epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    25. 4. 2024
    ID: 117894upozornění pro uživatele

    Nařízení DORA, aneb bezpečnost finančních subjektů v oblasti IKT

    17. ledna 2025 vstoupí v účinnost, v plném rozsahu, nařízení Evropského parlamentu a Rady (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru (dále jen „DORA“). Cílem tohoto nařízení je zajistit bezpečnost finančních subjektů v oblasti informačních a komunikačních technologií (dále jen „IKT“).

    DORA je reakcí především na rostoucí digitalizaci a vzájemnou propojenost finančního sektoru, což vede k vyššímu riziku v oblasti IKT a zvyšuje zranitelnost vůči kybernetickým hrozbám, zdůrazňuje význam adaptace a připravenosti finančního sektoru na digitální věk, zajišťuje lepší ochranu proti kybernetickým hrozbám a usiluje o zajištění stabilního a bezpečného finančního prostředí v Evropské unii.

    Společně s nařízením DORA, byly přijaty i dvě směrnice NIS 2 a CER, jež se také vztahují na oblast IKT a kyberprostoru, první jmenovaná, NIS 2, se zabývá opatřeními, které mají vést k zajištění vysoké společné úrovně kybernetické bezpečnosti v rámci Unie u středních a velkých podniků, provozujících služby uvedené v přílohách směrnice. Směrnici NIS 2 a co od ní očekávat shrnul ve svém článku kolega Mgr. Petr Hanzel tady NIS 2. Druhá jmenovaná, směrnice CER, se zase zaměřuje na kybernetickou bezpečnost tzv. kritických subjektů, jakými jsou například dodavatelé a distributoři strategických komodit, či třeba banky.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Cíl nařízení DORA a na koho se vztahuje

    Prvně k vyjasnění toho, kdo jsou těmi finančními subjekty, na něž regulace dopadá? Finančními subjekty, které podléhají nařízení, jsou banky, pojišťovny, obchodníci s cennými papíry, správci a obhospodařovatelé investičních fondů, ratingové agentury, či poskytovatelé služeb spojených s krypto aktivy. Jakož i „třetí strany“, tedy poskytovatelé služeb, které souvisejí s IKT, jako jsou například cloudové platformy, či služby analýzy dat a další.

    Reklama
    AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    17.9.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Cílem nařízení DORA je posílit digitální provozní odolnost finančního sektoru prostřednictvím zavedení rámce pro řízení rizik spojených s IKT. Nařízení má za cíl zajistit, aby finanční instituce byly lépe připraveny identifikovat, chránit se a efektivně reagovat na kybernetické hrozby a jiné incidenty IKT. Toho hodlá dosáhnout sjednocením regulačního rámce v celé EU, posílením odolnosti proti rizikům z třetích stran a podporou sdílení informací o hrozbách, což povede ke zlepšení bezpečnosti a stabilitě celého finančního sektoru.

    Povinnosti, které DORA zakládá

    Finanční subjekty jsou povinny zavést a udržovat komplexní rámec pro řízení rizik v oblasti IKT, který zahrnuje postupy a kontrolní mechanismy pro identifikaci, hodnocení, monitorování a minimalizaci rizik. Rámec by měl být integrován do celkové struktury finančního subjektu, s tím, že odpovědným je za tento risk management vedoucí orgán. Vedoucím orgánem však v kontextu digitálního risk managementu nemusí být pouze statutární orgán, ale také všechny osoby ve vedoucím postavení v rámci vnitřní struktury finančního subjektu. Tím se rozumí například vedoucí oddělení risk managementu nebo jakákoliv jiná vedoucí osoba k tomu určená.

    Finančním subjektům vznikne nařízením povinnost pravidelně provádět testování odolnosti IKT, a to minimálně jednou ročně. Zároveň i povinnost data z testování vzniklá shromažďovat, aby byla identifikovaná zranitelnost systémů a procesů. To však nezakládá finančním subjektům povinnost pravidelného oznamování kontrolnímu orgánu, s kontrolním orgánem finanční subjekty komunikují pouze v případě hrozícího, či již proběhlého incidentu, či na základě výslovné žádosti kontrolního orgánu poskytnutí určitých dat nebo informací.

    Tímto kontrolním orgánem v rámci České republiky bude ČNB a NÚKIB, kteří v rámci memoranda o vzájemné spolupráci ze dne 31. května 2022 spojují síly pro věci kybernetické bezpečnosti a odolnosti.

