-
Úlohy NBS
Prehľadávať témy
- Menová politika
-
Dohľad nad finančným trhom
- Oblasti dohľadu Fintech Ochrana finančného spotrebiteľa Legislatíva Zoznam dohliadaných subjektov Registre dohľadu Dokumenty na stiahnutie
- Iné zoznamy Oznámenia a upozornenia Výroky právoplatných rozhodnutí Výroky neprávoplatných vykonateľných rozhodnutí Publikácie, údaje, prezentácie Poplatky a príspevky
- Finančná stabilita
- Bankovky a mince
- Platby
- Štatistika
- Výskum
- Legislatíva
-
Publikácie
- Analytické komentáre Analýza návrhu rozpočtu verejnej správy Analytické štúdie (Policy Briefs) Blogy NBS Čo hovoria dáta Ekonomický a menový vývoj Frankfurtské hárky Klimatická správa o nemenovopolitickom portfóliu NBS Makroprudenciálny komentár Rýchle komentáre Správa o činnosti Inovačného hubu NBS
- Správa o činnosti útvaru dohľadu nad finančným trhom Správa o finančnej stabilite Správa o vývoji trhu s krytými dlhopismi Štatistický bulletin Štrukturálne výzvy Vyhlásenie o investičnej politike Národnej banky Slovenska Výročná správa Výskumné a príležitostné štúdie (WP/OP) Letáky a iné publikácie Prihlásenie na odber notifikácií
- O národnej banke
- Informácie pre médiá
- Časté otázky
-
Pre verejnosť
Prehľadávať témy
- O národnej banke
- Vzdelávanie
- Kurzy a úrokové sadzby
- Bankovky a mince
- Platby
- Finančná stabilita
-
Dohľad nad finančným trhom
- Upozornenia NBS Zoznam dohliadaných subjektov Registre dohľadu Poplatky a iné úhrady vyžadované bankou od klienta Ako postupovať keď ste nespokojní s konaním finančnej inštitúcie
- Finančné sprostredkovanie a finančné poradenstvo Výroky právoplatných rozhodnutí Výroky neprávoplatných vykonateľných rozhodnutí Legislatíva Vybrané údaje
- Štatistika
- Legislatíva
-
Publikácie
- Analytické komentáre Analýza návrhu rozpočtu verejnej správy Blogy NBS Ekonomický a menový vývoj Frankfurtské hárky Makroprudenciálny komentár Rýchle komentáre Správa o činnosti Inovačného hubu NBS
- Správa o činnosti útvaru dohľadu nad finančným trhom Správa o finančnej stabilite Štatistický bulletin Štrukturálne výzvy Výročná správa Výskumné a príležitostné štúdie (WP/OP) Letáky a iné publikácie Prihlásenie na odber notifikácií
- Časté otázky
- Pre médiá
- Kariéra
- Kontakty
Digitálna prevádzková odolnosť (DORA)
Vzhľadom na neustále sa zvyšujúce riziká kybernetických útokov EÚ posilňuje bezpečnosť finančného trhu. V rámci tohto úsilia EÚ prijala nariadenie 2022/2554 o digitálnej prevádzkovej odolnosti finančného sektora (Digital Operational Resilience Act – DORA) ako súčasť digitálneho balíka Európskej komisie, ktorý bol predstavený v septembri 2020.
Nariadenie DORA
- harmonizuje pravidlá o IT bezpečnosti naprieč celým finančným trhom,
- popri finančnom zdraví subjektov upriamuje pozornosť aj na ich udržateľnú prevádzku v prípade, ak dôjde ku kritickému narušeniu fungovania informačno-komunikačných technológií (IKT),
- požiadavky na digitálnu prevádzkovú odolnosť rozdeľuje do piatich oblastí:
- riadenie IKT rizík,
- riadenie, klasifikácia, reporting IKT incidentov,
- testovanie digitálnej prevádzkovej odolnosti,
- riadenie IKT rizika externých poskytovateľov IKT služieb (vrátane rámca dozoru),
- zdieľanie informácií.
Uplatňovať sa bude od 17. januára 2025 a vzťahuje sa na väčšinu kategórií dohliadaných subjektov s uplatnením viacerých výnimiek a tiež princípu proporcionality.
