Nařízení DORA
Aktualizováno: 6.1.2025
Nařízení DORA (Digital Operational Resilience Act) je klíčovým předpisem EU pro posílení digitální odolnosti finančního sektoru. Stanovuje jednotná pravidla pro řízení ICT rizik, hlášení incidentů a testování odolnosti pro širokou škálu finančních institucí.
Co je to nařízení DORA?
DORA (Digital Operational Resilience Act) je nařízení Evropské unie zaměřené na posílení digitální provozní odolnosti finančního sektoru. Bylo schváleno v prosinci 2022 a jeho hlavním cílem je zajistit, aby finanční instituce byly schopny odolávat, reagovat a zotavit se z všech typů narušení a hrozeb souvisejících s informačními a komunikačními technologiemi (ICT).
Koho se nařízení DORA týká?
Nařízení DORA se vztahuje na širokou škálu finančních subjektů, včetně:
- Bank
- Pojišťoven
- Investičních společností
- Poskytovatelů platebních služeb
- Správců alternativních investičních fondů
- Poskytovatelů služeb v oblasti kryptoaktiv
- Ratingových agentur
- Poskytovatele kritických ICT služeb pro finanční sektor.
Na koho se nařízení DORA nevztahuje
- Správce alternativních investičních fondů podle čl. 3 odst. 2 směrnice 2011/61/EU
- Pojišťovny a zajišťovny podle článku 4 směrnice 2009/138/ES
- Instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků
- Fyzické nebo právnické osoby vyňaté podle článků 2 a 3 směrnice 2014/65/EU
- Zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění, kteří jsou mikropodniky, malými nebo středními podniky
- Žirové instituce poštovních úřadů podle čl. 2 odst. 5 bodu 3 směrnice 2013/36/EU
Hlavní požadavky nařízení DORA
Nařízení DORA stanovuje požadavky v několika klíčových oblastech:
1. Řízení ICT rizik: Nařízení DORA vyžaduje, aby finanční instituce zavedly komplexní rámec pro řízení rizik ICT, včetně pravidelného hodnocení rizik a implementace odpovídajících bezpečnostních opatření.
2. Hlášení incidentů: Instituce musí zavést procesy pro detekci, klasifikaci a hlášení významných incidentů souvisejících s ICT příslušným orgánům.
3. Testování digitální odolnosti: Nařízení DORA zavádí požadavek na pravidelné testování odolnosti ICT systémů, včetně penetračních testů a simulací kybernetických útoků.
4. Řízení rizik třetích stran: Finanční instituce musí pečlivě posuzovat a monitorovat rizika spojená s poskytovateli ICT služeb a dalšími dodavateli.
5. Sdílení informací: Nařízení DORA podporuje sdílení informací o kybernetických hrozbách mezi finančními institucemi a regulačními orgány.
Kdy DORA začne platit?
Nařízení DORA vstoupilo v platnost 16. ledna 2023. Finanční instituce a další dotčené subjekty budou mít 24 měsíců na implementaci požadavků, tedy do 17.ledna 2025. V lednu 2025 by měly mít všechny opatření aplikovány a vyzkoušeny a také by měly být schopni prokázat, že naplňují nařízení DORA (shoda s DOROU).
Význam pro finanční sektor
Nařízení DORA představuje významný krok k harmonizaci a posílení kybernetické bezpečnosti v evropském finančním sektoru. Zavádí jednotný soubor pravidel pro řízení digitálních rizik, což má vést k větší odolnosti finančního systému jako celku.
Vztah k jiným předpisům
DORA doplňuje a v některých případech nahrazuje stávající regulace v oblasti kybernetické bezpečnosti pro finanční sektor. Je úzce propojena s dalšími předpisy EU, jako je GDPR nebo směrnice NIS2.
Dozorové orgány
Dohled nad dodržováním nařízení DORA budou vykonávat příslušné finanční regulační orgány v jednotlivých členských státech EU. V České republice to bude především Česká národní banka.