DORA a CRA: Jak připravit firmu na nové evropské regulace

Kateřina Benešová
22. 07. 2025

Hojně skloňovaná směrnice NIS2 není jediná kyberbezpečnostní regulace, kterou si pro firmy připravila Evropská unie. Pozornost si zaslouží také nařízení DORA a CRA. DORA se týká finančních institucí a jejich ICT dodavatelů a platí od ledna 2025. CRA se dotkne všech produktů s digitálními prvky, přičemž většina opatření bude aktuálních od konce roku 2027.

DORA a CRA: Jak připravit firmu na nové evropské regulace

Co je DORA?

Cílem nařízení Digital Operational Resilience Act (DORA) je posílit odolnost finančního sektoru. Harmonizovaný přístup k řízení kybernetických rizik by měl zlepšit schopnost finančních institucí odolávat kyberútokům i technologickým selháním. Důležité je to hlavně kvůli jejich rostoucí závislosti na vlastní digitální infrastruktuře a také kvůli jejich vzájemné propojenosti.

DORA se týká 22 tisíc finančních institucí.

DORA se vztahuje na banky, pojišťovny, investiční fondy nebo poskytovatele plateb. V tuzemském kontextu se dá zjednodušeně říct, že pokud má firma licenci České národní banky (ČNB), tak pod nařízení spadá. DORA nicméně dopadne i na dodavatele ICT služeb pro tyto finanční instituce.

Jaké povinnosti přináší DORA

Zapojení vedení společnosti

Nařízení DORA vyžaduje, aby se vrcholové vedení organizace aktivně podílelo na řízení ICT rizik. Klíčoví manažeři nesou odpovědnost za schvalování strategií digitální odolnosti a musejí dohlížet na jejich důsledné uplatňování napříč celou firmou.

Spolupráce s dodavateli

Finanční instituce mají povinnost důkladně prověřit své dodavatele ICT služeb. Spolupráce s nimi musí být upravena smluvně tak, aby bylo zajištěno jejich zapojení při řešení mimořádných situací a krizí.

Testování odolnosti a průběžný dohled

Instituce musejí pravidelně ověřovat svou digitální odolnost, a to zejména pomocí penetračních testů. Dále je nutné zavést dohledové systémy, které dokážou v reálném čase detekovat hrozby a zranitelnosti.

Krizové scénáře a plány obnovy

Firmy musejí mít připravené detailní a prakticky prověřené plány pro obnovu provozu v případě havárií nebo kybernetických útoků. Tyto plány je třeba průběžně aktualizovat, aby byly schopné zajistit co nejplynulejší chod i během incidentů.

Rozdíl mezi DORA a NIS2

Oproti NIS2 má DORA v rámci finančního sektoru širší záběr a jde do většího detailu. Navíc má DORA v případě překryvu přednost. A třeba incidenty budou muset příslušné instituce hlásit jak na Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), jak žádá NIS2, tak na ČNB.

NIS2: Nový zákon o kybernetické bezpečnosti. Na co se připravit?

Zobrazit článek

Povinnosti dodavatelů ICT služeb

ICT služby definuje DORA velmi široce – nařízení se vztahuje na každého, kdo finančním institucím (bankám, pojišťovnám, investičním společnostem) dodává jakékoli IT řešení, včetně softwaru, hardwaru, cloudových služeb, outsourcingu nebo technické podpory.

Ambicí je, aby si finanční instituce své dodavatele vybíraly pečlivěji než dosud. Budou povinny provést důkladnou analýzu, nakolik dodavatel splňuje příslušné normy v oblasti bezpečnosti a řízení ICT rizik.

Mezi klíčové normy patří zejména ISO/IEC 27001 pro řízení bezpečnosti informací, ISO/IEC 22301 pro zajištění kontinuity podnikání a rovněž požadavky na ochranu osobních údajů podle GDPR. Finanční instituce budou muset prověřit nejen formální certifikaci dodavatele, ale také skutečnou implementaci příslušných opatření.