Informácie o DORA na webstránkach Európskych orgánov dohľadu
Aktuality
- 20.12.2024 Zverejnenie informácií k nahlasovaniu závažných IKT incidentov a dobrovoľnému oznamovaniu významných kybernetických hrozieb (nižšie na tejto stránke)
- 20.12.2024 Zverejnenie XLSX vzoru na účely nahlasovania závažných IKT incidentov a na účely dobrovoľného oznamovania významných kybernetických hrozieb
- 11.12.2024 DORA workshop k druhému balíku level 2 regulácie
- 04.12.2024 Zverejnenie stanoviska ESAs k aplikácii DORA
- 15.11.2024 Zverejnenie časového rámca pre zber informácií na určenie kritických poskytovateľov IKT služieb podľa nariadenia DORA. K zberu 18.12.2024 organizujú ESAsy spoločný online workshop, registrácia je možná do 16.12.2024 na tomto odkaze
- 15.10.2024 Zverejnenie stanoviska EBA, ESMA a EIOPA k zamietnutiu ITS o registri informácií zo strany Európskej komisie a návrhov ďalších zmien tohto ITS
- 17.07.2024 Zverejnenie druhého balíka finálnych návrhov vykonávacích predpisov na webstránkach EBA, ESMA a EIOPA
- 19.06.2024 DORA workshop k prvému balíku level 2 regulácie
- 31.05.2024 Zverejnenie materiálov a nástrojov k dobrovoľnému cvičeniu na zhromažďovanie registrov informácií na stránkach EBA, ESMA a EIOPA
- 30.04.2024 Spoločný EBA, ESMA, EIOPA online workshop k dobrovoľnému cvičeniu na zhromažďovanie registrov informácií
- 18.04.2024 Spustenie verejnej konzultácie k RTS o JET tímoch (Joint Examination Teams) na EBA, ESMA a EIOPA
- 04.03.2024 Ukončenie verejnej konzultácie k druhému balíku vykonávacích predpisov
- 23.01.2024 Verejné vypočutie k druhému balíku vykonávacích predpisov
- 17.01.2024 Zverejnenie prvého balíka finálnych návrhov vykonávacích predpisov na webstránkach EBA, ESMA a EIOPA
Legislatíva
DORA rámec je tvorený samotným nariadením DORA, k nemu prislúchajúcimi vykonávacími predpismi a pozmeňujúcou smernicou Európskeho parlamentu a Rady (EÚ) 2022/2556.
Vykonávacie predpisy, vrátane prislúchajúcich usmernení, sa postupne pripravujú a zverejňujú, a to v dvoch balíkoch.
Prvý balík predpisov európske orgány dohľadu predložili Komisii 17. januára 2024. Týka sa finálnych návrhov, ktoré upravujú oblasti:
- rámec riadenia IKT rizík (vrátane zjednodušeného rámca riadenia rizík),
- kritériá pre klasifikáciu IKT incidentov,
- vzory tabuliek pre register informácií (o externých poskytovateľoch IKT služieb),
- politika ohľadom IKT služieb od externých poskytovateľov.
Druhý balík predpisov predložili európske orgány dohľadu Komisii 17. júla 2024. Týka sa návrhov, ktoré upravujú oblasti:
- reporting závažných IKT incidentov vrátane vzorov tabuliek,
- odhad celkových nákladov/strát zapríčinených závažnými IKT incidentami,
- penetračné testovanie na základe konkrétnej hrozby (Threat-Led Penetration Testing – TLPT),
- špecifikovanie sub-contractingu kritických alebo dôležitých funkcií,
- spolupráca medzi európskymi orgánmi dohľadu a národnými autoritami pri výkone dozoru nad kritickými externými poskytovateľmi IKT služieb,
- kritériá na určenie kritických externých poskytovateľov IKT služieb,
- poplatky za dozor nad kritickými externými poskytovateľmi IKT služieb.
Informácie k nahlasovaniu závažných IKT incidentov a dobrovoľnému oznamovaniu významných kybernetických hrozieb
Od 17.1.2025 finančné subjekty v pôsobnosti nariadenia DORA nahlasujú NBS závažné IKT incidenty a dobrovoľne oznamujú významné kybernetické hrozby.
Finančné subjekty pri určovaní závažnosti IKT incidentu a významnosti kybernetickej hrozby postupujú v zmysle kritérií a prahových hodnôt určených Delegovaným nariadením Komisie (EÚ) 2024/1772. Obsah a lehoty hlásení, ako aj štandardné formuláre, vzory a postupy stanovujú regulačné technické predpisy a vykonávacie technické predpisy (finálny návrh).
Hlásenia podľa nasledovných vzorov sa predkladajú elektronicky prostredníctvom informačného systému Štatistický zberový portál formou voľnej prílohy k výkazu s kódom „dor_01“:
DORA Incident reporting Template V1.2.xlsx
127.95 kBDORA significant cyber threats Template V1.2.xlsx
65.68 kBFinančné subjekty, ktoré sú súčasne prevádzkovateľom základnej služby podľa zákona o kybernetickej bezpečnosti, budú hlásiť závažné IKT incidenty od 17.1.2025 podľa nariadenia DORA do NBS. Zároveň dávame do pozornosti, že týmto subjektom vyplývajú povinnosti zo zákona o kybernetickej bezpečnosti, ktorého novela je účinná už od 1.1.2025.
