Nařízení DORA: co to je a koho se týká?
Slyšeli jste o nařízení DORA a nejste si jistí, jestli se týká i vaší firmy? Pravidla platí už od ledna 2025 a dopadají na širší okruh subjektů, než se běžně předpokládá. Přečtěte si, co DORA znamená, koho se týká a v čem se liší od NIS2.
Stručné shrnutí
DORA je evropské nařízení o digitální provozní odolnosti finančního sektoru. Platí od 17. ledna 2025 a vztahuje se na banky, pojišťovny, investiční firmy a další finanční subjekty, ale také na jejich dodavatele ICT služeb. Ukládá povinnosti v oblasti řízení ICT rizik, hlášení incidentů, testování odolnosti a řízení dodavatelů. Pro finanční sektor má DORA přednost před směrnicí NIS2.
Připravte se na NIS2 rychle a bez stresu
Compligen vás provede celým procesem tvorby dokumentace krok za krokem. Bez znalosti legislativy, bez měsíců čekání a za zlomek ceny konzultanta.
Vyzkoušet zdarmaCo je nařízení DORA
Nařízení DORA je evropský předpis, který sjednocuje pravidla digitální odolnosti napříč celým finančním sektorem v Evropské unii. Jeho cílem je zajistit, aby finanční instituce dokázaly odolat kybernetickým útokům i technickým výpadkům, aniž by ohrozily stabilitu trhu. Patří tak mezi klíčové certifikace a standardy kybernetické bezpečnosti, o kterých by měly mít firmy přehled.
Definice nařízení DORA
DORA je zkratka pro Digital Operational Resilience Act, tedy nařízení Evropské unie o digitální provozní odolnosti finančního sektoru. Jde o nařízení číslo 2022/2554, které je přímo závazné ve všech členských státech a nevyžaduje převod do národní legislativy.
Právě tím se liší od směrnic. Zatímco směrnici si každý stát převádí do svého práva po svém, nařízení platí ve všech zemích ve stejném znění. Pro české finanční instituce to znamená, že se řídí přímo evropským textem.
Od kdy DORA platí
Nařízení vstoupilo v účinnost 17. ledna 2025. Od tohoto data musí dotčené subjekty splňovat veškeré povinnosti, které DORA ukládá.
Přechodné období skončilo a dohledové orgány již kontrolují, zda finanční instituce pravidla dodržují. Firmy, které přípravu odkládaly, tak dnes čelí reálnému riziku postihu.
Koho se nařízení DORA týká
DORA se vztahuje na finanční sektor v širokém pojetí, tedy nejen na banky. Zahrnuje také subjekty, které finančním institucím dodávají technologie a služby.
Finanční instituce a subjekty pod DORA
Okruh povinných subjektů je záměrně široký. Patří mezi ně zejména:
- banky a úvěrové instituce
- pojišťovny a zajišťovny
- investiční firmy a obchodníci s cennými papíry
- platební instituce a instituce elektronických peněz
- správci fondů a penzijní společnosti
- poskytovatelé služeb v oblasti kryptoaktiv
- ratingové agentury a obchodní systémy
Nařízení tedy dopadá prakticky na celý regulovaný finanční trh, včetně menších subjektů, které dosud podobně komplexní pravidla řešit nemusely.
Dodavatelé ICT služeb
Zásadní novinkou je, že DORA dosahuje i na poskytovatele ICT služeb třetích stran. Jde o firmy, které finančním institucím dodávají cloudové služby, datová centra, software nebo správu infrastruktury.
Tito dodavatelé se sice povinnými subjekty v plném rozsahu nestávají, ale požadavky se na ně přenášejí smluvně. Finanční instituce totiž musí zajistit, že jejich dodavatelé splňují stanovené standardy. Poskytovatelé, kteří jsou označeni jako kritičtí, navíc podléhají přímému dohledu evropských orgánů.
Jaké povinnosti DORA přináší
DORA stojí na několika pilířích, které společně tvoří systém digitální odolnosti. Nejde jen o technická opatření, ale o komplexní přístup zahrnující procesy, dohled i dodavatele.
Řízení ICT rizik
Základem celého nařízení je řízení ICT rizik. Finanční instituce musí mít zaveden ucelený rámec, který identifikuje hrozby, posuzuje jejich dopad a stanovuje odpovídající opatření.
Odpovědnost za tento rámec nese vedení instituce, které jej schvaluje a pravidelně přezkoumává. Podobně jako u českého zákona o kybernetické bezpečnosti tak platí, že odpovědnost za kyberbezpečnost leží na vedení, nikoli na IT oddělení.