    Důležitou pasáží nařízení je i stanovení minimálních požadavků na smlouvy uzavírané mezi finančním subjektem a poskytovatelem služeb IKT. DORA cílí především na ujednání přesného a srozumitelného popisu všech dodávaných služeb, ale i na podmínky ukončení smlouvy a zároveň i na povinnost poskytovatele služeb IKT poskytnout finančnímu subjektu pomoc, nastane-li incident v oblasti IKT.

    Jak se rizika v oblasti IKT stávají stále složitějšími a sofistikovanějšími, závisí správná opatření pro detekci a prevenci rizika ve značné míře na sdílení informací o kybernetických hrozbách a zranitelnosti mezi finančními subjekty navzájem. Tím se posiluje kolektivní schopnost sektoru identifikovat a předcházet potenciálním hrozbám. Toho chce nařízení DORA docílit apelem na finanční subjekty, aby mezi sebou vybudovali, či posílili komunikační kanály.

    Shrnutí klíčových dopadů nařízení DORA

    1. Zavedení komplexního rámce pro řízení rizik IKT: Finanční subjekty jsou povinny implementovat, do celkové struktury subjektu, postupy a kontrolní mechanismy pro identifikaci, hodnocení, monitorování a minimalizaci IKT rizik.
    2. Povinnost pravidelného testování odolnosti: Finanční subjekty musí alespoň jednou ročně provádět testování odolnosti IKT, shromažďovat data z těchto testů a identifikovat zranitelnost svých systémů a procesů, v rámci zlepšování bezpečnosti.
    3. Zpřísnění požadavků na smlouvy s poskytovateli služeb IKT: Nařízení stanoví minimální požadavky na smlouvy s poskytovateli služeb IKT. Těmi jsou například: jasný popis služeb, přesné podmínky ukončení smlouvy a povinnost poskytovatele služeb IKT pomoci finančnímu subjektu při incidentu.
    4. Podpora sdílení informací o hrozbách: DORA zdůrazňuje význam vzájemného sdílení informací o kybernetických hrozbách a zranitelnostech mezi finančními subjekty, aby se posílila kolektivní schopnost sektoru identifikovat a předcházet potenciálním hrozbám.

    Postup v případě incidentu

    Jako součást rámce pro řízení rizika v oblasti IKT jsou finanční subjekty povinny zavést krizové komunikační plány, které mají umožnit odpovědné a efektivní informování klientů, obchodních partnerů, veřejnosti a samozřejmě regulátora alespoň o závažných incidentech souvisejících s IKT. Dále nařízení klade důraz na politiku zachování provozu finančního subjektu, při současném odstranění rizika. Proběhlé incidenty jsou pak hlášeny orgánu dohledu, který o nich sepíše zprávu, která by měla sloužit ostatním finančním subjektům k reakci na proběhlou situaci a vylepšení vlastní strategie.

    Sankce

    DORA také opravňuje kontrolní orgán uložit sankci poskytovateli IKT služeb. Kdy? Za předpokladu, že poskytovatel:

    1. neposkytne informace a dokumentaci
    2. neumožní šetření a kontrolu
    3. neodevzdá zprávu o nápravě na základě doporučení orgánu dohledu

    Sankce, kterou může kontrolní orgán uložit, se ukládá na denním základě 1 % průměrného denního celosvětového obratu poskytovatele služeb IKT z řad třetích stran za předchozí účetní období, avšak nejdéle po dobu 6 měsíců. Sankce se tak může po 6 měsících vyšplhat až na maximálně 0,5 % celosvětového ročního obratu poskytovatele za předešlý rok.

    Závěr

    Nařízení DORA přináší významné změny pro finanční sektor EU s cílem zvýšit digitální provozní odolnost a ochranu proti kybernetickým hrozbám. Implementace těchto opatření vyžaduje pečlivou přípravu a adaptaci finančních subjektů, aby byly schopny splnit nové požadavky a zároveň zajistit bezpečnost a stabilitu finančního prostředí.

    Pokud byste si s implementací povinností, plynoucích z nařízení, nebo čímkoliv v této oblasti nevěděli rady či potřebovali právní poradenství, neváhejte se na nás obrátit, rádi Vám pomůžeme.


    JUDr. Jakub Dohnal, Ph.D., LL.M.
    ,
    advokát, partner

    Matěj Menšík,
    paralegal

     


    ARROWS advokátní kancelář, s.r.o.
     