Aby sa predišlo dvojitému vykazovaniu, prepojenie systémov NBS a NBÚ od 17.1.2025 zabezpečí vytvorenie hlásenia kybernetického bezpečnostného incidentu v JISKB NBÚ na základe údajov z hlásenia zaslaného do NBS cez Štatistický zberový portál.
Často kladené otázky (Q&A)
-
V prípade výskytu bezpečnostného incidentu, musí byť incident nahlásený bezodkladne ako sa o ňom spoločnosť dozvie, alebo bude nejaká lehota na odstránenie. Povedzme napr. dôjde k bezpečnostnému incidentu, ktorý je možné odstrániť jednoduchým zásahom do systému. Bude nutné hlásiť aj tieto incidenty?
Finančné subjekty zaznamenávajú všetky IKT incidenty (a významné kybernetické hrozby), klasifikujú ich na základe kritérií a thresholdov, a do NBS reportujú závažné IKT incidenty (a na dobrovoľnej báze významné kybernetické hrozby). Pokiaľ incident spĺňa klasifikačné kritériá, finančný subjekt ho nahlasuje do NBS.
Finančný subjekt reportuje závažný IKT incident v stanovených lehotách aj v prípade následného rýchleho odstránenia. V takomto prípade by finančný subjekt mohol všetky tri hlásenia poslať naraz, prípadne ak by medzičasom dospel k názoru, že incident nespĺňal klasifikačné kritériá, vyreportuje tzv. reklasifikáciu zo závažného incidentu na nezávažný.
-
Aké náležitosti majú obsahovať zmluvy medzi finančnými subjektami a externými poskytovateľmi IKT služieb, aby napĺňali požiadavky DORA?
Náležitosti zmlúv medzi finančnými subjektami a externými poskytovateľmi IKT služieb sú obsiahnuté v čl. 30 ods. 2 nariadenia DORA. Dodatočné požiadavky na zmluvy o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie uvádza čl. 30 ods. 3 nariadenia DORA a tiež dva predpisy k tomuto nariadeniu:
- Delegované nariadenie Komisie (EÚ) 2024/1773, ktorým sa dopĺňa nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554, pokiaľ ide o regulačné technické predpisy, ktorými sa bližšie spresňuje podrobný obsah politiky v súvislosti so zmluvnými dojednaniami o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie a poskytovaných externými poskytovateľmi IKT služieb
- RTS k subdodávateľským sieťam – tento predpis zatiaľ nebol zverejnený vo Vestníku a jeho zverejnenie sa očakáva koncom februára 2025. Po zverejnení delegovaného nariadenia vo Vestníku budeme túto odpoveď aktualizovať
Indikatívne uvádzame, čo by mali zmluvy o IKT službách obsahovať:
- jasný a úplny opis všetkých funkcií a služieb, ktoré má externý poskytovateľ IKT služieb poskytovať (aj či sa povoľujú subdodávatelia + za akých podmienok)
- kde má dochádzať k poskytovaniu služieb (poskytovanie služby, spracovávanie a uchovávanie údajov)
- ochrana údajov a osobných údajov
- prístup k údajom (aj v prípade ukončenia zmluvy)
- opis úrovne poskytovaných služieb (aj aktualizácie a revízie)
- podpora od dodávateľov IKT služieb pre finančný subjekt bez dodatočných nákladov (alebo stanovených ex-ante) v prípade IKT incidentu
- povinnosť dodávateľa IKT služieb spolupracovať s orgánmi dohľadu a NRA/SRB (vrátane nimi určených osôb)
- právo ukončiť zmluvný vzťah (+ podmienky, výpovedná lehota)
- podmienky účasti poskytovateľov IKT služieb na zvyšovaní informovanosti finančného subjektu o IT bezpečnosti a digitálnej prevádzkovej odolnosti
Indikatívne tiež uvádzame, čo by mali obsahovať zmluvy o IKT službách podporujúcich kritické alebo dôležité funkcie:
- úplný opis úrovne služieb + aktualizácie a revízie (+ presné kvantitatívne a kvalitatívne výkonnostné ciele) – aby finančný subjekt mohol monitorovať kvalitu poskytovania služieb
- výpovedné lehoty a nahlasovacie povinnosti externého poskytovateľa IKT služieb voči finančnému subjektu
- požiadavky na externého poskytovateľa IKT služieb na vykonávanie a testovanie obchodných krízových plánov, zavedenie bezpečnostných opatrení, nástrojov a politík
- povinnosť účasti externého poskytovateľa IKT služieb na TLPT testovaní finančného subjektuprávo
- priebežne monitorovať výkonnosť externého poskytovateľa IKT služieb
