Financijski sektor sve više ovisi o tehnologiji i tehnološkim tvrtkama kada je riječ o pružanju financijskih usluga. To čini financijske subjekte ranjivima na kibernetičke napade ili incidente. Ako se njima ne upravlja pravilno, IKT rizici mogu dovesti do poremećaja financijskih usluga koje se nude u zemlji ili istodobno i preko granica unutarnjeg tržišta EU-a.
To zauzvrat može utjecati na druga poduzeća, sektore, pa čak i na ostatak gospodarstva, što naglašava važnost digitalne operativne otpornosti financijskog sektora.
Stoga sada imamo Uredbu o digitalnoj operativnoj otpornosti – DORA-u.
DORA se sastoji od nekoliko važnih segmenata:
- upravljanje IKT rizicima
- upravljanje rizicima pružatelja IKT usluga
- testiranje digitalne operativne otpornosti
- razmjena informacija
- prijava i obrada IKT incidenata
- nadzor ključnih pružatelja IKT usluga.
Posebna pozornost u DORA-i posvećena je području IKT rizika koji dolaze iz same strukture poslovnih odnosa, u kojem vanjske IKT tvrtke financijskim poduzećima pružaju usluge za njihove važne i ključne poslovne procese.
Pritom pružatelji IKT usluga koji su zastupljeni u velikom broju financijskih subjekata stoga postaju i sami ključni – zbog činjenice da o njihovim uslugama ovisi velik broj važnih i ponekad sistemski značajnih financijskih subjekata, kao i drugih subjekata u ekonomskom sustavu zemlje i EU-a.
Kako se određuju ključni pružatelji IKT usluga
DORA stvara nadzorni okvir za kontinuirano praćenje aktivnosti pružatelja usluga informacijske i komunikacijske tehnologije koji su ključni vanjski pružatelji tih IKT usluga za financijska poduzeća (engl. critical third party providers – CTPPs). To je nova i značajna reakcija nadzornog mehanizma EU-a na povećani outsourcing u području IKT-a i koncentraciju ovisnosti o pružateljima IKT usluga.
Ključne treće strane pružatelji IKT usluga
Treće strane pružatelji IKT usluga klasificiraju se kao ključne od strane Europskih nadzornih tijela (engl. European Supervisory Authorities – ESAs) na temelju propisanih kriterija, koji se pak temelje na registrima informacija koje su pripremila financijska poduzeća. I sami pružatelji IKT usluga mogu podnijeti zahtjev za preispitivanje svojeg označavanja kao ključnih te ući u nadzorni okvir.
Glavno nadzorno tijelo
Ovisno o opsegu korištenja ključnih pružatelja IKT usluga od strane odgovarajućih nadziranih financijskih poduzeća, mjereno u smislu njihove ukupne imovine, Europsko nadzorno tijelo za bankarstvo (EBA), Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje (EIOPA) ili Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala (ESMA) djeluje kao glavno nadzorno tijelo. Glavno nadzorno tijelo potom provodi praćenje ključnih pružatelja IKT usluga koji su mu dodijeljeni te naplaćuje naknade za nadzor ključnim pružateljima IKT usluga kako bi pokrilo troškove koji proizlaze iz nadzornog okvira. Glavno nadzorno tijelo procjenjuje upravljanje IKT rizicima pružatelja usluga.
Za obavljanje te dužnosti ima ovlasti tražiti informacije, provoditi opće istrage i izravni inspekcijski nadzor, davati preporuke i tražiti informacije o mjerama koje su na temelju takvih preporuka poduzeli pružatelji IKT usluga. Glavnim nadzornim tijelima u provođenju njihovih aktivnosti pomažu zajednički timovi za provjeru (engl. joint examination team), u kojima rade i zaposlenici nacionalnih nadležnih tijela, kao npr. Hanfe i HNB-a. Koordinacija između glavnih nadzornih tijela odvija se u Zajedničkoj nadzornoj mreži.
Zasad je osnovan Nadzorni forum, kao pododbor Zajedničkog odbora triju Europskih nadzornih tijela, čiji su članovi i predstavnici nadležnih tijela iz svake države članice, pa tako i Hanfe u ime RH, koja je za prvo dvogodišnje razdoblje imenovala člana, i HNB-a, koji je imenovao promatrača. Predstavnici su dužni pomagati i savjetovati u pogledu aktivnosti Zajedničkog odbora Europskih nadzornih tijela, uključujući pripremu imenovanja i imenovanja ključnih pružatelja IKT usluga, pripremu nacrta zajedničkih stajališta i nacrta zajedničkih akata Zajedničkog odbora te godišnju procjenu aktivnosti praćenja ili promicanje koordinacijskih mjera za povećanje digitalne operativne otpornosti financijskih poduzeća.
Često postavljana pitanja
Q: Gdje se može provjeriti tko su ključni pružatelji IKT usluga?
A: Putem Zajedničkog odbora Europska nadzorna tijela (ESAs) godišnje uspostavljaju, objavljuju i ažuriraju popis ključnih pružatelja IKT usluga na razini Unije (članak 31. stavak 9. DORA-e). Osim toga, treće strane pružatelji IKT usluga obavještavaju financijska poduzeća za koja obavljaju usluge o tome da su imenovane kao ključne (članak 31. stavak 5. DORA-e).
Q: Kako se određuje koje će IKT tvrtke biti imenovane kao ključne?
A: Ključne treće strane pružatelji IKT usluga određuju se na temelju registra informacija i kriterija koje su propisala Europska nadzorna tijela tijekom druge polovice 2025. godine. Treće strane pružatelji IKT usluga također imaju mogućnost podnijeti zahtjev za preispitivanje svoje ključnosti.
Q: Jesu li pružatelji usluga u oblaku (engl. cloud providers) u obuhvatu nadzornog okvira?
A: Nadzorni okvir primjenjuje se na sve pružatelje IKT usluga, a time i na pružatelje usluga u oblaku, pod uvjetom da su identificirani i određeni kao ključni pružatelji IKT usluga (uvodna izjava br. 20. DORA-e).
Q: Kada je IKT tvrtka pod nadzorom razine EU-a, Nadzornog foruma, znači li to da financijsko poduzeće više nije odgovorno za nadzor rizika pružanja ugovorenih usluga?
A: Financijska poduzeća i dalje snose punu odgovornost za praćenje pružatelja IKT usluga. U tome ih podržava Nadzorni okvir uspostavljen u kontekstu digitalne operativne otpornosti, na primjer tako što ih Hanfa obavještava o rizicima koji su utvrđeni u preporukama glavnih nadzornih tijela ključnim pružateljima IKT usluga. Financijska poduzeća potom uzimaju te rizike u obzir pri upravljanju rizikom u okviru nadzora svojih IKT dobavljača i u IKT-u općenito.
Q: Koja je razlika Nadzornog okvira u slučaju ključnih dobavljača i redovnog nadzora koji obavljaju nacionalna nadzorna tijela, kao npr. Hanfa i HNB?
A: Nadzorni okvir odnosi se isključivo na upravljanje IKT rizicima ključnih pružatelja IKT usluga i razlikuje se od nadzora financijskih poduzeća. U tom smislu jasan je članak 33. stavak 2. i 3. DORA-e.
Na primjer, za pružanje ključne IKT usluge nije potrebna licenca koju izdaje nacionalno nadzorno tijelo. Budući da licenca nije potrebna, ne može se ni oduzeti, npr. u slučaju da se preporuke glavnog nadzornog tijela koje je ono uputilo ključnom pružatelju usluga ne provedu.
