epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    25. 4. 2024
    ID: 117894upozornění pro uživatele

    Nařízení DORA, aneb bezpečnost finančních subjektů v oblasti IKT

    17. ledna 2025 vstoupí v účinnost, v plném rozsahu, nařízení Evropského parlamentu a Rady (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru (dále jen „DORA“). Cílem tohoto nařízení je zajistit bezpečnost finančních subjektů v oblasti informačních a komunikačních technologií (dále jen „IKT“).

    DORA je reakcí především na rostoucí digitalizaci a vzájemnou propojenost finančního sektoru, což vede k vyššímu riziku v oblasti IKT a zvyšuje zranitelnost vůči kybernetickým hrozbám, zdůrazňuje význam adaptace a připravenosti finančního sektoru na digitální věk, zajišťuje lepší ochranu proti kybernetickým hrozbám a usiluje o zajištění stabilního a bezpečného finančního prostředí v Evropské unii.

    Společně s nařízením DORA, byly přijaty i dvě směrnice NIS 2 a CER, jež se také vztahují na oblast IKT a kyberprostoru, první jmenovaná, NIS 2, se zabývá opatřeními, které mají vést k zajištění vysoké společné úrovně kybernetické bezpečnosti v rámci Unie u středních a velkých podniků, provozujících služby uvedené v přílohách směrnice. Směrnici NIS 2 a co od ní očekávat shrnul ve svém článku kolega Mgr. Petr Hanzel tady NIS 2. Druhá jmenovaná, směrnice CER, se zase zaměřuje na kybernetickou bezpečnost tzv. kritických subjektů, jakými jsou například dodavatelé a distributoři strategických komodit, či třeba banky.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Cíl nařízení DORA a na koho se vztahuje

    Prvně k vyjasnění toho, kdo jsou těmi finančními subjekty, na něž regulace dopadá? Finančními subjekty, které podléhají nařízení, jsou banky, pojišťovny, obchodníci s cennými papíry, správci a obhospodařovatelé investičních fondů, ratingové agentury, či poskytovatelé služeb spojených s krypto aktivy. Jakož i „třetí strany“, tedy poskytovatelé služeb, které souvisejí s IKT, jako jsou například cloudové platformy, či služby analýzy dat a další.

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Cílem nařízení DORA je posílit digitální provozní odolnost finančního sektoru prostřednictvím zavedení rámce pro řízení rizik spojených s IKT. Nařízení má za cíl zajistit, aby finanční instituce byly lépe připraveny identifikovat, chránit se a efektivně reagovat na kybernetické hrozby a jiné incidenty IKT. Toho hodlá dosáhnout sjednocením regulačního rámce v celé EU, posílením odolnosti proti rizikům z třetích stran a podporou sdílení informací o hrozbách, což povede ke zlepšení bezpečnosti a stabilitě celého finančního sektoru.

    Povinnosti, které DORA zakládá

    Finanční subjekty jsou povinny zavést a udržovat komplexní rámec pro řízení rizik v oblasti IKT, který zahrnuje postupy a kontrolní mechanismy pro identifikaci, hodnocení, monitorování a minimalizaci rizik. Rámec by měl být integrován do celkové struktury finančního subjektu, s tím, že odpovědným je za tento risk management vedoucí orgán. Vedoucím orgánem však v kontextu digitálního risk managementu nemusí být pouze statutární orgán, ale také všechny osoby ve vedoucím postavení v rámci vnitřní struktury finančního subjektu. Tím se rozumí například vedoucí oddělení risk managementu nebo jakákoliv jiná vedoucí osoba k tomu určená.

    Finančním subjektům vznikne nařízením povinnost pravidelně provádět testování odolnosti IKT, a to minimálně jednou ročně. Zároveň i povinnost data z testování vzniklá shromažďovat, aby byla identifikovaná zranitelnost systémů a procesů. To však nezakládá finančním subjektům povinnost pravidelného oznamování kontrolnímu orgánu, s kontrolním orgánem finanční subjekty komunikují pouze v případě hrozícího, či již proběhlého incidentu, či na základě výslovné žádosti kontrolního orgánu poskytnutí určitých dat nebo informací.

