V EU nyní vzniká nová legislativa, která mimo jiné stanovuje povinnost implementace kyber-bezpečnostních systémů a zavedení příslušných interních procesů pro poměrně širokou paletu soukromých i veřejných subjektů, včetně bankovnictví. Jak se na její přijetí připravují české banky?
Nová evropská směrnice nesoucí název NIS 2 zejména rozšiřuje okruh povinných subjektů, které budou muset plnit určité minimální zásady kybernetického zabezpečení. Mezi strategicky důležitá odvětví, jichž se legislativa bude týkat, patří např. energetika, zdravotnictví, doprava, vodohospodářství nebo také bankovnictví. O dopadech této směrnice na bankovní sektor diskutovali u kulatého zástupci České národní banky (ČNB), České bankovní asociace (ČBA) a Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
České banky mezi současný okruh povinných subjektů patří již nyní a jejich systémy zabezpečení jsou poměrně sofistikované a fungují spolehlivě. Vedle NIS 2 se na bankovní sektor chystá ještě další evropský právní předpis v podobě nařízení DORA. „V případě bankovnictví vedle směrnice NIS 2 přichází ještě nová evropská právní úprava v podobě nařízení DORA (nařízení o digitální provozní odolnosti), která představuje specifickou úpravu zaměřenou právě na finanční sektor. Směrnice NIS 2 je zastřešujícím právním předpisem a použije se v případě, kdy sektorová úprava nepokrývá základní povinnosti. Zejména tedy zavádění bezpečnostních opatření a hlášení kybernetických incidentů. Nařízení DORA má širší působnost na finanční sektor než NIS 2“ uvedl Martin Švéda, vedoucí regulace soukromého sektoru NÚKIB.
Dohled nad bankami z hlediska jejich kybernetického zabezpečení pak bude dle zástupce NÚKIB primárně vykonáván prostřednictvím ČNB. NÚKIB, který je obecně připraven nabídnout zejména své kapacity technického rázu, však s ČNB již několik let velmi úzce spolupracuje a provádí mimo jiné i společné kontroly. Miroslav Kotrle ze sekce dohledu nad finančním trhem ČNB pak vyzdvihl význam memoranda z května 2022, které si klade za cíl posílit společné aktivity a pokračovat také v metodické oblasti při přípravě testů kybernetické odolnosti nebo v oblasti výukových projektů či cvičení. Memorandum podle zástupců obou institucí umožní posílení spolupráce právě s ohledem na přicházející regulace NIS 2 či DORA.
„V návrhu směrnice se hovoří také o možnosti certifikace IT systémů, nicméně stále nevíme, jak tato certifikace může konkrétně vypadat. Banky si však s ohledem na bezpečnost své dodavatele informačních technologií pečlivě prověřují již dnes“, uvedl Tomáš Hládek z komise pro platební styk ČBA.
České banky jdou v tomto ohledu ostatním podnikatelským subjektům příkladem – jde totiž o peníze a jakýkoliv vážný kybernetický incident by mohl znamenat ztrátu finančních prostředků klientů nebo únik citlivých klientských dat. Nařízení NIS 2 se bude nicméně nově dotýkat tisíců tuzemských podnikatelských a veřejných subjektů, kdy řada z nich bude své systémy kybernetického zabezpečení stavět „na zelené louce“ a musejí tak počítat s poměrně významnými investicemi.
ONDŘEJ VANÁČ, spoluzakladatel portálu Cyberblog
Foto: Pixabay
Zdroj: Ondřej Vanáč
Sdílet
Hodnotit
Autor článku
