DORA

DORA: Digitální odolnost v evropském finančním sektoru

– Nový standard bezpečnosti pro banky, pojišťovny, fintechy a jejich dodavatele

Zatímco směrnice NIS2 nastavuje rámec kybernetické bezpečnosti napříč odvětvími, nařízení DORA (Digital Operational Resilience Act) přináší velmi konkrétní a přísné požadavky na subjekty ve finančním sektoru. Od ledna 2025 se z DORA stává přímo závazné evropské nařízení, které zásadně mění pravidla pro zacházení s technologiemi, informačními systémy, bezpečností, dodavateli i krizovým řízením.

Co je DORA?

DORA – Digital Operational Resilience Act je evropské nařízení o digitální provozní odolnosti finančního sektoru. Jeho cílem je zajistit, aby všechny organizace působící v tomto sektoru byly schopny odolat kybernetickým hrozbám, technologickým výpadkům a incidentům, a zároveň aby uměly rychle obnovit provoz a minimalizovat dopady.

Koho se DORA týká?

Nařízení se vztahuje na více než 22 kategorií finančních subjektů, včetně:

bank, pojišťoven, investičních společností, fondů, penzijních společností, platebních institucí, nebankovních úvěrových poskytovatelů,
centrálních depozitářů, burz, clearingových center,
ale i fintech startupů, poskytovatelů kryptoměnových služeb nebo pojišťovacích zprostředkovatelů.

DORA se však neomezuje pouze na regulované finanční subjekty – týká se také třetích stran poskytujících ICT služby, tedy například:

poskytovatelů cloudu,
IT správců,
poskytovatelů AI nástrojů,
provozovatelů outsourcingu IT infrastruktury nebo kybernetické bezpečnosti.

Finanční instituce jsou povinny řídit rizika i u těchto dodavatelů.

Hlavní pilíře DORA

DORA definuje pět základních oblastí, které musí organizace řídit a dokumentovat:

1. Řízení ICT rizik (ICT Risk Management)

Organizace musí:

identifikovat, hodnotit a spravovat všechna technologická rizika (hardware, software, sítě, lidé),
zavést politiky, kontrolní mechanismy a interní odpovědnosti,
zajišťovat pravidelný audit a testování bezpečnostních opatření,
provádět školení zaměstnanců a krizová cvičení,
řídit rizika i ve vztahu k vlastní AI infrastruktuře a automatizovaným rozhodovacím systémům.

2. Řízení a hlášení ICT incidentů

DORA stanovuje povinnost:

klasifikovat incidenty dle závažnosti,
reportovat incidenty do 4 hodin od jejich detekce,
vést detailní evidenci a analyzovat příčiny,
být připraven komunikovat dopady regulátorům a veřejnosti.

Zde se počítá s plnou integrací do stávajících struktur kybernetické bezpečnosti (např. CSIRT/NÚKIB v ČR).

3. Testování digitální odolnosti

Organizace musí pravidelně:

provádět technické testy (včetně penetračních testů),
simulovat kybernetické útoky a scénáře výpadků,
ověřovat odolnost a připravenost interního i externího IT týmu,
testovat AI a automatizované systémy na riziko selhání či neetického rozhodování.

Větší instituce budou povinny podrobit se tzv. Threat-Led Penetration Testing (TLPT) – testy simulující skutečné útoky podle metodiky TIBER-EU.

4. Řízení třetích stran (Third-party Risk Management)

DORA vyžaduje:

smluvní ošetření bezpečnosti a odolnosti všech dodavatelů IT a digitálních služeb,
zajištění možnosti auditu a kontroly těchto třetích stran,
evidenci závislostí na konkrétních dodavatelích (např. cloud, AI služby),
povinnost okamžité reakce při výpadku dodavatele.

To se zásadně dotýká všech firem, které poskytují outsourcing správy IT, bezpečnostní monitoring, hostování AI řešení nebo správu koncových zařízení.

5. Sdílení informací o hrozbách (Information Sharing)

Na bázi dobrovolnosti umožňuje DORA sdílení informací o kybernetických hrozbách, incidentech, zranitelnostech a obranných opatřeních mezi finančními institucemi – za účelem zvýšení kolektivní odolnosti.

Co musí finanční instituce udělat?

Zavést komplexní rámec řízení ICT rizik,
Vyčlenit a posílit roli manažera kybernetické bezpečnosti,
Uspořádat interní audit a upravit směrnice dle požadavků DORA,
Zajistit 24/7 monitoring, reakční tým a krizový plán,
Provést analýzu a úpravu všech smluvních vztahů s IT dodavateli,
Připravit systém na rychlé hlášení incidentů a testování odolnosti.

Sankce za nedodržení

DORA přináší možnost vysokých pokut, zákazu činnosti nebo odebrání licence, ale i osobní odpovědnost vedení za neplnění povinností.

Nepřipravenost se nebude tolerovat.

Proč je DORA přelomová?

Prolíná IT a business – propojuje technologie s odpovědností vedení.
Zohledňuje AI, outsourcing, cloud a komplexní ekosystémy.
Standardizuje testování odolnosti napříč Evropou.
Nutí firmy aktivně řídit rizika – nejen řešit následky.

Závěr: DORA není „další regulace“, ale nutná evoluce

Digitální odolnost není volitelná. Ve světě, kde je výpadek systémů otázkou reputace i přežití, je systémová odolnost firemního IT základem stability.

Nařízení DORA dává jasná pravidla – a zároveň prostor k tomu, nastavit procesy chytře, odpovědně a včas. S využitím správných lidí, technologií a partnerů.