Co se na semináři dozvíte:

• Jak se DORA promítla do praxe bank – jak správně nastavit interní rámec řízení, odpovědnosti a dokumentaci tak, abyste obstáli při dohledu nebo auditu.
• Jaké jsou zkušenosti s řízením rizik třetích stran a jak testovat exit strategie.
• Jak zajistit, že smlouvy s dodavateli obsahují všechny povinné náležitosti dle DORA, včetně exitových strategií a plánů přechodu.
• Co znamenají kvantová rizika a postkvantová hrozba pro DORA, BCM i ICT risk management.
• Jak posunout pentesty na úroveň TLPT a jaká nápravná opatření a lhůty jsou vyžadována.
• Jak propojit výsledky TLPT, BCM testů a incidentů do jednotného rámce řízení rizik, aby instituce plnila povinnost poučení a rozvoje.
• Jak v praxi vypadá povinnost pravidelně provádět penetrační testování, včetně povinného testování dle hrozeb (Threat-Led Penetration Testing) nejméně jednou za tři roky.

Pro koho je seminář určen:

• Vedoucí pracovníci bank a dalších institucí finančního trhu, kteří nesou konečnou odpovědnost za IKT rizika.
• Odpovědné osoby za kybernetickou bezpečnost a IT (CISO, Chief Security Officers, IT Architekti).
• Manažeři zodpovědní za regulatorní požadavky (Compliance, Risk Management, Interní Audit, BCM Specialisté).
• Právní oddělení a specialisté na kontraktaci s IKT dodavateli.

8.50–9.00
Úvodní slovo, zahájení semináře
Veronika Páníková, manažerka vzdělávání, Česká bankovní asociace

9.00–10.10
První rok účinnosti DORA – pohled z praxe dvou bank
Miroslav Kvíčala, Head of Security, Raiffeisenbank
Michal Ižovský, Head of IT Service & Supplier Governance, Raiffeisenbank

• Ohlédnutí za prvním rokem účinnosti DORA. Jak se regulatorní požadavky propsaly do praxe?
• ICT Risk Management
• Third Party Risk Management z pohledu Security – jak získávat potřebná data od dodavatelů.
• Cloudflare výpadek – DORA Major Incident
• Zkušenosti s generickým testem Exit plánu, včetně řešení, které bylo uznáno auditem.
• Využití AI asistentů v DORA
• Aktuální vnímání DORA mezi FLoD, SLoD a TLoD

Barbora Kunzová, Regulatory Projects and Daily Banking Support Manager, Komerční banka

• Ohlédnutí za prvním rokem účinnosti DORA. Jak se regulatorní požadavky propsaly do praxe?
• DORA jako projekt – co se v průběhu implementace osvědčilo a kde naopak vznikaly komplikace. 

10.30–11.30
Nařízení DORA: zkušenosti, výklad a doporučení
Jakub Höll, expert na kyberbezpečnost, regulaci a řízení rizik, Deloitte
Viktor Paggio, senior manažer v oblasti Kybernetické strategie, Deloitte

• První rok zkušeností s nařízením DORA – jaká úskalí se aktuálně řeší.
• Vztah DORA a dalších regulací – overlap mezi DORA a novým zákonem o kybernetické bezpečnosti.
• Hlavní zásady řízení rizik IKT třetích stran, výzvy z praxe, právní nedostatky a náležitosti smluv. Evidence dodavatelů dle DORA.
• Problematika Hlášení závažných incidentů souvisejících s IKT a významných kybernetických hrozeb – co hlásit co nehlásit, příprava podkladů, plnění požadavků na hlášení apod.
• Legislativní novinky – Digitální omnibus (sjednocení místa hlášení kybernetických bezpečnostních incidentů) a jeho dopady.

11.30–12.00
Nejčastější problémy ve smluvních vztazích s dodavateli IKT služeb
Jindřich Kalíšek, vedoucí advokát a řídící partner, CYBERLAWYER

• Zkušenosti s řízením vztahů s dodavateli.
• Aktuální výzvy a příklady z praxe.

13.00–13.50
Novinky a trendy v testování odolnosti (TLPT) a nápravná opatření z pohledu etického hackera
Jan Marek, etický hacker, Cyber Rangers

• Jak posunout testování za hranice standardních pentestů – životní cyklus penetračního testování na základě hrozeb (TLPT), včetně toho, jak využít metodiku TIBER-EU a jak role Threat Intelligence (TI) pomáhá při návrhu relevantních a cílených scénářů útoku.
• Jak zajistit součinnost kritických dodavatelů při útoku a jak finanční instituce řídí rizika při provádění testů za provozu v systémech podporujících zásadní funkce.
• Klíčové výstupy pro dohled a compliance – přehled závazné dokumentace a časových lhůt.

13.50–14.30
Jak řídit nedostupnost kritického dodavatele v praxi: scénáře, Exit Strategy a regulatorní očekávání (case study)
Libor Provazník, Slavia Pojišťovna

• Tvorba scénářů nedostupnosti kritického dodavatele.
• Exit Strategy v praxi (co je dnes reálně připravitelné a kde jsou limity).
• Formy testování a regulatorní očekávání versus skutečná praxe institucí.
• Řešení situací bez reálné alternativy dodavatele.
• Jak na sdílené závislosti trhu.

14.30–15.10
Kvantová hrozba a její dopady na bezpečnost informačních systémů a sítí
Tomáš Rabas, vedoucí Oddělení kryptologických analýz, Národní úřad pro kybernetickou a informační bezpečnost
Petr Procházka, vedoucí Oddělení národních strategií a politik, Národní úřad pro kybernetickou a informační bezpečnost

• Kvantové hrozby zásadně proměňují kyberbezpečnost nejen v bankovnictví.
• Jak rychle se blíží nástup kvantových počítačů a které technologie jsou jimi nejvíce ohrožené?
• Proč řešit postkvantovou kryptografii už nyní a jak? Co se v této oblasti chystá?