Jak vybrat dodavatele v oblasti kybernetické bezpečnosti? Položte jim tyto otázky

Zobrazit článek

Smlouva s dodavatelem pak bude muset obsahovat specifikaci poskytovaných služeb, požadavky na jejich bezpečnost, právo na audit a inspekci a plán řízeného ukončení spolupráce (tzv. exit plán). Součástí má být i povinnost dodavatele poskytnout instituci podporu v případě ICT incidentu.

Zvlášť přísně DORA pohlíží na tzv. kritické dodavatele. O tom, zda je konkrétní dodavatel „kritický“, rozhodne příslušná celoevropská dohledová instituce — pro bankovnictví EBA, pro cenné papíry ESMA a pro pojišťovnictví EIOPA. Pro kritické dodavatele budou platit vyšší standardy, širší povinnosti a individuální dohledové plány, jejichž nedodržení bude sankcionováno.

Konkrétní požadavky vůči dodavatelům se však, navzdory nabyté účinnosti nařízení, stále ještě diskutují a můžou se změnit.

Jak zavést DORA do firmy?
1. Strategie a odpovědnosti
Určete, zda se vás DORA týká.
Zapojte vedení a zjistěte zodpovědné osoby.
Vypracujte plán a strategii digitální odolnosti.
2. Bezpečnost a provoz
Zaveďte řízení ICT rizik, incidentů a monitoring.
Připravte plány obnovy a testujte odolnost systémů.
3. Dodavatelé a smlouvy
Prověřte ICT partnery a aktualizujte smlouvy podle DORA.
Zajistěte jejich součinnost při krizích.
4. Lidé a procesy
Školte vedení i zaměstnance.
Nastavte hlášení incidentů a připravte se na audit.

Co je CRA?

Cyber Resilience Act (CRA) má zajistit, aby byly všechny produkty s digitálními prvky uvedené na evropský trh odolné vůči kybernetickým hrozbám. A to už ve fázi návrhu a také během provozu. Nařízení chrání koncové uživatele, ať už jednotlivce, nebo firmy, před riziky spojenými s používáním zranitelných zařízení – například před úniky dat nebo kompromitací soukromí.

Na jaké produkty se CRA vztahuje
Zjednodušeně řečeno spadnou pod CRA produkty, které obsahují software a připojují se k síti. Patří sem například:
Chytré domácnosti a spotřebiče (ledničky a pračky s připojením k internetu, robotické vysavače ovládané přes aplikaci, chytré osvětlení a termostaty, chytré zámky, videotelefony nebo bezpečnostní kamery).
Průmyslová zařízení a podnikové IT systémy (průmyslové řídicí systémy, čipové karty, biometrické vstupy, chytré budovy – řízení topení, klimatizace, osvětlení).
Software a digitální služby (operační systémy, aplikační software, cloudové služby, VPN aplikace a bezpečnostní nástroje, chytří domácí asistenti, jako je třeba Alexa).
Mobilita a automotive sektor (infotainment systémy v automobilech, palubní diagnostické systémy připojené k internetu, elektrické skútry a kola s funkcemi vzdáleného ovládání nebo sledování).
Volnočasová elektronika (chytré hodinky, herní konzole a příslušenství s online funkcemi, interaktivní hračky, drony).

Jaké povinnosti přináší CRA

Široké pokrytí produktů a výrobců

CRA se vztahuje na všechny produkty s digitálními prvky (software i hardware), které jsou uváděny na trh Evropské unie. Tím vytváří jednotný rámec pro kybernetickou bezpečnost napříč celým digitálním ekosystémem.

Produkty jsou dále rozděleny na tři třídy: běžné (např. chytré telefony, domácí wifi routery), kritické (síťová zařízení pro firmy, firewally) a vysoce kritické (systémy správy identit, cloudové platformy). U vysoce kritických bude kladen důraz na certifikaci třetí stranou, pravidelné penetrační testování nebo rychlou nápravu objevené zranitelnosti.

