Tato stránka je určena pro ICT a compliance specialisty finančních institucí podléhajících národnímu dohledu. Seznámíte se se konkrétními povinnostmi NIS2, překrýváním s DORA a praktickými kroky k dosažení souladu.
Musí dodržovat všechny licencované banky, spořitelny a úvěrové instituce registrované v České republice podléhající dohledu České národní banky. Zahrnuje univerzální banky, stavební spořitelny, družstevní záložny a další subjekty s právem podnikání v peněžitých finančních službách.
Musíte zavést a udržovat formální politiku ICT bezpečnosti a řízení rizik, která pokrývá celou infrastrukturu včetně legacy core banking systémů. Dokumentace musí obsahovat identifikaci kritických ICT služeb, mapy závislostí na třetích stranách a plán obnovy po havárii s maximální dobou obnovení (RTO) a cílem obnovy dat (RPO).
Nejméně jednou ročně musíte provést nezávislé penetrační testy a komplexní skenování zranitelností všech ICT systémů relevantních pro poskytovatele finančních služeb. Výsledky musí být zdokumentovány, kategorizovány podle závažnosti a včetněny do plánu náprav s jasně definovanými lhůtami.
Veškeré incidenty klasifikované jako významné musíte nahlásit České národní bance (NÚB) nejpozději do 24 hodin, a zároveň Národnímu úřadu pro kybernetickou bezpečnost (NÚKIB) a CSIRT.CZ. Musíte mít vnitřní kritéria pro klasifikaci incidentů, která zohledňují rozsah, dopad na dostupnost služeb a počet zasažených zákazníků.
Při delegování jakékoliv kritické ICT funkce fintech partnerům, cloud providerům nebo dalším ICT poskytovatelům musíte provést formální bezpečnostní assessment a uzavřít smlouvu obsahující explicitní klauzule o bezpečnosti, auditových právech, krizovém řešení a oznamovacích povinnostech. Musíte jedenkrát ročně ověřit, zda třetí strany stále splňují dohodnuté bezpečnostní standardy.
Pokud máte jednoho kritického ICT poskytovatele, kterého nelze bez vážného narušení činnosti vyměnit, musíte provádět zvýšený dohled, včetně přístupu regulátora k audit logu a technických prostriedkům. Musíte mít připravenou strategii diverzifikace nebo nouzové řešení pro případ selhání.
NIS2 je obecný rámec pro všechny kritické sektory; DORA je specifická regulace pro sektor finančních služeb. Pro banky podléhající ČNB se požadavky NIS2 absorbují do DORA rámce, který je přísnější. Prakticky: splnění DORA znamená automaticky splnění NIS2, ale NIS2 sama o sobě není dostatečná. Musíte se řídit DORA pokyny vydanými ESA (European Supervisory Authorities).
Incidenty klasifikované jako významné (dopadu na dostupnost nebo integritu) musíte nahlásit do 24 hodin od zjištění. Předběžné hlášení lze provést telefonicky nebo e-mailem s následným detailním reportem do 72 hodin. Zároveň musíte informovat ČNB v rámci své role jako regulovaného subjektu.
Ano, NIS2 byla implementována do českého právního řádu 18. prosince 2024 a povinnosti jsou účinné ihned. Porušení NIS2 povinností může vést k pokutám až do 10 milionů korun nebo až 2 % ročního obratu instituce (dle zákona č. 181/2014 Sb.). NÚKIB má právo nařídily opravy bez pokuty ve lhůtě, ale opakované porušení vede k penalizaci.