EU DORA: na koho se vztahuje a které nástroje pomáhají
DORA je unijní nařízení o digitální provozní odolnosti finančního sektoru. Níže najdete přehled průběžných povinností, rychlou kontrolu, zda se nařízení vztahuje na vaši organizaci, a nezávislý pohled na nástroje, které s plněním pomáhají.
DORA se použije od 17. ledna 2025. Nejde o jednorázový termín: registr informací musí být regulátorovi předkládán každý rok a rok 2026 je prvním úplným cyklem dohledu, v němž orgány tato podání křížově ověřují. V České republice dohlíží na plnění DORA Česká národní banka (ČNB).
Klíčová data
Vztahuje se DORA na vaši organizaci?
Dvě otázky, orientační odpověď. Nejde o právní poradenství.
Nástroje pro plnění povinností podle DORA
Soulad s DORA se zpravidla zajišťuje stejným způsobem jako u NIS2 nebo ISO 27001: prostřednictvím platformy, která sdružuje rámec pro řízení ICT rizik, důkazy, záznamy o incidentech a registr třetích stran. Níže uvedené nástroje tuto potřebu pokrývají; poslední z nich se zaměřuje specificky na každoroční registr informací.
| Nástroj | Podpora DORA | Nejvhodnější pro | Podrobnosti |
|---|---|---|---|
| Vanta US | Vyhrazený produkt pro DORA: automatizované testy, předpřipravené politiky pro DORA a důkazy znovu využité z práce na ISO 27001, SOC 2 nebo NIS2 | Fintechové společnosti a ICT dodavatelé, kteří již automatizují jiné rámce | Zobrazit → |
| Drata US | Předpřipravený rámec DORA s modulem pro řízení ICT rizik a monitoringem rizik třetích stran, křížově namapovaný na kontrolní mechanismy, které již můžete mít | Finanční subjekty, které chtějí DORA namapovat na stávající kontrolní mechanismy | Zobrazit → |
| Sprinto US/IN | Rámec DORA zaměřený na fintechové a středně velké subjekty, které s nařízením teprve začínají, s mapováním kontrol a průběžným monitoringem | Menší fintechové společnosti a platební instituce začínající s DORA od základů | Zobrazit → |
| Secureframe US | DORA je zahrnuta v seznamu podporovaných rámců s mapováním kontrol a průběžným monitoringem dodavatelů | Týmy, které již provozují SOC 2 nebo ISO 27001 v rámci platformy | Zobrazit → |
| ISMS.online UK | Vyhrazené řešení pro rámec DORA s evidencí incidentů a mapováním z ISO 27001 na DORA | Organizace, které spravují soulad s předpisy formou dokumentovaného ISMS | Zobrazit → |
| Vendorica EU | Nástroje nativní pro DORA zaměřené na registr informací a registr ICT třetích stran; vhodné zejména tehdy, kdy je hlavním problémem podání registru informací | Subjekty, jejichž hlavní mezerou je každoroční registr informací | Zobrazit → |
Redakční sdělení: některé odkazy jsou partnerské. Pokud prostřednictvím nich nakoupíte, může nám vzniknout provize bez jakýchkoliv dodatečných nákladů pro vás. Naše hodnocení a pořadí jsou nezávislé na obchodních vztazích.
Často kladené otázky
Na koho se DORA vztahuje?
Přibližně 22 000 finančních subjektů EU z přibližně 20 kategorií (banky, pojišťovny, investiční firmy, instituce elektronických peněz a platební instituce, poskytovatelé kryptoaktiv, správci fondů) a nepřímo také ICT třetí strany, které jim poskytují služby. Kritické ICT třetí strany podléhají rovněž přímému dohledu EU.
Jaké jsou sankce?
Orgány mohou finančním subjektům uložit pokuty až do výše 2 procent celkového ročního celosvětového obratu, kritickým ICT třetím stranám až 1 procento průměrného denního celosvětového obratu za každý den porušení a jednotliví vedoucí pracovníci mohou nést osobní odpovědnost až do výše 1 milionu EUR.
Co je registr informací?
Strukturovaný seznam všech smluvních ujednání s poskytovateli ICT služeb třetích stran, předkládaný každoročně národnímu regulátorovi. Jde o jeden z nejkonkrétnějších a pravidelně se opakujících výstupů DORA a častý důvod, proč organizace pořizují specializované nástroje.
Již plníme ISO 27001 nebo NIS2. Musíme začínat od nuly?
Ne. DORA se v oblasti řízení ICT rizik a zvládání incidentů výrazně překrývá s ISO 27001 a NIS2. Většina compliance platforem umožňuje znovu využít stávající kontrolní mechanismy a důkazy a namapovat je na DORA, takže dodatečná práce se týká pouze částí specifických pro DORA, jako je testování odolnosti a registr informací.
Jsme příliš malí na to, aby se DORA týkala nás?
DORA uplatňuje zásadu proporcionality, takže menší subjekty se řídí zjednodušeným rámcem pro řízení ICT rizik namísto plného režimu. Nařízení se však na ně stále vztahuje. Mikropodniky mají nejlehčí variantu povinností, avšak registr a povinnosti hlášení incidentů zůstávají zachovány.
Vztahuje se na vás také NIS2? Podívejte se na naše hlavní srovnání nástrojů →
Tato stránka poskytuje praktické informace, nikoliv právní poradenství.