Při implementaci regulací EU není potřeba panikařit

Zobrazit podcast

Kyberbezpečnost jako standard

Výrobci budou mít povinnost zajistit, že jejich produkty splňují základní požadavky na kybernetickou bezpečnost. To zahrnuje bezpečný vývoj, nasazení, aktualizace a podporu po celou dobu životního cyklu produktu – včetně schopnosti reagovat na nové zranitelnosti.

Odpovědnost výrobců, distributorů a dovozců

CRA klade hlavní odpovědnost na výrobce, kteří musejí vést i odpovídající dokumentaci. Patří sem popis produktu, jeho architektura, analýza rizik a postup testování. Dále prohlášení o shodě s požadavky CRA. A také pokyny pro bezpečné používání a aktualizace a plán, jakým budou poskytovány.

Distributoři musejí ověřit správné označení výrobku, že existuje prohlášení o shodě s CRA a uživatelské pokyny v příslušném jazyce. Dovozci navíc nesou odpovědnost za to, že požadavkům CRA plně vyhovuje i výrobek dovezený z třetí země. Distributoři i dovozci mají povinnost aktivně spolupracovat s kontrolními orgány a včas hlásit jakékoli problémy.

Povinné hlášení zranitelností

Organizace budou povinny oznamovat aktivní zranitelnosti a bezpečnostní incidenty Evropské agentuře pro bezpečnost sítí a informací (ENISA) – a to už do 24 hodin od jejich zjištění. Cílem je zajistit včasnou reakci a sdílení informací o hrozbách napříč celým trhem.

Jak se překrývají CRA a NIS2

Obě regulace kladou důraz na aktivní řízení kybernetických rizik, bezpečnostní politiku a odpovědnost vedení. CRA se nicméně soustředí na produkty (jejich návrh, vývoj a údržbu), zatímco NIS2 na provozní zabezpečení organizací. V případě incidentů pak budou mít dotčené firmy opět povinnost hlásit je jak na NÚKIB, tak na ENISA.

Jak zavést CRA do firmy?
1. Identifikace dopadu a odpovědnost
Zjistěte, zda vaše produkty spadají pod CRA.
Určete osoby zodpovědné za shodu a bezpečnost produktů.
Vytvořte plán implementace požadavků CRA.
2. Bezpečný vývoj a správa produktů
Zavádějte principy security by design / by default.
Vytvořte procesy pro řízení zranitelností a aktualizací.
Připravte technickou dokumentaci a bezpečnostní označení.
3. Incidenty a hlášení
Nastavte systémy pro detekci a hlášení zranitelností.
Zajistěte schopnost hlásit incidenty do 24 hodin dle pravidel CRA.
Připravte komunikační plán pro ENISA, klienty i partnery.
4. Dodavatelé a shoda
Prověřte dodavatelský řetězec.
Upravte smlouvy a procesy tak, aby podporovaly bezpečnostní požadavky CRA.
Připravte se na auditní a certifikační povinnosti.

Co si z článku odnést?

DORA a CRA jsou evropské regulace, které výrazně ovlivní digitální bezpečnost firem – DORA platí pro finanční sektor, CRA pro všechny produkty s digitálními prvky.
DORA je již účinná a její dodržování se začne brzy kontrolovat; většina opatření CRA začne platit od prosince 2027, ale vyplatí se nepodcenit přípravu. Jinak riskujete sankce – a ztrátu důvěry obchodních partnerů i regulátorů.
DORA zavádí nové povinnosti v oblasti řízení ICT rizik, odpovědnosti vedení, testování odolnosti, krizových plánů i smluv s dodavateli. CRA zase přináší požadavky na kybernetickou bezpečnost produktů, od vývoje až po provoz a aktualizace, včetně povinného hlášení zranitelností do 24 hodin.
Obě regulace se překrývají s NIS2 a firmy spadající do více režimů budou muset sladit hlášení incidentů a řízení bezpečnostních opatření napříč předpisy.