-
Úlohy NBS
Prehľadávať témy
- Menová politika
-
Dohľad nad finančným trhom
- Oblasti dohľadu Fintech Ochrana finančného spotrebiteľa Legislatíva Zoznam dohliadaných subjektov Registre dohľadu Dokumenty na stiahnutie
- Iné zoznamy Oznámenia a upozornenia Výroky právoplatných rozhodnutí Výroky neprávoplatných vykonateľných rozhodnutí Publikácie, údaje, prezentácie Poplatky a príspevky
- Finančná stabilita
- Bankovky a mince
- Platby
- Štatistika
- Výskum
- Legislatíva
-
Publikácie
- Analytické komentáre Analýza návrhu rozpočtu verejnej správy Analytické štúdie (Policy Briefs) Blogy NBS Čo hovoria dáta Ekonomický a menový vývoj Frankfurtské hárky Klimatická správa o nemenovopolitickom portfóliu NBS Makroprudenciálny komentár Rýchle komentáre Správa o činnosti Inovačného hubu NBS
- Správa o činnosti útvaru dohľadu nad finančným trhom Správa o finančnej stabilite Správa o vývoji trhu s krytými dlhopismi Štatistický bulletin Štrukturálne výzvy Vyhlásenie o investičnej politike Národnej banky Slovenska Výročná správa Výskumné a príležitostné štúdie (WP/OP) Letáky a iné publikácie Prihlásenie na odber notifikácií
- O národnej banke
- Informácie pre médiá
- Časté otázky
-
Pre verejnosť
Prehľadávať témy
- O národnej banke
- Vzdelávanie
- Kurzy a úrokové sadzby
- Bankovky a mince
- Platby
- Finančná stabilita
-
Dohľad nad finančným trhom
- Upozornenia NBS Zoznam dohliadaných subjektov Registre dohľadu Poplatky a iné úhrady vyžadované bankou od klienta Ako postupovať keď ste nespokojní s konaním finančnej inštitúcie
- Finančné sprostredkovanie a finančné poradenstvo Výroky právoplatných rozhodnutí Výroky neprávoplatných vykonateľných rozhodnutí Legislatíva Vybrané údaje
- Štatistika
- Legislatíva
-
Publikácie
- Analytické komentáre Analýza návrhu rozpočtu verejnej správy Blogy NBS Ekonomický a menový vývoj Frankfurtské hárky Makroprudenciálny komentár Rýchle komentáre Správa o činnosti Inovačného hubu NBS
- Správa o činnosti útvaru dohľadu nad finančným trhom Správa o finančnej stabilite Štatistický bulletin Štrukturálne výzvy Výročná správa Výskumné a príležitostné štúdie (WP/OP) Letáky a iné publikácie Prihlásenie na odber notifikácií
- Časté otázky
- Pre médiá
- Kariéra
- Kontakty
DORA Legislatíva
DORA rámec je tvorený samotným nariadením DORA, k nemu prislúchajúcimi vykonávacími predpismi a pozmeňujúcou smernicou Európskeho parlamentu a Rady (EÚ) 2022/2556.
Vykonávacie predpisy, vrátane prislúchajúcich usmernení, sa postupne pripravujú a zverejňujú, a to v dvoch balíkoch.
Prvý balík predpisov európske orgány dohľadu predložili Komisii 17. januára 2024. Týka sa finálnych návrhov, ktoré upravujú oblasti:
- rámec riadenia IKT rizík (vrátane zjednodušeného rámca riadenia rizík),
- kritériá pre klasifikáciu IKT incidentov,
- vzory tabuliek pre register informácií (o externých poskytovateľoch IKT služieb),
- politika ohľadom IKT služieb od externých poskytovateľov.
Druhý balík predpisov predložili európske orgány dohľadu Komisii 17. júla 2024. Týka sa návrhov, ktoré upravujú oblasti:
- reporting závažných IKT incidentov vrátane vzorov tabuliek,
- odhad celkových nákladov/strát zapríčinených závažnými IKT incidentami,
- penetračné testovanie na základe konkrétnej hrozby (Threat-Led Penetration Testing – TLPT),
- špecifikovanie sub-contractingu kritických alebo dôležitých funkcií,
- spolupráca medzi európskymi orgánmi dohľadu a národnými autoritami pri výkone dozoru nad kritickými externými poskytovateľmi IKT služieb,
- kritériá na určenie kritických externých poskytovateľov IKT služieb,
- poplatky za dozor nad kritickými externými poskytovateľmi IKT služieb.
Často kladené otázky (Q&A)
-
Aké náležitosti majú obsahovať zmluvy medzi finančnými subjektami a externými poskytovateľmi IKT služieb, aby napĺňali požiadavky DORA?
