Finanční instituce v EU nyní čelí jasným pravidlům pro vedení registru informací o ICT službách podle nařízení DORA. Nové Q&A od EBA upřesňují, kdo musí být zaznamenán, jak vyplnit klíčové pole refPeriod a jak správně posuzovat subdodavatele. Správná implementace chrání před sankcemi a zajišťuje kompletní přehled kritických ICT služeb.
Co a koho zapisovat do registru?
Podle článku 28 odstavce 3 DORA nemusí finanční instituce uvádět do registru ICT subdodavatele ne-ICT poskytovatelů. Pokud tedy dodavatel přímo neposkytuje ICT služby, jeho subdodavatelé jsou mimo rámec registru. To znamená, že banka nebo investiční společnost nemusí evidovat desítky drobných ICT dodavatelů, pokud jejich práce nesouvisí s kritickými funkcemi.
Přesto je nutné zachovat hodnocení rizik. Pokud subdodavatel fakticky podporuje kritickou nebo důležitou funkci, vztahují se na něj požadavky kapitoly V nařízení DORA.
Nová Q&A rovněž potvrzují, že všechny finanční subjekty – včetně těch vyňatých podle článku 16 DORA – musí vést registr. Rozsah opatření se řídí principem proporcionality: mikropodniky a malé a střední podniky (SME) mají méně administrativních povinností, ale registr je povinný i pro ně.
Klíčové datum pro reporting
Pole refPeriod v souboru parameters.csv je klíčové pro správné vykázání dat do registru.
- Pro registry vykazované v roce 2025 je referenční datum 31. březen 2025.
- Od roku 2026 je referenční datum vždy 31. prosinec předcházejícího roku.
Tip pro praxi: Udržujte systém automatizovaného připomenutí a kontroly exportovaných dat, abyste předešli nesprávnému vyplnění a případným nedostatkům při auditu.
Seznam služeb a standardy
Příloha III prováděcích technických standardů (ITS) stanovuje typy ICT služeb, které se mají uvádět. Tento seznam je dostatečně obecný a pokrývá většinu služeb, ale nelze do něj uvádět jiné typy, které v příloze nejsou. Finanční subjekt, který poskytuje služby spadající do těchto kategorií, se může považovat za poskytovatele ICT služeb.
Článek 28 odstavce 5 DORA vyžaduje, aby smlouvy s ICT dodavateli byly uzavírány pouze s těmi, kteří splňují vhodné standardy informační bezpečnosti. EBA upřesnila, že tyto standardy představují aktuálně nejlepší průmyslové postupy a je nutné je posuzovat v době uzavírání smlouvy. To v praxi znamená, že finanční instituce musí sledovat vývoj standardů a pravidelně aktualizovat smlouvy i procesy řízení rizik.
Dopady a rizika nedodržení pravidel
Co se stane, když subdodavatel kritické služby není uveden v registru? Instituce riskuje, že regulátor vyhodnotí neúplné vedení registru jako porušení DORA, což může vést k sankcím. Včasné a správné vedení registru s detailními záznamy o kritických ICT funkcích snižuje nejen regulační, ale i operační riziko spojené s dodavateli.
Zajímavost: I drobný IT dodavatel, který poskytuje cloudové úložiště smluvně ne-ICT firmě, může být při špatném posouzení považován za kritického ICT poskytovatele, a tedy zapojen do registru. Mapování přímého propojení se subdodavateli je proto klíčové.
Vysvětlivky
- DORA – Digital Operational Resilience Act, evropské nařízení upravující odolnost finančních institucí vůči IT a digitálním rizikům.
- EBA – European Banking Authority, Evropský orgán pro bankovnictví, který vydává pravidla a doporučení pro bankovní sektor.
- ITS – Implementing Technical Standards, prováděcí technické standardy k DORA.
refPeriod– referenční datum, ke kterému se vztahují vykazovaná data v registru informací.- Standardy informační bezpečnosti – osvědčené postupy a normy pro ochranu dat a IT systémů, které finanční instituce musí při spolupráci s ICT dodavateli respektovat.
