigurnost – Defend Tech&Insur koju je u zagrebačkom hotelu Zonar organizirao Poslovni dnevnik.

Hrvatska narodna banka nadležna je za primjenu Uredbe na jedan dio financijskih institucija, prvenstveno za banke i nebankovne pružatelje platnih usluga, dok je HANFA zadužena za primjenu Uredbe na drugi dio njih, osiguravatelje, investicijska društva, itd.

Također, HNB dijeli odgovornost s Europskom središnjom bankom, odnosno s jedinstvenim nadzornim mehanizmom koji nadzire kritične velike europske, pa tako i hrvatske banke, a sudjeluje i u izradi podzakonskih akata, kao i na forumima koji će nadzirati tehnološke pružatelje usluga kritične na razini Europe, objasnio je Smojver.

Načelo proporcionalnosti
“Za banke će primjena Dore biti najmanji stres. Velike banke trebale bi imati najmanje problema s implementacijom Uredbe. Manje banke imat će malo više izazova pri implementaciji Dore. Ona se primjenjuje na sve financijske institucije, a ako govorimo o tri glavna stupa to su: banke, osiguravatelji i investicijska društva, to jest, na 30-ak različitih financijskih institucija, uključujući i pružatelje kripto usluga”, istaknuo je HNB-ov stručnjak pojasnivši da poanta neke regulative nije istjerati nekoga iz biznisa.

Dora se temelji na principu proporcionalnosti koji podrazumijeva da će institucije, ali i njihovi nadzornici trebati razmotriti “koliko dobro je dovoljno dobro” u pogledu digitalne otpornosti financijskih institucija, kazao je Smojver. “Ta Uredba postavlja temelj koji sve financijske institucije moraju zadovoljiti. Na primjer, Regulatorni tehnički standard nalaže skeniranje ranjivosti svih kritičnih resursa jednom tjedno, no koliko će taj posao biti opsežan, koje ćete alate koristiti i kako ćete osmisliti plan za rješavanje ranjivosti, ono je što ulazi u zonu proporcionalnosti koja će se na razini ‘koliko dobro je dovoljno dobro’ razlikovati za velike i male institucije”, objasnio je.

Za manje institucije postoji jednostavnija primjena Dore. “Postoje izuzetci za mikropoduzeća, i za takozvane male i jednostavne institucije, no to će se odnositi samo na neke male institucije za platni promet”, naveo je Smojver.

Sankcije za kršitelje
“Navedeno vrijedi i za Aircash jer je riječ o instituciji za elektronički novac, a i na telekome, ako će u budućnosti nastaviti pružati financijske usluge. Izuzetak su kritični pružatelji tehnoloških usluga poput Microsofta i Googlea koji će biti pod izravnim nadzorom europskih tijela, uključujući i nas. Za Doru smo u suradnji s Hanfom napravili dvije velike cjelodnevne radionice gdje smo s našim obveznicima prolazili Uredbu”, rekao je Smojver.

Za institucije koje ne uviđaju koristi pridržavanja Uredbe, u prvom redu zbog klijenata, moraju postojati i određeni mehanizmi kažnjavanja, kazao je HNB-ov stručnjak.

“Jedna grana je financijsko kažnjavanje institucije i odgovornih osoba, a druga kroz proces izdavanja dozvola članovima uprava u bankama. Ako bi netko posebno kršio Doru, izgubio bi odobrenje za rad od HNB-a. Za takvo kršenje saznat će i drugi regulatori u Europskoj uniji. Kontaktirat će nas, pa su šanse da će kršitelj ikada više biti član uprave neke financijske institucije vrlo male”, upozorio je.

Banke se digitaliziraju jer prate zahtjeve klijenata kao i da optimiziraju troškove, no moraju biti spremne uložiti u kibernetičku sigurnost, dodao je, pa se osvrnuo i na temu kontinuiteta poslovanja.

“Banke već dugo imaju obvezu oporavka usluge, a važno je da uvijek postoje alternativni načini za korištenje usluge. Ako ne radi jedan kanal, poput mobilnog, treba vidjeti rade li drugi kanali, internetsko ili poslovnica, i jesu li oni odgovarajuća alternativa”, smatra Smojver.