Uoči primjene Uredbe EU-a o digitalnoj operativnoj otpornosti (Uredbe DORA) Hrvatska agencija za nadzor financijskih usluga (Hanfa) provela je posebnu anketu među financijskim institucijama o njihovoj spremnosti za nadolazeću regulativu.
Naime, Uredba DORA stupa na snagu 17. siječnja 2025. godine, odnosno za šest mjeseci, a usklađuje i pojačava regulaciju upravljanja rizicima informacijske i komunikacijske tehnologije (IKT) u financijskom sektoru diljem Europske unije. U anketi su sudjelovala 52 društva iz djelokruga nadležnosti nadzora Hanfe.
Analiza pokazuje da su institucije koje su na vrijeme započele pripreme znatno napredovale u uspostavi potrebnih procesa i alata za postizanje veće digitalne otpornosti
Ključni rezultati ankete pokazuju:
1. Uprave društva preuzimaju odgovornost i rade na digitalnoj otpornosti
Prema anketnim podacima, više od 40 % društava razvilo je plan uvođenja mjera digitalne otpornosti, što garantira manji rizik od incidenata i postizanje usklađenog poslovanja kad zahtjevi Uredbe DORA stupe na snagu.
2. Uspostava zasebne funkcije kontrole IKT rizika
Ukupno 63 % društava aktivno upravlja IKT rizicima korištenjem vanjskih stručnjaka, često u okviru iste financijske grupacije, kao i angažiranjem specijaliziranih tvrtki i eksperata, dok daljnjih 20 % ima vlastite stručnjake, često u osobi / funkciji CISO (engl. Chief Information Security Officer), koje planiraju transformirati u ciljanu funkciju nadzora IKT rizika. Mali broj, uglavnom manjih društava, još nema uspostavljenu nikakvu usporedivu funkciju nadzora IKT rizika.
3. Upravljanje IKT rizicima dobavljača
Upravljanje rizicima koji se pojavljuju iz ugovaranja usluga vanjskih dobavljača za obavljanje ključnih i važnih poslovnih funkcija prepoznalo je kao jedan od tri najveća izazova podizanja digitalne otpornosti više od 50 % društava.
4. Raspoloživi stručnjaci i opseg mjera koje DORA predviđa – najveći izazovi
Kao najveći pojedinačni rizik implementacije Uredbe DORA društva navode nedostatak stručnjaka, internih resursa koji su nužni za povezivanje procesa i mjera podizanja otpornosti, a odmah slijedi izazov potpune primjene svih mjera te Uredbe. Većina ih se priprema na vrijeme, dok manji broj društava kasni
Uredba DORA
Uredba DORA, izglasana u Europskom parlamentu u prosincu 2022. godine, donosi značajne promjene u regulaciji financijskog sektora s ciljem jačanja otpornosti na kibernetičke prijetnje. Ona obuhvaća sve financijske institucije, uključujući društva za osiguranje, investicijska društva, mirovinske fondove, kao i pružatelje usluga povezanih s kriptoimovinom.
Hanfa je u suradnji s Hrvatskom narodnom bankom (HNB) organizirala nekoliko radionica i sastanaka sa sektorskim udruženjima kako bi se osigurala adekvatna priprema za primjenu DORA-e.
Predsjednik Upravnog vijeća Hanfe, dr. sc. Ante Žigman, istaknuo je važnost daljnjih napora u pripremama: „Digitalna otpornost postaje jedan od naših prioriteta u nadzoru tržišta financijskih usluga za koje smo nadležni, kao i drugdje u EU-u. Financijska su društva tradicionalno upravljala najviše operativnim i kreditnim rizicima uz brigu o dovoljnom osiguranju adekvatnosti i zaštitu kroz upravljanje raspodjelom svog kapitala. Sve do nedavno mnogi drugi aspekti osiguranja operativnih sposobnosti u slučaju IKT incidenata nisu bili jedinstveno regulirani. Stoga su se sposobnosti financijskih institucija da identificiraju, zaštite, otkriju, odgovore i oporave u slučaju incidenata IKT-a uvelike razlikovale i to DORA uz NIS2 (Network and Information Security Directive) linearno standardizira za sve. Pratit ćemo kako subjekte nadzora tako i njihove dobavljače IKT usluga.“
Doprinos stabilnosti financijskog tržišta
DORA stvara usklađen i sveobuhvatan pravni okvir koji će ojačati otpornost europskih financijskih institucija na kibernetičke prijetnje. IKT dobavljači bit će pod većim nadzorom, posebno oni koji budu klasificirani kao kritični na razini EU-a. Očekuje se da će ta Uredba značajno doprinijeti stabilnosti financijskog tržišta i povjerenju korisnika u financijske institucije.
Hanfa poziva sve financijske institucije da maksimalno iskoriste preostalo vrijeme do kraja 2024. za dovršetak procesa prilagodbe na Uredbu DORA i osiguraju svoju digitalnu otpornost u skladu s novim regulatornim zahtjevima.