compligen

Přihlášení

Zadejte email, pošleme vám ověřovací kód.

Odesláním souhlasíte s Podmínkami užívání a Zásadami ochrany osobních údajů.

Napište nám

Kam vám máme odpovědět.

Automaticky přiložíme, na které stránce jste

Nařízení DORA: co to je a koho se týká?

Adéla Barochová·15. července 2026·6 min

Slyšeli jste o nařízení DORA a nejste si jistí, jestli se týká i vaší firmy? Pravidla platí už od ledna 2025 a dopadají na širší okruh subjektů, než se běžně předpokládá. Přečtěte si, co DORA znamená, koho se týká a v čem se liší od NIS2.

Stručné shrnutí

DORA je evropské nařízení o digitální provozní odolnosti finančního sektoru. Platí od 17. ledna 2025 a vztahuje se na banky, pojišťovny, investiční firmy a další finanční subjekty, ale také na jejich dodavatele ICT služeb. Ukládá povinnosti v oblasti řízení ICT rizik, hlášení incidentů, testování odolnosti a řízení dodavatelů. Pro finanční sektor má DORA přednost před směrnicí NIS2.

Dokumentace podle ZOKB

Připravte se na NIS2 rychle a bez stresu

Compligen vás provede celým procesem tvorby dokumentace krok za krokem. Bez znalosti legislativy, bez měsíců čekání a za zlomek ceny konzultanta.

Vyzkoušet zdarma

Co je nařízení DORA

Nařízení DORA je evropský předpis, který sjednocuje pravidla digitální odolnosti napříč celým finančním sektorem v Evropské unii. Jeho cílem je zajistit, aby finanční instituce dokázaly odolat kybernetickým útokům i technickým výpadkům, aniž by ohrozily stabilitu trhu. Patří tak mezi klíčové certifikace a standardy kybernetické bezpečnosti, o kterých by měly mít firmy přehled.

Definice nařízení DORA

DORA je zkratka pro Digital Operational Resilience Act, tedy nařízení Evropské unie o digitální provozní odolnosti finančního sektoru. Jde o nařízení číslo 2022/2554, které je přímo závazné ve všech členských státech a nevyžaduje převod do národní legislativy.

Právě tím se liší od směrnic. Zatímco směrnici si každý stát převádí do svého práva po svém, nařízení platí ve všech zemích ve stejném znění. Pro české finanční instituce to znamená, že se řídí přímo evropským textem.

Od kdy DORA platí

Nařízení vstoupilo v účinnost 17. ledna 2025. Od tohoto data musí dotčené subjekty splňovat veškeré povinnosti, které DORA ukládá.

Přechodné období skončilo a dohledové orgány již kontrolují, zda finanční instituce pravidla dodržují. Firmy, které přípravu odkládaly, tak dnes čelí reálnému riziku postihu.

Koho se nařízení DORA týká

DORA se vztahuje na finanční sektor v širokém pojetí, tedy nejen na banky. Zahrnuje také subjekty, které finančním institucím dodávají technologie a služby.

Finanční instituce a subjekty pod DORA

Okruh povinných subjektů je záměrně široký. Patří mezi ně zejména:

  • banky a úvěrové instituce
  • pojišťovny a zajišťovny
  • investiční firmy a obchodníci s cennými papíry
  • platební instituce a instituce elektronických peněz
  • správci fondů a penzijní společnosti
  • poskytovatelé služeb v oblasti kryptoaktiv
  • ratingové agentury a obchodní systémy

Nařízení tedy dopadá prakticky na celý regulovaný finanční trh, včetně menších subjektů, které dosud podobně komplexní pravidla řešit nemusely.

Dodavatelé ICT služeb

Zásadní novinkou je, že DORA dosahuje i na poskytovatele ICT služeb třetích stran. Jde o firmy, které finančním institucím dodávají cloudové služby, datová centra, software nebo správu infrastruktury.

Tito dodavatelé se sice povinnými subjekty v plném rozsahu nestávají, ale požadavky se na ně přenášejí smluvně. Finanční instituce totiž musí zajistit, že jejich dodavatelé splňují stanovené standardy. Poskytovatelé, kteří jsou označeni jako kritičtí, navíc podléhají přímému dohledu evropských orgánů.

Jaké povinnosti DORA přináší

DORA stojí na několika pilířích, které společně tvoří systém digitální odolnosti. Nejde jen o technická opatření, ale o komplexní přístup zahrnující procesy, dohled i dodavatele.

