Nařízení DORA a MiCA: Co znamenají pro podnikatele

Nejprve stručné představení těchto dvou nařízení. Nařízení DORA je navrženo tak, aby posílilo kybernetickou bezpečnost finančních institucí a zajistilo jejich schopnost odolávat a rychle reagovat na digitální hrozby. Cílem DORA je snížit rizika v rámci užívání informačních a komunikačních technologií finančními institucemi a zvýšit digitální odolnost finančního systému. Nařízení DORA nabylo platnosti dne 16. 1. 2023 a účinnost započne dne 17. 1. 2025.

Nařízení MiCA představuje první komplexní unijní předpis upravující působení na trzích s kryptoaktivy. S účinností nařízení MiCA se sektor kryptoaktiv přesouvá z šedé neregulované oblasti, kde často docházelo k právní nejistotě a zvýšenému výskytu podvodných aktivit, do jasně definovaného a regulovaného rámce. Nařízení MiCA vstoupilo v platnost dne 29. 6. 2023 a jeho účinnost je dělená, kdy pravidla pro tokeny vázané na aktiva a elektronické peněžní tokeny nabývají účinnosti dne 30. 6. 2024 a dne 30. 12. 2024 nabývají účinnosti zbývající části nařízení. Poskytovatelé kryptoslužeb, kteří své služby poskytovali v souladu s použitelnými právními předpisy před 30. 12. 2024, mohou služby poskytovat nadále do 1. 7. 2026.

V současné době je návrh zákona implementující obě nařízení (tzv. zákon o digitalizaci finančního trhu) předložen vládou poslanecké sněmovně.[3]

DORA: Digitální odolnost

S rozvojem digitalizace finančních služeb roste zranitelnost tohoto odvětví vůči kybernetickým hrozbám. Evropská unie proto přijala nařízení DORA, jehož cílem je snížit rizika spojená s informačními a komunikačními technologiemi (IKT) a zvýšit digitální odolnost finančního systému. Toto nařízení přináší několik významných změn a nových povinností pro finanční subjekty.

Nařízení DORA se vztahuje na široké spektrum finančních institucí[4], včetně úvěrových institucí, investičních společností, pojišťoven a poskytovatelů služeb souvisejících s kryptoaktivy.  Nařízení DORA ukládá těmto subjektům v souhrnu okolo dvou set zákonných povinností. Tou nejobsáhlejší kategorií povinností tvoří pravidla týkající se zavedení rámce řízení rizik v oblasti IKT. DORA ukládá povinným subjektům zavést spolehlivý a komplexní rámec řízení IKT. Takový rámec musí obsahovat například strategie, politiky, postupy, protokoly a nástroje IKT, jež jsou nezbytné pro řádnou a přiměřenou ochranu všech informačních aktiv[5] a aktiv v oblasti IKT[6]. Dále je každý povinný subjekt povinen ustanovit odborný a nezávislý vedoucí orgán, který je plně odpovědný za dohled nad řízením rizik. Cílem je tak zajistit, aby každý finanční subjekt disponoval spolehlivým, uceleným a důkladně zdokumentovaným rámcem pro řízení rizik, jež má umožnit rychlé, účinné a komplexní řešení vzniklých problémů. Každý povinný subjekt musí provádět kontrolu kompatibility svých postupů v oblasti IKT s pravidly stanovenými v nařízení, což mohou provádět interně, nebo za pomoci externích subjektů. Konečná odpovědnost za jejich soulad však vždy zůstává na nich.

Reklama

Rozvod s mezinárodním prvkem (online - živé vysílání) - 17.6.2025

17.6.2025 09:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Jednou z dalších klíčových povinností podle nařízení DORA je zavedení procesu hlášení závažných kybernetických incidentů. Finanční instituce budou muset monitorovat, analyzovat a klasifikovat všechny kybernetické hrozby a incidenty a v případě závažných incidentů je nahlásit příslušnému národnímu orgánu dohledu, kterým je v České republice Česká národní banka (ČNB).

V kontextu unijní regulace kybernetické bezpečnosti je důležité zmínit, že na konci roku 2022 byla přijata směrnice NIS II[7] Tato směrnice, zaměřená na zajištění vysoké úrovně kybernetické bezpečnosti v EU, nahradila předchozí směrnici NIS I. Směrnice NIS II a nařízení DORA se v mnoha ohledech překrývají, zejména pokud jde o subjekty spadající do jejich působnosti. Nařízení DORA je však vůči úpravě směrnice NIS II lex specialis, což znamená, že v oblasti finančních institucí má přednost. Finanční subjekty tedy musí primárně dodržovat požadavky stanovené nařízením DORA.

MiCA: Přelomová změna ve světě regulace kryptoaktiv

Jaké nové regulace MiCA zavádí v oblasti kryptoaktiv? Nařízení přináší jasnou definici kryptoaktiva jako digitální zachycení hodnoty nebo práv, které lze převádět a ukládat elektronicky pomocí tzv. distributed-ledger technology (DLT), tj. třeba známý blockchain nebo podobné technologie. Na základě této definice pak MiCA rozděluje kryptoaktiva na podkategorie, od kterých se odvíjí, jaká pravidla a povinnosti se budou aplikovat, a to na: 

• elektronické peněžní tokeny (e-money tokens) navázané na hodnotu fiat měny (tj. zákonné měny, např. EUR, CZK apod.). Příkladem je Tether (USDT), který je navázaný na americký dolar; 
• tokeny vázané na aktiva (asset-referenced tokens) navázané na jinou hodnotu nebo právo či jejich kombinaci. Příkladem může být token Tether Gold (XAUT), který je vázán na fyzické zlato;
• jiná kryptoaktiva, např. užitný token (utility token). Pod tuto kategorii spadá nejznámější bitcoin.