    Plzeňská 3350/18
    150 00 Praha 5 – Smíchov
     
    Tel.:       +420 245 007 740
    e-mail:    office@arws.cz


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    JUDr. Jakub Dohnal, Ph.D., LL.M., Matěj Menšík (ARROWS)
    25. 4. 2024

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Přezkum rozhodnutí CAS vnitrostátními soudy Evropské unie
    • Matzner: Řešme také jak dál s AML. A vyvarujme se nadměrné zátěži a zbytečné byrokracie
    • Určení výše přiměřené slevy z kupní ceny
    • Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry
    • Soudní ombudsman jako most mezi soudy, advokacií a veřejností
    • Byznys a paragrafy, díl 17.: Přístup do datové schránky právnické osoby při úmrtí jednatele
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Limity nároku poškozeného na náhradu nákladů za nájem náhradního vozidla
    • Druhá vlna povinností dle AI Aktu
    • Smlouva uzavřená mezi studentem a soukromou vysokou školou jako smlouva spotřebitelská – nález Ústavního soudu ze dne 5. února 2025, sp. zn. IV. ÚS 2093/24
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu

    Novinky v eshopu

    Aktuální akce

    • 17.09.2025AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    • 19.09.2025Dopady novely znaleckého zákona na dokazování znaleckým posudkem v civilním řízení (online - živé vysílání) - 19.9.2025
    • 23.09.2025Investice do startupů – pohled VC fondu vs. pohled startup (online - živé vysílání) - 23.9.2025
    • 24.09.2025ESG Omnibus – Co se mění v reportingu a udržitelnosti? Úleva pro firmy, nebo ústup z odpovědnosti? Víte, co vás čeká? (online – živé vysílání) – 24.9.2025
    • 24.09.2025Mediace a vyjednávání nejen v podnikání (online – živé vysílání) – 24.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Přezkum rozhodnutí CAS vnitrostátními soudy Evropské unie
    • Spolehlivost osoby v civilním letectví
    • K otázce stupně intenzity porušení povinnosti zaměstnance
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Insolvence
    • Právo na soukromí vs. transparentnost firem: Kontroverze kolem evidence skutečných majitelů
    • Konec snižování úrokových sazeb? Klíčová úroková sazba 2T repo zůstala v srpnu na 3,5 %
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Osvobozený příjem nerovná se automaticky bez povinností: kdy musíte hlásit dar nebo dědictví?
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • K otázce stupně intenzity porušení povinnosti zaměstnance
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Určení výše přiměřené slevy z kupní ceny
    • Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry
    • Rozpor evidence skutečných majitelů s právem EU a jeho dopad na veřejné zakázky
    • Trestní odpovědnost provozovatelů anonymních sítí
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • V čem Nejvyšší soud selhává a proč by mu to advokáti měli říct
    • Neplatnost vydědění a její důsledky
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Koncentrace řízení a kdy je čas na poučení
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu
    • Praktické dopady tzv. flexi novely zákoníku práce na běh a délku výpovědní doby
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci

    Soudní rozhodnutí

    Insolvence

    Jestliže „osoba s právem postihu“ přihlásí regresní pohledávku (v souladu s § 173 odst. 3 a § 183 odst. 3 insolvenčního zákona v odpovídajícím znění) do insolvenčního řízení...

    Jednočinný souběh (exkluzivně pro předplatitele)

    Jednočinný souběh zvlášť závažných zločinů těžkého ublížení na zdraví podle § 145 odst. 1, odst. 2 písm. g) tr. zákoníku a násilí proti úřední osobě podle § 325 odst. 1...

    Obnova řízení (exkluzivně pro předplatitele)

    Je-li dán některý z důvodů nutné obhajoby podle § 36a odst. 2 písm. a) až d) tr. ř., musí mít obviněný obhájce již od počátku řízení o návrhu na povolení obnovy řízení,...

    Oddlužení (exkluzivně pro předplatitele)

    Má-li být jediným příjmem, z nějž je dlužník za trvání oddlužení schopen splácet pohledávky svých věřitelů, částka, kterou se označený dárce zavázal v darovací smlouvě...

    Prodej jednotky (exkluzivně pro předplatitele)

    Účelem prodeje jednotky podle § 1184 o. z. je primárně ochrana vlastnického práva (a jeho výkonu) ostatních vlastníků jednotek, byť může mít také sankční povahu – postih...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.