DORA: Přehled

Regulace: EU 2022/2554 (Digital Operational Resilience Act) Účinnost: 17. ledna 2025 (plně aplikovatelné) Oblast: Digitální provozní odolnost finančního sektoru

---

Co je DORA?

DORA (Digital Operational Resilience Act) je nařízení EU, které stanovuje jednotný rámec pro řízení ICT rizik ve finančním sektoru. Je to lex specialis - pro finanční instituce nahrazuje NIS2 požadavky v oblasti ICT risk managementu, incident reportingu a resilience testingu.

Kdo spadá pod DORA?

Finanční entity (Čl. 2)

Kategorie	Příklady
Úvěrové instituce	Banky, spořitelny
Platební instituce	Platební služby, e-money
Investiční firmy	Obchodníci s cennými papíry
Pojišťovny	Životní i neživotní pojištění
Zajišťovny	Zajišťovací společnosti
Penzijní fondy	IORP
Kryptoaktiva	Poskytovatelé služeb kryptoaktiv (od MiCA)
ICT třetí strany	Kritičtí ICT poskytovatelé pro finanční sektor

Zjednodušený režim (Čl. 16)

Menší entity mohou využít zjednodušený ICT risk management framework.

Pět pilířů DORA

Vztah k ostatním regulacím

DORA vs NIS2

Aspekt	NIS2	DORA
Typ	Směrnice	Nařízení
Scope	Všechny sektory	Pouze finanční sektor
Vztah	Obecný rámec	Lex specialis (nahrazuje NIS2 pro finance)
Incident reporting	24h/72h	Dle klasifikace + ESAs
Testing	Pen testy	TLPT (Threat-Led) pro významné
Third-party	Supply chain	ICT concentration risk + ESAs oversight

DORA + GDPR + AI Act

Timeline

Sankce

Porušení	Pokuta
Finanční entity	Až €10M nebo 1% globálního obratu
Kritičtí ICT providers	Až €1M denně (periodic penalty)
Jednotlivci (management)	Možnost individuálních sankcí

Dozorové orgány:

• ČNB - pro české finanční entity
• ESAs (EBA, EIOPA, ESMA) - přímý dohled nad kritickými ICT providers

Klíčové požadavky

ICT Risk Management Framework (Čl. 6)

• Dokumentovaný framework schválený boardem
• Digital Operational Resilience Strategy
• Risk tolerance definovaná boardem
• Minimálně roční review

Incident Reporting (Čl. 19)

Fáze	Timeline	Obsah
Initial notification	Bez zbytečného odkladu	Základní info o incidentu
Intermediate report	Průběžně	Aktualizace, dopady
Final report	Do 1 měsíce	Root cause, lessons learned

TLPT (Čl. 26)

• Pro “významné” finanční instituce (určí regulátor)
• Threat-Led Penetration Testing
• Každé 3 roky
• Certifikovaní testeři (TIBER-EU framework)

ICT Third-Party Registry (Čl. 28)

• Registr všech ICT třetích stran
• Identifikace kritických providers
• Předání registru ESAs (deadline 30.4.2025)
• Průběžná aktualizace

---

Další kroky

1. Projděte DORA checklist
2. Zkontrolujte finance specifika
3. Ověřte scope s ČNB

---

Zdroje

• DORA Nařízení (EU) 2022/2554 (EUR-Lex)
• ČNB - DORA informace
• EBA - DORA RTS/ITS
• ESMA - DORA Guidelines

---

Upozornění

Tento obsah má informační charakter a nepředstavuje právní poradenství. Pro konkrétní situaci vaší organizace doporučujeme konzultaci s kvalifikovaným právníkem.

Co dál?

Potřebujete pomoc s implementací?

Nabízíme bezplatnou 15minutovou konzultaci. Bez závazku, bez prodejního tlaku.

Domluvit hovor (15 min) → Otestovat připravenost (5 min) →