Co je to DORA? 

Co je nařízení DORA?

V době, kdy kyberhrozby stále více ohrožují finanční sektor, přichází DORA – regulace, která má změnit způsob, jakým finanční instituce řídí především digitální rizika. 

Nařízení o digitální provozní odolnosti (Digital Operational Resilience Act, neboli DORA), představuje závazný a komplexní rámec pro řízení hlavně digitálních rizik ve finančním sektoru. 

V platnost vstoupilo na začátku roku 2023, subjekty se jím budou muset řídit od 17. ledna 2025.  

Na koho se DORA vztahuje? 

Jednotnými pravidly se bude muset řídit široká škála finančních institucí, jako jsou banky, investiční podniky, pojišťovny nebo poskytovatele služeb souvisejících s kryptoaktivy. Nařízení se však významně dotkne i jejich dodavatelů služeb informačních technologií, kterými jsou třeba poskytovatelé cloudových služeb nebo vývoje softwaru apod.

Předpokládá se, že se bude jednat o více než 22 000 finančních subjektů v EU.

Na které finanční instituce DORA dopadne?  

Nařízení od ledna 2025 přinese nové povinnosti pro širokou škálu finančních institucí. Povinnosti budou muset plnit například banky, poskytovatele služeb souvisejících s kryptoaktivy (které bude regulovat nařízení o trzích s kryptoaktivy), pojišťovny, zprostředkovatelé pojištění a centrální depozitáře cenných papírů. Toto je však jen základní výčet z více než dvaceti různých druhů finančních subjektů, které budou podléhat povinnostem dle nařízení DORA. 

Nařízení uvádí i několik výjimek. Mezi ty patří třeba zprostředkovatelé pojištění, zprostředkovatelé zajištění nebo zprostředkovatelé doplňkového pojištění, kteří jsou mikropodniky nebo malými či středními podniky. Nařízení se nebude vztahovat ani na instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků.  

Jaké povinnosti DORA stanoví? 

V testování digitální provozní odolnosti se pak zavádějí nové přísnější požadavky. A nesmíme zapomenout ani na požadavky na smlouvy s dodavateli finančních subjektů. To je však jen nepatrný výčet povinností, které ustanovuje nařízení DORA.  

Zvýšení odpovědnosti vedení finančních institucí 

DORA přináší i zvýšenou odpovědnost pro vrcholové vedení těchto subjektů.  Ti budou mít klíčovou a aktivní úlohu při řízení rizika v oblasti informačních a komunikačních technologií (IKT) a celkové strategie digitální provozní odolnosti. Co přesně nová odpovědnost vrcholového vedení finančních institucí znamená?  

Odpovědnost vrcholového vedení 

Nařízení DORA zdůrazňuje, že vrcholové vedení nese odpovědnost za stanovení a schválení všech opatření souvisejících s rámcem řízení rizika v oblasti IKT. Vedoucí orgán se také musí neustále angažovat při kontrole sledování řízení rizik v oblasti IKT a má povinnost aktivně přispívat k celkové strategii digitální provozní odolnosti.  

Přístup vrcholového vedení by měl přesahovat pouhé zajištění odolnosti systémů IKT. Prostřednictvím vnitřních politik se má pak zaměřit i na zaměstnance a procesy ve společnosti. Cílem je totiž také zajistit silné povědomí o kybernetických rizicích pro všechny zaměstnance finančního subjektu.  

Vrcholové vedení má odpovědnost za schválení/přijetí: 
Další povinnosti vrcholového vedení: 
Vzdělávání vrcholového vedení v kybernetické bezpečnosti

Nařízení DORA nezapomíná ani na vzdělávání samotného vrcholového vedení. Stanovuje totiž aktivní snahu členů vedoucího orgánu o získání dostatečných a aktuálních znalostí nezbytných pro kvalifikované posuzování rizik v oblasti IKT a jejich dopadů na chod společnosti.  

Toto vzdělávání nemá být pouze formální záležitostí, je vyžadováno pravidelné absolvování specifického školení, které odpovídá konkrétním rizikům v oblasti IKT v dané společnosti. Tímto způsobem se DORA snaží zajistit, že vedoucí orgán bude vždy schopný efektivně reagovat na nové výzvy a hrozby v oblasti kybernetické bezpečnosti.  

DORA vs NIS2
Co když DORA a NIS2 upravují stejnou povinnost?

DORA stanovuje finančním institucím a jejich dodavatelům nové povinnosti. V oblasti kybernetické bezpečnosti to však není jediný právní akt EU. Kybernetická bezpečnost nejen pro finanční trhy je řešena i směrnicí označovanou jako NIS2. Ta bude v českém právním řádu zohledněna v připravovaném novém zákoně o kybernetické bezpečnosti a v jeho vyhláškách, kdy upravuje i další tzv. regulované služby (např. v oblasti energetiky nebo potravinářském průmyslu). V případě rozporu v povinnostech bude mít pro finanční instituce nařízení DORA přednost.  

Rok 2024 přinese doplnění k DORA

V roce 2024 Evropské orgány dohledu předloží návrhy prováděcích aktů Evropské komisi. Ty poskytnou technické specifikace a návody, jak konkrétně požadavky DORA uvést do praxe. Například bude řečeno, jak hodnotit výši ztráty způsobené incidentem, nebo jaká budou pravidla pro kontrolu dodavatelů/subdodavatelů podporujících zásadní nebo důležité funkce. Těchto prováděcích aktů by mělo být celkem 13. 

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na nové nařízení DORA

Další články

Plány jako jsou BCP, DRP nebo plán zvládání rizik zajišťují kybernetickou bezpečnost a pomáhají udržet kontinuitu činností. Co by měly obsahovat?
Pusťte si podcast s Katkou Hůtovou, která vás provede připravovanými změnami podle nového zákona o kybernetické bezpečnosti.
Krizová komunikace během kybernetického útoku by měla být rychlá, transparentní a konzistentní, aby minimalizovala škody a udržela důvěru všech zainteresovaných stran. Jak na to?

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.