Práce v europarlamentu nejsou jenom hlasování na plénu, projevy za pultem nebo rokování s ostatními kolegy. Často je to také mravenčí, technická práce dolaďování legislativy tak, aby co nejlépe sloužila našim občanům – a zároveň nebyla přílišnou zátěží.

Poslední dobou byla právě tahle činnost mým denním chlebem. Jako stínový zpravodaj návrhu DORA – neboli „Digital Operational Resilience Act“ – jsem totiž se svým týmem návrh dopodrobna procházel a připravoval potřebné úpravy, aby text skutečně dělal to, co má.

A musím říct, že výsledek – který teď v prosinci schválil celý výbor ECON a kterým se bude zabývat celý europarlament – stojí za to! Neřeší totiž jenom důležitý problém kyberbezpečnosti, ale zbavuje nás také zbytečné složitosti v evropské legislativě.

Cože má DORA ale vlastně dělat? Ve zkratce: finanční sektor za posledních patnáct let prošel zásadní proměnou. Naprostá většina operací od komunikace s bankou až po vypořádávání plateb běží sice online, ochrana spotřebitele a prevence rizik provázaného finančního světa ale zaostává. Na rozdíl od klíčové infrastruktury, jakou jsou třeba nemocnice nebo elektrárny, formální nároky na digitální zabezpečení zůstávají hrubě nedostatečné. V případě, že se něco s IT systémy stane, instituce nemusí ani informovat uživatele, ani podávat vysvětlení regulátorům nebo jinak incidenty dokumentovat.

Výsledek? Systém, který je nepřipravený na digitální hrozby a výpadky služeb. O problému a způsobech, jakými jej DORA řeší, jsem koneckonců psal už zde, pokud tedy máte chuť na hlubší pohled. Každopádně to, že se jedná o palčivý problém, nám ukazují i čísla z posledních let. Ve Spojených státech, například, jen v roce 2020 přesáhly ztráty hlášené v souvislosti s kyberkriminalitou závratné čtyři miliardy dolarů.

Mnoha z těchto škod se přitom dá zabránit včasnou reakcí a předchozím plánováním. Vývoj obojího DORA finančním institucím ukládá. A díky pozměňovacím návrhům, které jsme ve výboru prosadili, by zajištění firem proti hrozbám mělo být „v souladu s principem proporcionality“ – a malé či málo propojené podniky jsou z některých povinností vyňaty úplně. Nestane se tak, že by si začínající start-up s pár zaměstnanci musel pořizovat nesmyslně drahý IT systém kvůli ‚bezpečnosti‘. A to je dobře, protože DORA ukládá opatrnost hlavně firmám, jejichž pád by mohl ohrozit chod části ekonomiky nebo přístup mnoha uživatelů k jejich financím – například velké banky nebo investiční společnosti. Skrze DOR-u se nám navíc podařilo sjednotit a zpřehlednit způsob, jakým jsou nároky na bezpečnost firem v legislativě upraveny. Ty byly totiž doteď „rozlítané“ v několika právních úpravách.

Mám radost, že po namáhavém vyjednávání s institucemi i ostatními europoslanci, nekonečných změnách ve znění předpisů a cizelování významových detailů se nám podařilo přijít s textem, který jasně a přehledně plní cíle zvýšené bezpečnosti a který ale zároveň nediskriminuje malé podniky a živnostníky.

Cesta DOR-y však samozřejmě není u konce. Čeká nás ještě klíčová zkouška, a to vyjednávání v rámci tzv. trialogu s Komisí a Radou a schvalování v rámci celého parlamentu. Podoba textu, nad kterým jsme se v ECON shodli jasnou většinou, ale vypadá nadějně. Máme tak nakročeno k bezpečnější, stabilnější finanční soustavě – to je něco, co by nás mělo těšit.