Tri europska nadzorna tijela (EBA, EIOPA i ESMA – ESA) objavila su 17.7.2024.
drugi paket tzv. policy dokumenata prema Uredbi o digitalnoj operativnoj otpornosti (DORA).
Ovaj paket se sastoji od:
o četiri konačna nacrta regulatornih tehničkih standarda (RTS),
o jednog skupa provedbenih tehničkih standarda (ITS) i
o 2 smjernice
s ciljem poboljšanja digitalne operativne otpornosti financijskog sektora EU-a. Paket se usredotočuje na okvir izvješćivanja u vezi ICT incidenata (jasnoća izvješćivanja, predlošci) i threat-led penetration testiranja te također uvodi neke zahtjeve za dizajn okvira nadzora koji poboljšava digitalnu operativnu otpornost financijskog sektora EU-a kako bi se osiguralo kontinuirano i neprekinuto pružanje financijskih usluga klijentima i sigurnost njihovih podataka.
ESA-e objavljuju sljedeće konačne nacrte tehničkih standarda:
- RTS i ITS o sadržaju, formatu, predlošcima i rokovima za prijavu velikih incidenata povezanih s ICT-om i značajnih kibernetičkih prijetnji,
- RTS o usklađivanju uvjeta za obavljanje poslova nadzora,
- RTS koji specificira kriterije za određivanje sastava zajedničkog ispitnog tima (JET)
- RTS o testiranju penetracije predvođenog prijetnjama (TLPT).
Skup smjernica uključuje:
- Smjernice za procjenu ukupnih troškova/gubitaka uzrokovanih velikim incidentima povezanima s ICT-om i
- Smjernice o suradnji pri nadzoru
- Sljedeći koraci
Smjernice su već usvojili nadzorni odbori triju ESA. Konačni nacrt tehničkih standarda dostavljen je Europskoj komisiji na pregled s ciljem usvajanja ovih policy proizvoda u nadolazećim mjesecima.
Pozadina
Javna rasprava o svim gore navedenim tehničkim standardima i smjernicama održana je od 8. prosinca 2023. do 4. ožujka 2024. ESA-e su primile više od 364 odgovora tržišnih sudionika (265 za tehničke standarde i 99 za dvije smjernice), uključujući zajednički odgovor skupina dionika ESA. RTS o JET-u je zasebno konzultiran od 18. travnja do 18. svibnja i iznio je 9 odgovora zainteresiranih strana.
Sve te javne rasprave dovele su do specifičnih izmjena tehničkih standarda, osiguravajući pojednostavljenje i racionalizaciju zahtjeva, veću proporcionalnost i rješavanje problema specifičnih za sektore. ESA-e su se konzultirale i s Europskom središnjom bankom (ECB) i Agencijom Europske unije za kibernetičku sigurnost (ENISA) o tehničkim standardima koji se odnose na izvješćivanje o incidentima.