Požadavky dle DORA
Rámec řízení rizik v oblasti ICT: komplexní soubor politik, postupů, protokolů a nástrojů k řízení rizik v oblasti ICT umožňující účinně minimalizovat hrozby, předcházet incidentům a řešit jejich následky včetně obnovy provozu.
Řízení, klasifikace a hlášení incidentů souvisejících s ICT: procesy směřující k včasnému odhalení incidentu, jeho klasifikaci v kontextu jeho dopadů, bezodkladnému ohlášení incidentu dozorovému orgánu a v určitých případech včetně informování uživatelů/klientů o incidentu a vhodné a účinné reakci na incident.
Testování digitální provozní odolnosti: nastavení programu pro posouzení připravenosti na zvládání provozních incidentů, identifikaci slabin, vad a nedostatků v digitální provozní odolnosti směřující k včasnému zavedení nápravných opatření. V případě vybraných významných finančních institucí je vyžadováno pravidelné externí penetrační testování.
Řízení rizik spojených s třetími stranami: zavedení strategie pro řízení rizik spojených se třetími osobami s důrazem na výběr vhodného dodavatele, postupy při změně dodavatele, omezení vendor lock-in a omezení rizika koncentrace (single point of failure). Nařízení dále stanovuje minimální požadavky na obsah smluv o poskytování ICT služeb finančním subjektům a zákaz využívání služeb tzv. kritických dodavatelů, kteří nejsou usazeni v EU (zjednodušeně se jedná o dodavatele, jejichž selhání by mohlo destabilizovat trh finančních služeb v EU).
Zajímá vás více?
Nejste si stále jisti, jak se vás kryptoregulace týká? Chcete vědět, jak přesně bude regulace aplikována na dané odvětví? Případně chcete pomoci s přípravou na compliance a s licencováním?
Kontaktujte nás na emailu info@kryptoregulace.cz
Přihlásit k newsletteru
Odesláním vašeho e-mailu souhlasíte, abychom Vám zasílali náš newsletter v souladu s těmito zásadami zpracování osobních údajů.
Partneři projektu
