Europska nadzorna tijela objavila prvi set konačnih nacrta tehničkih standarda u okviru DORA-e
Tri Europska nadzorna tijela (EBA, EIOPA i ESMA – European Supervisory Authorities (ESAs)) objavila su 17. siječnja 2024. godine prvi set konačnih nacrta tehničkih standarda u okviru DORA-e usmjerenih na poboljšanje digitalne operativne otpornosti financijskog sektora EU-a jačanjem informacijske i komunikacijske tehnologije (IKT) i okvira za izvještavanje o upravljanju rizicima trećih strana i incidentima financijskih subjekata.
Konačni nacrti tehničkih standarda dostavljeni su Europskoj komisiji, koja će početi s njihovom revizijom s ciljem usvajanja prvih standarda u narednim mjesecima.
Zajednički konačni nacrti tehničkih standarda uključuju:
- Regulatorne tehničke standarde (RTS-ove) o okviru za upravljanje IKT rizicima i o pojednostavljenom okviru za upravljanje IKT rizicima
- RTS-ove o kriterijima za klasifikaciju IKT incidenata
- RTS-ove za određivanje politike o IKT uslugama kojima se podupiru ključne ili važne funkcije koje pružaju treće strane pružatelji IKT usluga (TPP) i
- Provedbene tehničke standarde (ITS-ove) za utvrđivanje predložaka za registar informacija.
RTS-ovi o okviru za upravljanje IKT rizicima i o pojednostavljenom okviru za upravljanje IKT rizicima
Nacrt RTS-ova o okviru za upravljanje IKT rizicima utvrđuje daljnje elemente povezane s upravljanjem IKT rizicima s ciljem usklađivanja alata, metoda, procesa i politika. Ti elementi nadopunjuju one utvrđene u DORA-i. RTS-ovi utvrđuju ključne elemente koje bi financijski subjekti koji podliježu pojednostavljenom režimu i koji su niže razine rizika, veličine i složenosti trebali imati, postavljajući pojednostavljeni okvir za upravljanje IKT rizicima. RTS-ovi osiguravaju da su zahtjevi za upravljanje IKT rizicima usklađeni na razini različitih financijskih sektora.
RTS-ovi o kriterijima za klasifikaciju IKT incidenata
Ovi RTS-ovi određuju kriterije za klasifikaciju velikih IKT incidenata, pristup za klasifikaciju velikih incidenata, pragove značajnosti za svaki kriterij klasifikacije, kriterije i pragove značajnosti za određivanje značajnih kiberprijetnji, kriterije za nadležna tijela za procjenu važnosti incidenata za nadležna tijela u drugim državama članicama i pojedinosti o incidentima koje treba podijeliti u tom pogledu. RTS-ovi osiguravaju usklađen i jednostavan proces klasificiranja izvješća o incidentima u cijelom financijskom sektoru.
RTS-ovi o IKT TPP politici
Ovi RTS-ovi određuju dijelove okvira aranžmana upravljanja, upravljanja rizicima i interne kontrole koje financijski subjekti trebaju imati u vezi s angažiranjem trećih strana pružatelja IKT usluga. Cilj im je osigurati da financijski subjekti zadrže kontrolu nad svojim operativnim rizicima, informacijskom sigurnosti i kontinuitetom poslovanja tijekom životnog ciklusa ugovornih aranžmana s takvim trećim stranama pružateljima IKT usluga.
ITS-ovi o registru informacija
Konačno, ITS-ovi postavljaju predloške koje financijski subjekti trebaju održavati i ažurirati u vezi sa svojim ugovornim aranžmanima s trećim stranama pružateljima IKT usluga. Registar informacija imat će ključnu ulogu u okviru za upravljanje IKT rizicima povezanim s trećim stranama financijskih subjekata i koristit će ga nadležna tijela i Europska nadležna tijela (ESAs) u kontekstu nadzora usklađenosti financijskih subjekata s DORA-om i za određivanje ključnih trećih strana pružatelja IKT usluga koji će podlijegati režimu nadzora na temelju DORA-e.