Hlášení incidentů a testování odolnosti
DORA zavádí povinnost hlásit závažné ICT incidenty příslušným dohledovým orgánům, a to v přesně stanovených lhůtách. Cílem je, aby regulátor měl přehled o dění na trhu a mohl včas reagovat.
Druhou částí je testování digitální provozní odolnosti. Instituce musí pravidelně ověřovat, že jejich systémy skutečně odolají. U větších a významnějších subjektů zahrnuje testování i pokročilé penetrační testy vedené podle metodiky TLPT, které simulují reálný útok.
Řízení dodavatelského řetězce
Jedním z nejnáročnějších požadavků je řízení rizik spojených s dodavateli ICT. Instituce musí vést registr všech smluvních vztahů s poskytovateli, hodnotit jejich rizikovost a mít ve smlouvách zakotveny konkrétní povinnosti.
Cílem je zabránit tomu, aby výpadek jednoho velkého poskytovatele ochromil větší část finančního trhu. Nařízení proto klade důraz i na výstupní strategie, tedy na to, aby instituce dokázala v případě potřeby dodavatele vyměnit.
Jaký je rozdíl mezi DORA a NIS2?
DORA a NIS2 se často zaměňují, protože obě řeší kybernetickou odolnost. Liší se ale rozsahem, adresáty i právní silou.
Odlišný rozsah a zaměření
NIS2 je směrnice zaměřená široce na řadu odvětví, od energetiky přes dopravu až po výrobu a zdravotnictví. Každý stát si ji převádí do svého práva, v Česku prostřednictvím zákona 264/2025 Sb. a vyhlášky 410/2025 Sb.
DORA je naopak nařízení cílené výhradně na finanční sektor a platí přímo, ve stejném znění po celé Evropské unii. Její požadavky jdou v některých oblastech, zejména v testování odolnosti a řízení dodavatelů, výrazně do hloubky.
| DORA | NIS2 | |
|---|---|---|
| Typ předpisu | Nařízení, platí přímo | Směrnice, převedena do zákona |
| Zaměření | Finanční sektor | Široké spektrum odvětví |
| Účinnost | Od 17. ledna 2025 | V ČR od 1. listopadu 2025 |
| Česká úprava | Neaplikuje se | Zákon 264/2025 Sb. |
| Dohled | ČNB a evropské orgány | NÚKIB |
Co platí, když firma spadá pod obojí
Zde je klíčová zásada. Pro finanční instituce má DORA přednost před NIS2, protože jde o takzvanou speciální úpravu, která má vůči obecnějším pravidlům přednost. Finanční subjekt se tedy řídí primárně nařízením DORA.
Ne vždy je ale hranice jednoznačná. Firma, která finančnímu sektoru pouze dodává služby, může spadat pod český zákon o kybernetické bezpečnosti a zároveň na ni mohou být smluvně přenášeny požadavky DORA. Zda se vás zákon týká, si ověříte přes samoidentifikaci na Portálu NÚKIB.
Pokud firma pod český zákon spadá, čeká ji zavedení bezpečnostních opatření a příprava dokumentace podle vyhlášky. Právě s tím pomáhá Compligen, online průvodce, který vás celým procesem provede krok za krokem. Stačí odpovědět na srozumitelné otázky o vaší firmě a o zbytek se postará průvodce.
Závěr
Nařízení DORA je evropský předpis o digitální provozní odolnosti, který platí od ledna 2025 a týká se celého finančního sektoru včetně jeho dodavatelů ICT služeb. Ukládá povinnosti v oblasti řízení ICT rizik, hlášení incidentů, testování odolnosti a řízení dodavatelského řetězce. Pro finanční instituce má DORA přednost před směrnicí NIS2, ostatní odvětví se řídí českým zákonem o kybernetické bezpečnosti. Klíčové je proto nejprve zjistit, pod který předpis vaše firma spadá. S přípravou dokumentace podle českého zákona vám pomůže Compligen.
Dokumentaci zvládnete online
Compligen průvodce vytvoří NIS2 dokumentaci na míru vaší firmě.
20+ dokumentů ke 13 opatřením vyhlášky.
Podívejte se, jak to fungujePřečtěte si také
- Certifikace a standardy kybernetické bezpečnosti: kompletní přehled pro firmyJaký je rozdíl mezi certifikací a standardem kybernetické bezpečnosti? Zjistěte, zda ISO 27001 nahrazuje povinnosti podle ZoKB a NIS2 a jak správně postupovat.
- ISO/IEC 27001: co to je a jak ho získatCo je norma ISO/IEC 27001 a jak získat certifikaci? Zjistěte, co obnáší systém ISMS, jak vám pomůže v byznysu a jak souvisí s povinnostmi podle NIS2.
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.