ISMS ve finančním sektoru
ISMS ve finančním sektoru
Přednáška z 17. ledna 2023. Regulatorní rámec EU pro kybernetickou bezpečnost a digitální odolnost ve finančním sektoru.
Kontext
- Digitální transformace finančního sektoru je v pokročilé fázi
- Výrazně vzrostlo kybernetické nebezpečí
- Řízení bezpečnosti a budování povědomí zaostává
- Řešení: řízení bezpečnosti začíná ve vrcholovém vedení — firmy budou více právně odpovědné
DORA — Digital Operational Resilience Act
Nařízení EU č. 2022/2554 o digitální provozní odolnosti finančního sektoru. Platnost od 16. 1. 2023.
4 pilíře DORA
| Pilíř | Obsah |
|---|---|
| Řízení IKT rizik | Identifikace, ochrana, prevence, detekce, reakce, školení, komunikace |
| Hlášení IKT incidentů | Konsolidace stávajících požadavků, harmonizace procesních pravidel |
| Testování digitální odolnosti | Testování IKT nástrojů a systémů; TLPT pro významné subjekty |
| Řízení rizik třetích stran | Posílení rámce, monitoring dodavatelů vč. cloudových služeb |
6 oblastí opatření (čl. 4–40)
- Požadavky na správu a řízení (čl. 4)
- Řízení rizik v ICT (čl. 5–14)
- Hlášení incidentů (čl. 15–20)
- Testování digitální odolnosti (čl. 21–24)
- Rizika třetích stran (čl. 25–39)
- Sdílení informací (čl. 40)
Klíčové definice
- Digitální provozní odolnost — schopnost finančního subjektu budovat, zajišťovat a revidovat provozní integritu z technologického hlediska
- Rámec pro řízení rizik — strategie, politiky, postupy, protokoly a nástroje IKT pro ochranu fyzických komponent a infrastruktur
- TLPT — Threat-Led Penetration Testing (penetrační testování na základě hrozeb)
- TPRM — Third Party Risk Management
MiCA — Markets in Crypto-Assets
Nařízení EU o trzích s kryptoaktivy. Vytváří regulatorní rámec podporující inovace, využívající potenciál kryptoaktiv, zachovávající finanční stabilitu a chránící investory.
Klíčové pojmy
- Kryptoaktivum — digitální zachycení hodnoty nebo práv, převoditelné a uložitelné elektronicky pomocí DLT
- Bílá kniha (whitepaper) — dokument s informacemi o vydavateli, projektu, kapitálu, právech a povinnostech
DLT — Distributed Ledger Technology
Technologie sdíleného/distribuovaného registru. Pilotní režim EU pro tržní infrastruktury na DLT.
- DLT = konsenzuálně sdílená databáze s validací transakcí
- Decentralizace a distribuce mezi uživateli (peer-to-peer)
- Blockchain je podmnožinou DLT (ne naopak)
- Pilotní režim: testování infrastruktury pro obchodování s finančními nástroji na DLT
- Spolupráce s ESMA (Evropský orgán pro cenné papíry a trhy)
Komplexní regulatorní balíček EU
DORA + MiCA + DLT = balíček regulace digitálních financí
- DORA → provozní odolnost a kybernetická bezpečnost
- MiCA → regulace kryptoaktiv
- DLT → pilotní tržní infrastruktury
Propojení s dalšími tématy
- ISMS — DORA jako sektorový regulační rámec
- Řízení rizik — řízení IKT rizik jako jádro DORA
- BCM — digitální provozní odolnost = kontinuita
- Kybernetická bezpečnost — hlášení incidentů, testování
Zdroj v kurzu ImorK
- Přednáška 2005 — ISMS ve finančním sektoru (2023)