Vyzkoušet zdarma

DORA: co musí splnit finanční sektor a jeho IT dodavatelé

DORA (Digital Operational Resilience Act) je evropské nařízení o digitální provozní odolnosti finančního sektoru. Na rozdíl od směrnice NIS2 platí přímo, bez národní transpozice, a je účinné od ledna 2025. Dohled nad českými finančními subjekty vykonává Česká národní banka (ČNB).

Koho se DORA týká

Prakticky celého finančního ekosystému — nařízení jmenuje přes 20 typů subjektů: banky, pojišťovny a zajišťovny, obchodníky s cennými papíry, investiční společnosti, platební instituce, instituce elektronických peněz, poskytovatele služeb souvisejících s kryptoaktivy, penzijní fondy i zprostředkovatele pojištění (nad určitou velikost).

Klíčová zvláštnost: DORA dopadá i na ICT dodavatele finančních institucí. Pokud poskytujete software, hosting, cloud nebo IT služby bance či pojišťovně, její povinnosti podle DORA protečou do vaší smlouvy — a kritičtí poskytovatelé ICT služeb mohou spadnout pod přímý dohled evropských orgánů.

Pět pilířů DORA

1. Řízení ICT rizik

Rámec řízení rizik schválený vedením: identifikace aktiv, ochrana, detekce, reakce a obnova. Vedení nese plnou odpovědnost — stejně jako u NIS2.

2. Hlášení ICT incidentů

Klasifikace incidentů podle jednotných kritérií a hlášení závažných incidentů regulátorovi ve stanovených lhůtách (prvotní hlášení, průběžná zpráva, závěrečná zpráva). Vyžaduje funkční evidenci incidentů s časovými razítky.

3. Testování digitální odolnosti

Pravidelné testování — od skenů zranitelností po penetrační testy. Největší instituce musí jednou za tři roky absolvovat pokročilé penetrační testování založené na hrozbách (TLPT).

4. Řízení rizik třetích stran

Pro většinu firem nejpracnější pilíř: registr informací o všech smlouvách s ICT poskytovateli (Register of Information), posuzování rizik koncentrace, povinná smluvní ujednání a exit strategie pro kritické služby. Registr se předkládá regulátorovi.

5. Sdílení informací

Dobrovolná výměna informací o hrozbách v rámci sektoru.

DORA a ISO 27001: překryv, který se vyplatí využít

DORA nevyžaduje certifikaci, ale její požadavky kopírují strukturu ISMS podle ISO 27001: řízení rizik (kapitola 6), incidenty (A.5.24–A.5.27), dodavatelé (A.5.19–A.5.22), kontinuita (A.5.29–A.5.30), testování a monitorování. Instituce s funkčním ISO 27001 plní významnou část požadavků DORA a umí to prokázat dokumentací.

Praktický postup pro menší finanční subjekty a jejich IT dodavatele:

  1. Dokumentace ISMS — politiky, řízení rizik, plány reakce na incidenty. ISOForge ji vygeneruje přizpůsobenou vaší organizaci v češtině.
  2. Registr ICT dodavatelů — evidujte poskytovatele, jejich kritičnost a termíny přezkoumání smluv (ISOForge na to má samostatný modul s označením ICT poskytovatelů podle DORA).
  3. Evidence incidentů — se sledováním lhůt a záznamy pro regulátora.
  4. Roční cyklus — revize dokumentů, přehodnocení rizik, školení a interní audity v compliance kalendáři.

Shrnutí

Potřebujete ISO dokumentaci?

ISOForge vygeneruje audit-ready dokumentaci přizpůsobenou vaší firmě — v češtině, za zlomek ceny konzultanta.

Zjistit více