_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

DORA — EU regulace digitální odolnosti finančního sektoru

10. 06. 2024 3 min čtení CORE SYSTEMSdevelopment
  1. ledna 2025 vstoupí v platnost nařízení DORA (Digital Operational Resilience Act) — a finanční instituce v EU mají méně než rok na přípravu. DORA poprvé harmonizuje požadavky na ICT risk management, incident reporting, testování odolnosti a řízení dodavatelů třetích stran napříč celým finančním sektorem. Ignorovat to nelze — hrozí sankce až do výše 1 % průměrného denního celosvětového obratu.

Co je DORA a koho se týká

DORA (nařízení EU 2022/2554) je přímo aplikovatelný právní předpis — nevyžaduje transpozici do národního práva. Týká se prakticky celého finančního sektoru: bank, pojišťoven, investičních společností, platebních institucí, crypto-asset providers, ale i kritických ICT dodavatelů těchto institucí (cloud provideři, outsourcing partneři, SaaS vendor).

To je klíčový rozdíl oproti dřívějším regulacím: DORA poprvé zavádí přímý dohled nad ICT third-party providers. Pokud dodáváte IT služby bankám, DORA se týká i vás.

Pět pilířů DORA

Nařízení stojí na pěti klíčových oblastech:

  • ICT Risk Management: Povinnost mít komplexní rámec pro řízení ICT rizik. Identifikace, ochrana, detekce, reakce, obnova. Odpovědnost na úrovni managementu (board-level accountability).
  • ICT Incident Reporting: Standardizovaný proces hlášení závažných ICT incidentů. Počáteční notifikace do 4 hodin od klasifikace, průběžná zpráva do 72 hodin, finální do 1 měsíce.
  • Digital Operational Resilience Testing: Pravidelné testování — vulnerability assessments, penetrační testy. Pro systémově důležité instituce povinné TLPT (Threat-Led Penetration Testing) každé 3 roky.
  • ICT Third-Party Risk Management: Due diligence dodavatelů, smluvní požadavky (exit strategie, audit práva, data lokace), registr všech ICT outsourcing smluv.
  • Information Sharing: Dobrovolné sdílení threat intelligence mezi finančními institucemi. Framework pro bezpečnou výměnu IoC (Indicators of Compromise).

ICT Risk Management Framework

DORA vyžaduje, aby finanční instituce měly dokumentovaný ICT risk management framework schválený top managementem. Nejde jen o papírové cvičení — framework musí zahrnovat:

  • Asset management — inventář všech ICT aktiv, závislostí a datových toků
  • Ochranná opatření — encryption, access control, patch management
  • Detekční mechanismy — monitoring, anomaly detection, SIEM
  • Business continuity plány — RTO/RPO pro kritické funkce, testované scénáře
  • Komunikační plány — interní i externí (regulátor, zákazníci, média)

Management board nese přímou odpovědnost za schválení a dohled. Musí absolvovat školení o ICT rizicích. Žádné delegování na IT oddělení.

Incident reporting — nové povinnosti

DORA zavádí jednotný klasifikační systém pro ICT incidenty. Kritéria zahrnují počet dotčených klientů, dobu trvání, geografický dopad, datové ztráty a dopad na kritické funkce. „Závažný incident” musí být nahlášen regulátorovi ve třech fázích.

Pro české finanční instituce to znamená hlášení České národní bance (ČNB), která bude fungovat jako kontaktní bod. Formáty a šablony definují regulační technické standardy (RTS), které finalizovaly evropské dohledové orgány (ESAs) v lednu 2024.

TLPT — threat-led penetrační testování

Pro systémově důležité finanční instituce (SIFIs) a další entity určené regulátorem zavádí DORA povinnost provádět TLPT minimálně jednou za 3 roky. TLPT se provádí podle rámce TIBER-EU — simulované kybernetické útoky vedené red teamem na základě realistických threat intelligence scénářů.

Testy musí pokrývat kritické funkce a systémy v produkčním prostředí. Provádět je smí pouze kvalifikovaní external testers (s výjimkou interních kapacit za specifických podmínek). Výsledky se sdílí s regulátorem.

Řízení dodavatelů — konec black boxů

DORA vyžaduje kompletní registr ICT outsourcing smluv, včetně sub-outsourcingu. Smlouvy musí obsahovat jasná ustanovení o: SLA a metrikách, audit právech (i pro regulátora), exit strategiích s definovanými transition periody, lokaci dat a zpracování, incident notifikačních povinnostech dodavatele.

Pro „kritické ICT dodavatele” (typicky velcí cloud provideři jako AWS, Azure, Google Cloud) zavádí DORA přímý dohled ze strany evropských dohledových orgánů — včetně práva na inspekce a sankce.

Jak se připravit — praktický roadmap

  1. Gap analýza — porovnejte současný stav s požadavky DORA. Identifikujte mezery v ICT risk frameworku, incident reporting, testování a vendor managementu.
  2. Asset inventář — zmapujte všechna ICT aktiva, závislosti, datové toky. Mnohé instituce nemají kompletní přehled.
doracompliancefinanceeu regulace

Související články

GDPR — technická opatření pro IT systémy

Praktický průvodce technickými opatřeními pro GDPR compliance. Šifrování, pseudonymizace, audit logy a právo na...

GDPR compliance checklist

GDPR compliance checklist pro vývojáře — souhlas, práva subjektů, technická opatření.

GDPR — technická příprava, která se nedá odkládat

25. května 2018 začne platit GDPR. Co to znamená pro technické týmy a jaké architektonické změny musíme udělat.