Výslovně jsou vyňata kryptoaktiva, která jsou nezaměnitelná a unikátní (nejčastěji tzv. NFT), s výjimkou například velkých NFT sbírek, které vykazují znak zaměnitelnosti. Je důležité uvést, že existence rozsáhlých kolekcí NFT neslouží bezprostředně jako indikátor zastupitelnosti tokenu a jeho nedostatečné jedinečnosti. Nicméně vydání NFT tokenu v rámci velké kolekce může naznačovat, že jsou jednotlivé tokeny v ní obsažené vzájemně zastupitelné, a tedy se na ně uplatní úprava nařízení. Kryptoaktivum je považováno za „jedinečné a nezastupitelné“, pokud jej nelze snadno vyměnit za jiné a jeho hodnotu ve srovnání s jiným jedinečným a nezastupitelným kryptoaktivem nelze určit na základě existujících trhů nebo podobných aktiv. O klasifikaci tedy rozhodují vlastnosti a užití daného kryptoaktiva, a nikoliv označení emitentem.

Nařízení se vztahuje na fyzické i právnické osoby, které se zabývají vydáváním a nabízením kryptoaktiv (vydavatel) nebo poskytováním služeb s nimi spojených (poskytovatelé služeb spojených s kryptoaktivy). Poskytování služeb spojených s kryptoaktivy zahrnuje mimo jiné služby jako jsou krypto burzy, krypto směnárny, přijímání a předávání pokynů týkajících se kryptoaktiv, poskytování poradenství ohledně kryptoaktiv, správa portfolia zahrnujícího kryptoaktiva, anebo digitální peněženky, kde jsou kryptoaktiva uchovávána (tzv. wallet custody).[8]

Nařízení MiCA dále nově zakotvuje některým provozovatelům a vydavatelům povinnost získat povolení k činnosti[9] od příslušného národního regulátora. V případě České republiky se jedná o ČNB, kdy v tuto chvíli je na webových stránkách ČNB k dispozici pouze formulář k vyjádření zájmu o získání povolení dle nařízení MiCA.[10]

Na vydavatele a poskytovatel kryptoaktiv se dále vztahují požadavky, které se liší podle kategorie kryptoaktiva a povahy činnosti. Mezi tyto požadavky patří například povinnost vydavatelů jiných kryptoaktiv zveřejnit „bílou knihu“ (whitepaper),[11] vyšší kapitálové požadavky pro vydavatele tokenů vázaných na aktiva, povinnost dodržovat obezřetnostní pravidla, požadavky na propagační sdělení, regulace veřejného nabízení kryptoaktiv nebo povinnost komunikovat se skutečnými a potenciálními držiteli kryptoaktiv spravedlivým, jasným a nezavádějícím způsobem.

Tento výčet pravidel a povinností je pouze ilustrací toho, co nařízení MiCA přináší. Je důležité upozornit, že každá kategorie kryptoaktiv podléhá specifickým požadavkům a pravidlům stanoveným nařízením a povinnosti se mohou výrazně lišit i v závislosti na konkrétních poskytovaných službách. V důsledku se tedy povinnosti vyplývající z nařízení liší například pro osobu vydávající a nabízející elektronické peněžní tokeny a osobu vydávající a nabízející tokeny vázané na aktiva.

Závěr

Každý podnikatel v této oblasti by proto měl pečlivě prostudovat příslušné části nařízení, aby zajistil plný soulad se všemi platnými předpisy. Důkladná příprava a porozumění novým regulačním požadavkům může nejen minimalizovat rizika spojená s neplněním povinností, ale také posílit důvěru zákazníků a investorů. 

Mgr. David Urbanec

Sebastian Toplak

DUNOVSKÁ & PARTNERS s.r.o.,
advokátní kancelář

Palác Archa
Na Poříčí 24
110 00 Praha 1

Tel.: +420 221 774 000
e-mail: office@dunovska.cz

_______________________________________

[1] Nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014 (dále jen „DORA“)
[2] Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 (dále jen „MiCA“).
[3] Sněmovní tisk 692
[4] Výčet subjektů v čl. 2 DORA
[5] „informačním aktivem“ je soubor informací, v hmotné i nehmotné formě, které je potřeba chránit.
[6] „aktivem v oblasti IKT“ je softwarové nebo hardwarové aktivum v síti a informačních systémech používané subjektem.
[7] Směrnice Evropského Parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (dále jen „NIS II“)
[8] Co všechno spadá pod poskytování služeb viz Čl. 3 odst. 1, bod 16 MiCA.
[9] Toto povolení se vztahuje na vydavatele tokenů vázané na aktiva a na poskytovatele služeb souvisejících s kryptoaktivy. K veřejnému nabízení peněžních tokenů potřebuje vydavatel povolení jako úvěrová instituce nebo jako instituce elektronických peněz. Nařízení dále stanovuje určité výjimky z povinnosti mít povolení.
[10] Dostupné na www, k dispozici >>> zde. 
[11] To ale neplatí, pokud se kryptoaktivum nabízí méně než 150 lidem, nebo kvalifikovaným investorům anebo pokud jde o veřejné nabízení jiných kryptoaktiv, jejichž souhrnná hodnota protiplnění nepřekračuje částku 1 000 000 EUR za období 12 měsíců.