Řízení ICT rizik

Základem celého nařízení je řízení ICT rizik. Finanční instituce musí mít zaveden ucelený rámec, který identifikuje hrozby, posuzuje jejich dopad a stanovuje odpovídající opatření.

Odpovědnost za tento rámec nese vedení instituce, které jej schvaluje a pravidelně přezkoumává. Podobně jako u českého zákona o kybernetické bezpečnosti tak platí, že odpovědnost za kyberbezpečnost leží na vedení, nikoli na IT oddělení.

Hlášení incidentů a testování odolnosti

DORA zavádí povinnost hlásit závažné ICT incidenty příslušným dohledovým orgánům, a to v přesně stanovených lhůtách. Cílem je, aby regulátor měl přehled o dění na trhu a mohl včas reagovat.

Druhou částí je testování digitální provozní odolnosti. Instituce musí pravidelně ověřovat, že jejich systémy skutečně odolají. U větších a významnějších subjektů zahrnuje testování i pokročilé penetrační testy vedené podle metodiky TLPT, které simulují reálný útok.

Řízení dodavatelského řetězce

Jedním z nejnáročnějších požadavků je řízení rizik spojených s dodavateli ICT. Instituce musí vést registr všech smluvních vztahů s poskytovateli, hodnotit jejich rizikovost a mít ve smlouvách zakotveny konkrétní povinnosti.

Cílem je zabránit tomu, aby výpadek jednoho velkého poskytovatele ochromil větší část finančního trhu. Nařízení proto klade důraz i na výstupní strategie, tedy na to, aby instituce dokázala v případě potřeby dodavatele vyměnit.

Jaký je rozdíl mezi DORA a NIS2?

DORA a NIS2 se často zaměňují, protože obě řeší kybernetickou odolnost. Liší se ale rozsahem, adresáty i právní silou.

Odlišný rozsah a zaměření

NIS2 je směrnice zaměřená široce na řadu odvětví, od energetiky přes dopravu až po výrobu a zdravotnictví. Každý stát si ji převádí do svého práva, v Česku prostřednictvím zákona 264/2025 Sb. a vyhlášky 410/2025 Sb.

DORA je naopak nařízení cílené výhradně na finanční sektor a platí přímo, ve stejném znění po celé Evropské unii. Její požadavky jdou v některých oblastech, zejména v testování odolnosti a řízení dodavatelů, výrazně do hloubky.

DORANIS2
Typ předpisuNařízení, platí přímoSměrnice, převedena do zákona
ZaměřeníFinanční sektorŠiroké spektrum odvětví
ÚčinnostOd 17. ledna 2025V ČR od 1. listopadu 2025
Česká úpravaNeaplikuje seZákon 264/2025 Sb.
DohledČNB a evropské orgányNÚKIB

Co platí, když firma spadá pod obojí

Zde je klíčová zásada. Pro finanční instituce má DORA přednost před NIS2, protože jde o takzvanou speciální úpravu, která má vůči obecnějším pravidlům přednost. Finanční subjekt se tedy řídí primárně nařízením DORA.

Ne vždy je ale hranice jednoznačná. Firma, která finančnímu sektoru pouze dodává služby, může spadat pod český zákon o kybernetické bezpečnosti a zároveň na ni mohou být smluvně přenášeny požadavky DORA. Zda se vás zákon týká, si ověříte přes samoidentifikaci na Portálu NÚKIB.

Pokud firma pod český zákon spadá, čeká ji zavedení bezpečnostních opatření a příprava dokumentace podle vyhlášky. Právě s tím pomáhá Compligen, online průvodce, který vás celým procesem provede krok za krokem. Stačí odpovědět na srozumitelné otázky o vaší firmě a o zbytek se postará průvodce.

Závěr

Nařízení DORA je evropský předpis o digitální provozní odolnosti, který platí od ledna 2025 a týká se celého finančního sektoru včetně jeho dodavatelů ICT služeb. Ukládá povinnosti v oblasti řízení ICT rizik, hlášení incidentů, testování odolnosti a řízení dodavatelského řetězce. Pro finanční instituce má DORA přednost před směrnicí NIS2, ostatní odvětví se řídí českým zákonem o kybernetické bezpečnosti. Klíčové je proto nejprve zjistit, pod který předpis vaše firma spadá. S přípravou dokumentace podle českého zákona vám pomůže Compligen.

Dokumentaci zvládnete online

Compligen průvodce vytvoří NIS2 dokumentaci na míru vaší firmě.

20+ dokumentů ke 13 opatřením vyhlášky.

Podívejte se, jak to funguje

Přečtěte si také

Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky 410/2025 Sb. Mají informační charakter a nenahrazují odborné právní poradenství.