Náležitosti zmlúv medzi finančnými subjektami a externými poskytovateľmi IKT služieb sú obsiahnuté v čl. 30 ods. 2 nariadenia DORA. Dodatočné požiadavky na zmluvy o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie uvádza čl. 30 ods. 3 nariadenia DORA a tiež dva predpisy k tomuto nariadeniu:
- Delegované nariadenie Komisie (EÚ) 2024/1773, ktorým sa dopĺňa nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554, pokiaľ ide o regulačné technické predpisy, ktorými sa bližšie spresňuje podrobný obsah politiky v súvislosti so zmluvnými dojednaniami o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie a poskytovaných externými poskytovateľmi IKT služieb
- RTS k subdodávateľským sieťam – tento predpis zatiaľ nebol zverejnený vo Vestníku a jeho zverejnenie sa očakáva koncom februára 2025. Po zverejnení delegovaného nariadenia vo Vestníku budeme túto odpoveď aktualizovať
Indikatívne uvádzame, čo by mali zmluvy o IKT službách obsahovať:
- jasný a úplny opis všetkých funkcií a služieb, ktoré má externý poskytovateľ IKT služieb poskytovať (aj či sa povoľujú subdodávatelia + za akých podmienok)
- kde má dochádzať k poskytovaniu služieb (poskytovanie služby, spracovávanie a uchovávanie údajov)
- ochrana údajov a osobných údajov
- prístup k údajom (aj v prípade ukončenia zmluvy)
- opis úrovne poskytovaných služieb (aj aktualizácie a revízie)
- podpora od dodávateľov IKT služieb pre finančný subjekt bez dodatočných nákladov (alebo stanovených ex-ante) v prípade IKT incidentu
- povinnosť dodávateľa IKT služieb spolupracovať s orgánmi dohľadu a NRA/SRB (vrátane nimi určených osôb)
- právo ukončiť zmluvný vzťah (+ podmienky, výpovedná lehota)
- podmienky účasti poskytovateľov IKT služieb na zvyšovaní informovanosti finančného subjektu o IT bezpečnosti a digitálnej prevádzkovej odolnosti
Indikatívne tiež uvádzame, čo by mali obsahovať zmluvy o IKT službách podporujúcich kritické alebo dôležité funkcie:
- úplný opis úrovne služieb + aktualizácie a revízie (+ presné kvantitatívne a kvalitatívne výkonnostné ciele) – aby finančný subjekt mohol monitorovať kvalitu poskytovania služieb
- výpovedné lehoty a nahlasovacie povinnosti externého poskytovateľa IKT služieb voči finančnému subjektu
- požiadavky na externého poskytovateľa IKT služieb na vykonávanie a testovanie obchodných krízových plánov, zavedenie bezpečnostných opatrení, nástrojov a politík
- povinnosť účasti externého poskytovateľa IKT služieb na TLPT testovaní finančného subjektuprávo
- priebežne monitorovať výkonnosť externého poskytovateľa IKT služieb
- neobmedzené právo na prístup, inšpekciu, audit (finančný subjekt, iná strana, kompetentná autorita)
- povinnosť spolupráce externého poskytovateľa IKT služieb na inšpekcii, audite – zo strany orgánu dohľadu alebo inej strany
- stratégie ukončovania angažovanosti – primerané prechodné obdobie
- počas ktorého ešte externý poskytovateľ IKT služieb bude poskytovať služby
- ktoré umožní finančnému subjektu prejsť k inému externému poskytovateľovi IKT
Delegované nariadenia 2024/1773 k politike v súvislosti so zmluvnými dojednaniami o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie a poskytovaných externými poskytovateľmi IKT služieb obsahuje najmä:
- úprava zmluvného vzťahu medzi finančnou entitou a externým poskytovateľom IKT služby
- aby bolo možné nad externým poskytovateľom IKT služby vykonávať účinnú kontrolu (najmä zo strany finančnej entity, orgánu dohľadu, nezávislého auditu)
- aké všetky kroky má finančná entita vykonať vo vzťahu k externým poskytovateľom IKT služby
- pred vstupom do zmluvy, počas trvania zmluvy, pri ukončovaní zmluvy
- proces výberu, požiadavky na externých poskytovateľov IKT služieb, náležitosti zmlúv, exit plány
- politika má byť súčasťou stratégie pre externé IKT riziko – ako súčasť rámca pre riadenie IKT rizík
RTS k subdodávateľským sieťam obsahuje najmä:
- požiadavky na zmluvy pre subdodávateľské siete
- čo má finančná entita posudzovať pred vstupom do zmluvy s externým poskytovateľom IKT služby
- za akých podmienok môže byť dodanie služieb podporujúcich kritické alebo dôležité funkcie zabezpečené subdodávateľsky
- ako a kedy prijímať materiálne zmeny v zmluvách podporujúcich kritické alebo dôležité funkcie
- ukončenie zmluvy zo strany finančnej entity
-
Pokiaľ sú finančné služby poskytované prostredníctvom systémov IKT, mali by sa považovať za IKT služby v zmysle článku 3(21) nariadenia DORA?
