DORA

Co je DORA?

Nařízení EU 2022/2554 o digitální provozní odolnosti finančního sektoru, známé jako DORA (Digital Operational Resilience Act), nabylo na účinnosti 17. ledna 2025. Tato komplexní regulace stanovuje jednotné požadavky na řízení rizik informačních a komunikačních technologií (ICT), řešení bezpečnostních incidentů, testování kybernetické odolnosti a správu vztahů s dodavateli digitálních služeb pro všechny finanční instituce působící v rámci Evropské unie. 

DORA byla poprvé navržena Evropskou komisí v září 2020 jako součást rozsáhlejšího balíčku opatření pro digitální finance, který zahrnoval také návrhy týkající se kryptoaktiv (MiCA) a režimu pro tržní infrastruktury založené na technologii distribuované účetní knihy (DLT). Legislativní proces přijetí DORA představoval více než dva roky jednání mezi Evropskou komisí, Evropským parlamentem a Radou EU. V prosinci 2022 byla DORA oficiálně přijata a publikována v Úředním věstníku EU jako nařízení (EU) 2022/2554. Toto nařízení vstoupilo v platnost v lednu 2023, ale finanční instituce měly na implementaci příslušných opatření následujících 24 měsíců. 

Hlavním cílem DORA je konsolidovat a harmonizovat regulatorní požadavky na odolnost ICT napříč finančním sektorem v rámci EU, posílit schopnost finančních institucí odolávat vážným narušením provozu a zajistit, aby byl finanční sektor odolný i v prostředí rostoucího množství a závažnosti kybernetických hrozeb. Na rozdíl od předchozích sektorově specifických regulací nebo obecných bezpečnostních rámců jako směrnice NIS (Network and Information Security) je DORA zaměřena přímo na finanční sektor. 

Působnost a pilíře DORA 

Regulace DORA se vztahuje prakticky na všechny finanční subjekty regulované v rámci EU včetně bank, pojišťoven, investičních firem, poskytovatelů platebních služeb, správců alternativních investičních fondů, úvěrových ratingových agentur, centrálních protistran, obchodních registrů a dalších. Celkem jde o více než 20 různých typů finančních subjektů. Zásadním rozšířením oproti předchozím regulacím je také zahrnutí tzv. třetích stran poskytujících kritické ICT služby (Critical ICT Third-Party Providers, CTTPs) do regulatorního dohledu, což umožňuje přímý dohled evropských regulátorů nad klíčovými poskytovateli cloudových služeb a ostatních ICT řešení pro finanční sektor. Z hlediska věcného obsahu je DORA strukturována do pěti hlavních pilířů: 

  • První pilíř se týká řízení rizik ICT a vyžaduje, aby finanční subjekty implementovaly do svého celkového systému řízení rizik rovněž rámec řízení rizik spojených s ICT. Tento rámec musí zahrnovat jasně definované role a odpovědnosti, pravidelné posuzování rizik, implementaci bezpečnostních opatření, detekční mechanismy, plány reakce a obnovy a průběžné zlepšování na základě získaných zkušeností. 
  • Druhý pilíř se zaměřuje na řízení, klasifikaci a oznamování incidentů souvisejících s ICT. DORA stanovuje jednotné požadavky na sledování a zaznamenávání incidentů, jejich klasifikaci podle závažnosti a zejména ukládá povinnost oznamovat závažné incidenty příslušným dohledovým orgánům. Nařízení zavádí jednotný formát a šablony pro hlášení incidentů a určuje jasné časové rámce pro podávání počátečních, průběžných a závěrečných zpráv o incidentech. 
  • Třetí pilíř DORA se týká testování digitální odolnosti. Finanční subjekty musí pravidelně provádět různé typy testů své infrastruktury ICT i systémů a aplikací, aby zjistily potenciální zranitelnosti a prověřily účinnost svých ochranných opatření. Pro významné finanční subjekty zavádí DORA také povinnost provádět nejméně každé tři roky pokročilé penetrační testy. 
  • Čtvrtý pilíř regulace se soustředí na řízení rizik třetích stran v oblasti ICT. Finanční subjekty musí implementovat zásady a procesy pro identifikaci, posuzování a řízení rizik spojených se svými dodavateli ICT služeb. Podle DORA musí smlouvy s těmito dodavateli obsahovat specifikaci služeb, požadavky na jejich bezpečnost, oprávnění k auditu nebo popis strategie ukončení spolupráce. Zvláštní pozornost je věnována vztahům s kriticky významnými dodavateli ICT služeb, na které jsou kladeny ještě přísnější požadavky. 
  • Pátý pilíř DORA zavádí jednu z nejvýznamnějších inovací v podobě přímého dohledového rámce pro kriticky významné poskytovatele ICT služeb třetím stranám (CTTPs). Tito poskytovatelé, kteří budou identifikováni evropskými dohledovými orgány na základě jejich systémového významu pro finanční sektor EU, budou přímo podléhat evropským dohledovým orgánům (EBA, ESMA nebo EIOPA). Tento dohled zahrnuje pravidelné hodnocení, možnost provádění inspekcí v místě, vydávání doporučení a v některých případech i ukládání sankcí. 