- neobmedzené právo na prístup, inšpekciu, audit (finančný subjekt, iná strana, kompetentná autorita)
- povinnosť spolupráce externého poskytovateľa IKT služieb na inšpekcii, audite – zo strany orgánu dohľadu alebo inej strany
- stratégie ukončovania angažovanosti – primerané prechodné obdobie
- počas ktorého ešte externý poskytovateľ IKT služieb bude poskytovať služby
- ktoré umožní finančnému subjektu prejsť k inému externému poskytovateľovi IKT
Delegované nariadenia 2024/1773 k politike v súvislosti so zmluvnými dojednaniami o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie a poskytovaných externými poskytovateľmi IKT služieb obsahuje najmä:
- úprava zmluvného vzťahu medzi finančnou entitou a externým poskytovateľom IKT služby
- aby bolo možné nad externým poskytovateľom IKT služby vykonávať účinnú kontrolu (najmä zo strany finančnej entity, orgánu dohľadu, nezávislého auditu)
- aké všetky kroky má finančná entita vykonať vo vzťahu k externým poskytovateľom IKT služby
- pred vstupom do zmluvy, počas trvania zmluvy, pri ukončovaní zmluvy
- proces výberu, požiadavky na externých poskytovateľov IKT služieb, náležitosti zmlúv, exit plány
- politika má byť súčasťou stratégie pre externé IKT riziko – ako súčasť rámca pre riadenie IKT rizík
RTS k subdodávateľským sieťam obsahuje najmä:
- požiadavky na zmluvy pre subdodávateľské siete
- čo má finančná entita posudzovať pred vstupom do zmluvy s externým poskytovateľom IKT služby
- za akých podmienok môže byť dodanie služieb podporujúcich kritické alebo dôležité funkcie zabezpečené subdodávateľsky
- ako a kedy prijímať materiálne zmeny v zmluvách podporujúcich kritické alebo dôležité funkcie
- ukončenie zmluvy zo strany finančnej entity
-
Je možné v rámci skupiny dohodnúť, že register bude viesť iba jedna spoločnosť za všetky? T.j. jedna spoločnosť zo skupiny by viedla register aj za sesterskú spoločnosť zo skupiny?
Na základe čl. 28 ods. 3 si finančné subjekty ako súčasť svojho rámca riadenia IKT rizika vedú a aktualizujú na úrovni subjektu, ako aj na subkonsolidovanej a konsolidovanej úrovni register informácií v súvislosti so všetkými zmluvnými dojednaniami o využívaní IKT služieb poskytovaných externými poskytovateľmi IKT služieb. Vykonávacie technické predpisy
o štandardných vzoroch na účely registra informácií obsahujú minimálny zoznam informácií, ktoré sa majú viesť o zmluvných dojednaniach, usporiadaných do tabuliek. V tabuľke RT.01.01 sa má identifikovať subjekt, ktorý vedie register v mene subjektov uvedených v tabuľke RT.01.02. Na základe atribútu RT.01.01.0040 Type of entity, subjekt, ktorý vedie register môže byť finančný aj nefinančný subjekt. Z tohto vyplýva, že áno, je možné, že v rámci skupiny bude viesť register iba jedna spoločnosť.
-
RT.07.01. – nahraditeľnosť TPP v prípade zmluvy vnútri skupiny – tj. zmluva fin. subjekt – intra group provider? Príde nám, že komplexita zmluvy fin. entita – intra group provider všeobcne je veľmi veľká (táto zmluva pokrýva dodávku všetkých IKT služieb pre všetky funkcie danej fin. entity).
Atribút nahraditeľnosti poskytovateľa IKT služby obsahuje rôzne možnosti vrátane „Highly complex subsitutability“. Je na príslušnej finančnej entite ako ohodnotí vnútro skupinových poskytovateľov IKT služieb.
-
Výdavky na TPP nemajú (na rozdiel od výdavkov na zmluvu) explicitne uvedené, že sú za predchádzajúci rok. Správne predpokladáme, že výdavky na dodávateľa sú súčtom výdavkov na zmluvy s nimi, tj. výdavky na dodávateľa budú tiež za predchádzajúci rok? (pokiaľ nebudú odhadované náklady)
Náklady RT.02.01.0050 na úrovni zmluvy naozaj uvádzajú podľa popisu, že sa jedná o pohľad za predchádzajúci rok pričom náklady RT.05.01.0070 na úrovni poskytovateľa IKT služby takýto rozmer neuvádzajú. Domnievame sa však, že sa jedná o jeden a ten istý pohľad na náklady len z dvoch uhlov a to z uhla pohľadu zmluvy a z uhľa pohľadu poskytovateľa IKT služby.