EU DORA: na koho se vztahuje a které nástroje pomáhají

DORA je unijní nařízení o digitální provozní odolnosti finančního sektoru. Níže najdete přehled průběžných povinností, rychlou kontrolu, zda se nařízení vztahuje na vaši organizaci, a nezávislý pohled na nástroje, které s plněním pomáhají.

DORA se použije od 17. ledna 2025. Nejde o jednorázový termín: registr informací musí být regulátorovi předkládán každý rok a rok 2026 je prvním úplným cyklem dohledu, v němž orgány tato podání křížově ověřují. V České republice dohlíží na plnění DORA Česká národní banka (ČNB).

Klíčová data

17. ledna 2025
DORA se použije: povinnosti v oblasti řízení ICT rizik, hlášení incidentů, testování odolnosti a řízení rizik třetích stran jsou účinné
31. března 2026
Roční registr informací: seznam všech smluv s ICT třetími stranami musí být předložen regulátorovi (opakuje se každý rok)
30. června 2026
První úplný cyklus dohledu: orgány křížově ověřují podané registry a vydávají nápravná opatření

Vztahuje se DORA na vaši organizaci?

Dvě otázky, orientační odpověď. Nejde o právní poradenství.

Co nejlépe popisuje vaši organizaci?
Jste mikropodnik (méně než 10 zaměstnanců a obrat pod 2 miliony EUR)?

Nástroje pro plnění povinností podle DORA

Soulad s DORA se zpravidla zajišťuje stejným způsobem jako u NIS2 nebo ISO 27001: prostřednictvím platformy, která sdružuje rámec pro řízení ICT rizik, důkazy, záznamy o incidentech a registr třetích stran. Níže uvedené nástroje tuto potřebu pokrývají; poslední z nich se zaměřuje specificky na každoroční registr informací.

NástrojPodpora DORA Nejvhodnější proPodrobnosti
Vanta
US
Vyhrazený produkt pro DORA: automatizované testy, předpřipravené politiky pro DORA a důkazy znovu využité z práce na ISO 27001, SOC 2 nebo NIS2Fintechové společnosti a ICT dodavatelé, kteří již automatizují jiné rámceZobrazit →
Drata
US
Předpřipravený rámec DORA s modulem pro řízení ICT rizik a monitoringem rizik třetích stran, křížově namapovaný na kontrolní mechanismy, které již můžete mítFinanční subjekty, které chtějí DORA namapovat na stávající kontrolní mechanismyZobrazit →
Sprinto
US/IN
Rámec DORA zaměřený na fintechové a středně velké subjekty, které s nařízením teprve začínají, s mapováním kontrol a průběžným monitoringemMenší fintechové společnosti a platební instituce začínající s DORA od základůZobrazit →
Secureframe
US
DORA je zahrnuta v seznamu podporovaných rámců s mapováním kontrol a průběžným monitoringem dodavatelůTýmy, které již provozují SOC 2 nebo ISO 27001 v rámci platformyZobrazit →
ISMS.online
UK
Vyhrazené řešení pro rámec DORA s evidencí incidentů a mapováním z ISO 27001 na DORAOrganizace, které spravují soulad s předpisy formou dokumentovaného ISMSZobrazit →
Vendorica
EU
Nástroje nativní pro DORA zaměřené na registr informací a registr ICT třetích stran; vhodné zejména tehdy, kdy je hlavním problémem podání registru informacíSubjekty, jejichž hlavní mezerou je každoroční registr informacíZobrazit →

Redakční sdělení: některé odkazy jsou partnerské. Pokud prostřednictvím nich nakoupíte, může nám vzniknout provize bez jakýchkoliv dodatečných nákladů pro vás. Naše hodnocení a pořadí jsou nezávislé na obchodních vztazích.

Často kladené otázky

Na koho se DORA vztahuje?

Přibližně 22 000 finančních subjektů EU z přibližně 20 kategorií (banky, pojišťovny, investiční firmy, instituce elektronických peněz a platební instituce, poskytovatelé kryptoaktiv, správci fondů) a nepřímo také ICT třetí strany, které jim poskytují služby. Kritické ICT třetí strany podléhají rovněž přímému dohledu EU.

Jaké jsou sankce?

Orgány mohou finančním subjektům uložit pokuty až do výše 2 procent celkového ročního celosvětového obratu, kritickým ICT třetím stranám až 1 procento průměrného denního celosvětového obratu za každý den porušení a jednotliví vedoucí pracovníci mohou nést osobní odpovědnost až do výše 1 milionu EUR.

Co je registr informací?

Strukturovaný seznam všech smluvních ujednání s poskytovateli ICT služeb třetích stran, předkládaný každoročně národnímu regulátorovi. Jde o jeden z nejkonkrétnějších a pravidelně se opakujících výstupů DORA a častý důvod, proč organizace pořizují specializované nástroje.

Již plníme ISO 27001 nebo NIS2. Musíme začínat od nuly?

Ne. DORA se v oblasti řízení ICT rizik a zvládání incidentů výrazně překrývá s ISO 27001 a NIS2. Většina compliance platforem umožňuje znovu využít stávající kontrolní mechanismy a důkazy a namapovat je na DORA, takže dodatečná práce se týká pouze částí specifických pro DORA, jako je testování odolnosti a registr informací.

Jsme příliš malí na to, aby se DORA týkala nás?

DORA uplatňuje zásadu proporcionality, takže menší subjekty se řídí zjednodušeným rámcem pro řízení ICT rizik namísto plného režimu. Nařízení se však na ně stále vztahuje. Mikropodniky mají nejlehčí variantu povinností, avšak registr a povinnosti hlášení incidentů zůstávají zachovány.

Vztahuje se na vás také NIS2? Podívejte se na naše hlavní srovnání nástrojů →

Tato stránka poskytuje praktické informace, nikoliv právní poradenství.

NIS2 v dalších zemích EU / NIS2 in other EU markets: