Strane odluke za glavne časnike sigurnosti i NIS timove u bankama i institucijama s nacionalnim bankarskim nadzorom. Saznajte kako usklađiti ICT upravljanje rizicima, incident reporting i treće strane s NIS2 okvirima do jeseni 2026.
Fizičke i pravne osobe koje obavljaju pružanje bankarskih usluga pod nadzorom Hrvatske narodne banke, uključujući banke s dozvolom, štedionice i institucije za kratkročne obveze. U obzir dolaze sve institucije koje kotiraju na vijestima kao važne za financijsku stabilnost ili imaju sredstva veću od određenih pragova koje je postavila HNB.
Institucije moraju uspostaviti dokumentirani okvir upravljanja ICT rizicima (ICT RMF) koji pokriva identifikaciju, procjenu, mjere zaštite i praćenje rizika. Okvir mora biti integriran u cjelokupnu strategiju upravljanja rizicima institucije. Dokumentacija mora biti dostupna regulatorima i nadzornom tijelu (SOA/HNB) tijekom revizija.
Institucije trebaju provesti najmanje jednom godišnje testiranje penetracije koje provode nepristrane trećih strana specijalizirane za bankarsku sigurnost. Svi kritični sustavi (posebno core banking platforme) moraju biti obuhvaćeni. Rezultati i remedijacijski planovi moraju biti dostupni nadzornom timu i uključeni u godišnji izvještaj.
Institucije moraju izvijestiti SOA/HNB i Hrvatski CSIRT o većim incidentima kibernetske sigurnosti u dogovorenim vremenskim okvirima (obično 24-72 sata, ovisno o vrsti incidenta). Izvještaji moraju sadržavati detaljnu klasifikaciju incidenta, utjecaj na sustave, korisničke podatke i financijske usluge. Institucije trebaju održavati revidirane logove svih incident poziva.
Prije potpisivanja ugovora s vanjskim davateljima ICT usluga (fintech partnerima, cloud davateljima, procesatorima podataka) institucije trebaju provesti formalnu procjenu sigurnosti koja uključuje audit infrastrukture, certifikate sigurnosti (ISO 27001) i procjenu rizika. Ugovori moraju sadržavati eksplicitne klauzule o pravima pristupa, incident reporting i pravima regulatora da provjeravaju infrastrukturu davatelja.
NIS2 obveze za banke su apsorbirane u DORA (Uredba o otpornosti ICT sektora financijskih usluga). Institucije trebaju zadovoljiti DORA zahtjeve za upravljanje ICT rizicima, incident reporting i testiranje otpornosti (ITT). DORA je strožija od NIS2 za bankarski sektor i ima prioritet u slučaju konflikta zahtjeva.
NIS2 je okvir za sve bitne institucije, ali DORA (Uredba EU 2022/2554) zamjenjuje NIS2 specifične zahtjeve za financijski sektor i strožija je. DORA je obvezan za sve institucije s dozvolom HNB-a od 17. siječnja 2025. Institucije trebaju zadovoljiti DORA zahtjeve jer oni imaju prioritet; NIS2 obveze se primjenjuju samo ako DORA ne pokriva određeni aspekt (npr. fizička sigurnost lokacija).
Minimum je jednom godišnje, ali preporučuje se dvaputa godišnje za kritične sustave. Testiranje MORA biti obavljeno od strane nepristrane treće strane specijalizirane za bankarsku sigurnost — interno testiranje nije dovoljno za nadzorne zahtjeve. Rezultati moraju biti dokumentirani s detaljnim remedijacijskim planom i dostupni nadzornom timu.
Kršenja DORA izvještavanja mogu rezultirati novčanom kaznom do 10% godišnje bruto poslovne dohodka institucije (ili do 6 milijuna EUR, što je veće). Za NIS2, kazne mogu doseći do 5% godišnjih prihoda. HNB i SOA redovito provjeravaju incident logove tijekom nadzornih inspekcija i nezabilježeni incidenti koje je treća strana poznavala predstavljaju poseban rizik za regulaciju.