Finančné služby môžu zahŕňať poskytovanie aj služieb IKT. V prípade, že finančné subjekty poskytujú služby IKT iným finančným subjektom v súvislosti so svojimi finančnými službami, prijímajúce finančné subjekty by mali posúdiť, či
- služby predstavujú službu IKT podľa DORA a
- či sú poskytujúce finančné subjekty a nimi poskytované finančné služby regulované právom Únie alebo akýmkoľvek vnútroštátnym právnym predpisom členského štátu alebo tretej krajiny.
Ak sú obe podmienky splnené, daná súvisiaca služba IKT by sa mala považovať prevažne za finančnú službu a nemala by sa posudzovať ako služba IKT v zmysle článku 3(21) nariadenia DORA.
V prípade, že službu poskytuje regulovaný finančný subjekt poskytujúci regulované finančné služby, ale služba s týmito regulovanými finančnými službami nesúvisí alebo je od nich nezávislá, mala by sa táto služba považovať za službu IKT podľa článku 3(21) nariadenia DORA.
Rovnaká logika sa uplatňuje aj na pomocné služby poskytované subjektom, a to v závislosti od toho, či sú tieto pomocné služby regulovanými finančnými službami alebo službou neoddeliteľnou, neodmysliteľnou, prípravnou alebo nevyhnutnou pre poskytovanie regulovanej finančnej služby, a nie sú poskytované samostatne.
-
Je predpísané konkrétne školenie, ktoré by mal štatutár absolvovať?
Hoci nariadenie DORA nepredpisuje konkrétne školenia, je dôležité, aby štatutári absolvovali školenia, ktoré pokrývajú oblasť IT/kybernetickej bezpečnosti. Tým sa zabezpečí, že sú dostatočne informovaní a schopní vykonávať svoje povinnosti v súlade s požiadavkami DORA.
-
Čo konkrétne znamená „IT background“?
Nariadenie DORA stanovuje(čl. 5 ods. 4), že každá finančná inštitúcia musí zabezpečiť, aby osoby zodpovedné za riadenie IKT rizík mali primerané odborné znalosti a skúsenosti – IT background. Tieto osoby musia byť schopné efektívne identifikovať, hodnotiť, riadiť a zmierňovať riziká spojené s informačnými a komunikačnými technológiami, preto orgán dohľadu bude posudzovať (so zachovaním princípu proporcionality) úroveň a zameranie ich dosiahnutého vzdelania (stredoškolské/vysokoškolské) v oblasti IT, pozerať na získané certifikácie v oblasti IT bezpečnosti ako napr. Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), alebo Certified Information Systems Security Professional (CISSP) a hodnotiť školenia, ktoré pravidelne absolvovujú.
-
Akú formu má mať Stratégia digitálnej prevádzkovej odolnosti?
Podľa DORA je stratégia digitálnej prevádzkovej odolnosti definovaná v čl.6 ods.8 a podľa tohto ustanovenia je finančný subjekt povinný mať ju vypracovanú v internom dokumente obsahovo spĺňajúcom požiadavky (prvky) uvedené v tomto ustanovení.
-
Akú formu a rozsah by mala mať úroveň tolerancie rizika, ktorú si je každá finančná entita povinná stanoviť?
Povinnosť stanoviť si úroveň tolerancie rizika je uvedená v DORA čl.6 ods.8. písm.b), pričom sa nepredpisuje jej forma, obsah a ani rozsah. Stanovenie urovne tolerancie rizika si finančné subjekty definuju sami podla vlastneho uvazenia.NBS následne dohľadmi preverí jej adekvátnosť vo vzťahu k informačným aktívam, resp. rizikovému profilu daného finančného subjektu.
-
Bude stačiť, ak člen predstavenstva má vysokú školu technického smeru? Prípadne bude nejaké preskúšanie pri kontrole?
Nariadenie DORA nešpecifikuje presné vzdelanie alebo certifikácie, ktoré by členovia predstavenstva museli mať, ani konkrétne procesy na preskúšanie ich vedomostí počas kontrol. Napriek tomu bude NBS pozerať na splnenie požiadavky mať absolvované adekvátne pravidelné školenia (napr. školnie v oblasti kybernetickej bezpečnosti) všetkými členmi riadiaceho orgánu s ohľadom na ich dosiahnuté vzdelanie a získané certifikácie.
-
Je požiadavka na audit IKT RMF postavená na pravidelnej alebo ročnej báze?
Nariadenie DORA rozlišuje medzi preskúmavaním IKT RMF a auditom. Preskúmavanie (čl. 6 ods. 5) sa má diať aspoň raz ročne alebo pravidelne v prípade mikropodnikov, a tiež pri výskyte závažných IKT incidentov. O preskúmaní IKT RMF je subjekt povinný vypracovať správu (jej súčasťou sú aj výsledky interného auditu podľa čl. 6 ods. 6). Audit (čl. 6 ods. 6) sa týka len iných subjektov ako mikrpodnikov, pričom sa má diať pravidelne, a to v súlade s audit plánom finančného subjektu.