Kromě samotného textu nařízení DORA jsou klíčové také navazující regulační technické standardy (RTS) a prováděcí technické standardy (ITS) vypracované evropskými dohledovými orgány. Tyto standardy poskytují detailnější specifikace pro implementaci různých aspektů DORA včetně metodiky pro klasifikaci ICT incidentů, kritérií pro určení významných finančních subjektů, formátů pro oznamování incidentů, požadavků na testování digitální odolnosti a kritérií pro určení kriticky významných poskytovatelů ICT služeb. 

Implementace opatření podle DORA 

Zajištění fungování finančních institucí v souladu s regulací DORA vyžaduje komplexní přístup zahrnující technické, procesní i organizační změny. Z technického hlediska musí instituce posílit své bezpečnostní architektury, implementovat pokročilé monitorovací a detekční systémy, zajistit robustní mechanismy zálohování a obnovy a zavést nástroje pro efektivní řízení incidentů. Z procesního hlediska je nezbytné aktualizovat politiky a postupy pro řízení rizik ICT, reakci na incidenty, testování odolnosti a řízení dodavatelských vztahů. Z organizačního hlediska vyžaduje DORA jasné definování rolí a odpovědností, zajištění odpovídající kvalifikace zaměstnanců a pravidelné reportování managementu a dohledovým orgánům. 

Samostatnou kapitolou je splnění požadavků DORA na řízení komplexních dodavatelských řetězců, zejména v souvislosti s rostoucí mírou využívání cloudových služeb. Finanční instituce musí zajistit dostatečnou úroveň transparentnosti a kontroly nad svými dodavateli, včetně sub-dodavatelů, a uvést všechna smluvní ujednání do souladu s požadavky DORA. Přizpůsobit smlouvy konkrétním regulatorním požadavkům může být obzvláště složité v případě velkých globálních poskytovatelů cloudových služeb. 

Při zavádění opatření podle DORA musí navíc finanční instituce postupovat v souladu s dalšími regulačními požadavky, ke kterým patří především Obecné nařízení o ochraně osobních údajů (GDPR), směrnice NIS2 o bezpečnosti sítí a informací, sektorově specifické regulace jako směrnice PSD2 o platebních službách nebo nově také regulace umělé inteligence AI Act. 

Předpokládané přínosy DORA 

Z dlouhodobého hlediska lze očekávat, že DORA přispěje k posílení digitální odolnosti evropského finančního sektoru a ke snížení systémových rizik spojených s ICT. Harmonizovaný přístup k řízení kybernetických rizik by měl zlepšit schopnost finančního sektoru odolávat kybernetickým útokům a technologickým selháním. To je obzvlášť důležité vzhledem k rostoucí úrovni digitalizace finančních služeb a vzájemné propojenosti finančních institucí. 

Zavedení přímého dohledu nad kriticky významnými poskytovateli ICT služeb představuje zásadní posun v regulatorním přístupu a potvrzení faktu, že stabilita finančního odvětví nezávisí jen na samotných finančních institucích, ale také na technologických společnostech, které jim poskytují klíčové služby. 

Přehledy a statistiky kyber hrozeb

Více o ooo2 Security

0 mil.

POČET HROZEB ZA ROK 2022

0 mil.

POČET HROZEB ZA ROK 2023
  • 455 Kvě
  • 442 čer
  • 289 čer
  • 99 Srp
  • 273 Zář
  • 227 říj
  • 247 Lis
  • 253 Pro
  • 256 Led
  • 226 úno
  • 403 Bře
  • 379 Dub
455 228 0
POČTY KYBER HROZEB ZA POSLEDNÍCH 12 MĚSÍCŮ V MILIONECH