DORA je tu: Čo to znamená pre IT dodávateľov bánk a poisťovní

Od januára 2025 je nariadenie DORA (Digital Operational Resilience Act) v plnej platnosti. Pre banky, poisťovne a investičné spoločnosti to znamená nové povinnosti v oblasti digitálnej odolnosti. No zmeny sa netýkajú len finančných inštitúcií, priamo ovplyvňujú každého, kto im dodáva IT služby. A to nie je abstraktná hrozba do budúcnosti, to sa deje teraz.

Čo je DORA a prečo by Vás malo zaujímať

DORA je nariadenie EÚ, ktoré zavádza jednotný rámec pre riadenie ICT rizík vo finančnom sektore. Na rozdiel od predchádzajúcich smerníc sa DORA výslovne zameriava aj na tretie strany (IT dodávateľov, poskytovateľov cloudových služieb a vývojárov softvéru).

Ak vaša firma dodáva softvér banke alebo poisťovni, DORA sa Vás týka. Celkom priamo a konkrétne.

Požiadavky, ktoré sa objavujú v tendroch

1. Riadenie ICT rizík

Finančné inštitúcie musia preukázať, že ich dodávatelia majú zavedené procesy riadenia ICT rizík. V praxi to znamená, že v tendroch sa objavujú otázky typu:

• Máte zavedený ISMS (Information Security Management System)?
• Ako riešite patch management?
• Aké sú Vaše procesy pre správu zraniteľností?

2. Testovanie digitálnej odolnosti

DORA vyžaduje pravidelné testovanie odolnosti IT systémov. Dodávatelia musia byť pripravení na:

• Penetračné testovanie (vrátane TLPT – Threat-Led Penetration Testing)
• Testovanie kontinuity podnikania
• Scenáre obnovy po haváriách

3. Hlásenie incidentov

Nový režim hlásenia ICT incidentov znamená, že dodávatelia musia mať jasné procesy pre:

• Detekciu a klasifikáciu incidentov
• Eskaláciu a notifikáciu klienta v stanovených lehotách
• Poskytovanie root-cause analýz

4. Správa tretích strán

Finančné inštitúcie musia viesť register všetkých ICT dodávateľov a klasifikovať ich podľa kritickosti. Očakávajte:

• Rozšírené due diligence dotazníky
• Požiadavky na certifikácie (ISO 27001, SOC 2)
• Právo na audit Vašich systémov a procesov
• Pravidelné hodnotenie výkonnosti dodávateľa

5. Zmluvné požiadavky

DORA presne definuje, čo musia obsahovať zmluvy s ICT dodávateľmi:

• SLA s merateľnými KPI
• Exit stratégie a plány migrácie
• Povinnosti pri ukončení spolupráce

Čo to znamená pre slovenské IT firmy

Mnohé slovenské IT spoločnosti dodávajú softvér finančným inštitúciám, či už priamo alebo ako subdodávatelia väčších integrátorov. DORA zvyšuje latku pre všetkých v dodávateľskom reťazci.

Firmy, ktoré sa na DORA pripravia včas, budú mať jednoduchšie rokovania s bankami. Tie, ktoré to ignorujú, sa môžu z tendra dozvedieť, že ich ponuka nesplnila podmienky.

Ako to riešime u nás

V Rise.sk vyvíjame softvér pre klientov z regulovaných odvetví, vrátane finančného sektora. Minulý rok sme pomáhali jednému klientovi prejsť DORA compliance auditom a najväčší problém nebol technický, bola to dokumentácia procesov, ktorá existovala len v hlavách ľudí. Odvtedy máme bezpečnostnú dokumentáciu ako štandardnú súčasť každého projektu.

Ako začať

Ak dodávate IT služby finančnému sektoru a chcete sa pripraviť na DORA:

1. Zmapujte si požiadavky a identifikujte, ktoré časti DORA sa Vás týkajú
2. Zaveďte ISMS, ak ho ešte nemáte, začnite s ISO 27001
3. Pripravte dokumentáciu pre incident management, BCP, disaster recovery
4. Testujte pravidelne, penetračné testy a testy odolnosti

Potrebujete pomôcť s vývojom softvéru, ktorý spĺňa DORA požiadavky? Ozvite sa nám, vieme pomôcť s bezpečnostnou dokumentáciou aj procesmi.