    Tímto kontrolním orgánem v rámci České republiky bude ČNB a NÚKIB, kteří v rámci memoranda o vzájemné spolupráci ze dne 31. května 2022 spojují síly pro věci kybernetické bezpečnosti a odolnosti.

    Důležitou pasáží nařízení je i stanovení minimálních požadavků na smlouvy uzavírané mezi finančním subjektem a poskytovatelem služeb IKT. DORA cílí především na ujednání přesného a srozumitelného popisu všech dodávaných služeb, ale i na podmínky ukončení smlouvy a zároveň i na povinnost poskytovatele služeb IKT poskytnout finančnímu subjektu pomoc, nastane-li incident v oblasti IKT.

    Jak se rizika v oblasti IKT stávají stále složitějšími a sofistikovanějšími, závisí správná opatření pro detekci a prevenci rizika ve značné míře na sdílení informací o kybernetických hrozbách a zranitelnosti mezi finančními subjekty navzájem. Tím se posiluje kolektivní schopnost sektoru identifikovat a předcházet potenciálním hrozbám. Toho chce nařízení DORA docílit apelem na finanční subjekty, aby mezi sebou vybudovali, či posílili komunikační kanály.

    Shrnutí klíčových dopadů nařízení DORA

    1. Zavedení komplexního rámce pro řízení rizik IKT: Finanční subjekty jsou povinny implementovat, do celkové struktury subjektu, postupy a kontrolní mechanismy pro identifikaci, hodnocení, monitorování a minimalizaci IKT rizik.
    2. Povinnost pravidelného testování odolnosti: Finanční subjekty musí alespoň jednou ročně provádět testování odolnosti IKT, shromažďovat data z těchto testů a identifikovat zranitelnost svých systémů a procesů, v rámci zlepšování bezpečnosti.
    3. Zpřísnění požadavků na smlouvy s poskytovateli služeb IKT: Nařízení stanoví minimální požadavky na smlouvy s poskytovateli služeb IKT. Těmi jsou například: jasný popis služeb, přesné podmínky ukončení smlouvy a povinnost poskytovatele služeb IKT pomoci finančnímu subjektu při incidentu.
    4. Podpora sdílení informací o hrozbách: DORA zdůrazňuje význam vzájemného sdílení informací o kybernetických hrozbách a zranitelnostech mezi finančními subjekty, aby se posílila kolektivní schopnost sektoru identifikovat a předcházet potenciálním hrozbám.

    Postup v případě incidentu

    Jako součást rámce pro řízení rizika v oblasti IKT jsou finanční subjekty povinny zavést krizové komunikační plány, které mají umožnit odpovědné a efektivní informování klientů, obchodních partnerů, veřejnosti a samozřejmě regulátora alespoň o závažných incidentech souvisejících s IKT. Dále nařízení klade důraz na politiku zachování provozu finančního subjektu, při současném odstranění rizika. Proběhlé incidenty jsou pak hlášeny orgánu dohledu, který o nich sepíše zprávu, která by měla sloužit ostatním finančním subjektům k reakci na proběhlou situaci a vylepšení vlastní strategie.

    Sankce

    DORA také opravňuje kontrolní orgán uložit sankci poskytovateli IKT služeb. Kdy? Za předpokladu, že poskytovatel:

    1. neposkytne informace a dokumentaci
    2. neumožní šetření a kontrolu
    3. neodevzdá zprávu o nápravě na základě doporučení orgánu dohledu

    Sankce, kterou může kontrolní orgán uložit, se ukládá na denním základě 1 % průměrného denního celosvětového obratu poskytovatele služeb IKT z řad třetích stran za předchozí účetní období, avšak nejdéle po dobu 6 měsíců. Sankce se tak může po 6 měsících vyšplhat až na maximálně 0,5 % celosvětového ročního obratu poskytovatele za předešlý rok.

    Závěr

    Nařízení DORA přináší významné změny pro finanční sektor EU s cílem zvýšit digitální provozní odolnost a ochranu proti kybernetickým hrozbám. Implementace těchto opatření vyžaduje pečlivou přípravu a adaptaci finančních subjektů, aby byly schopny splnit nové požadavky a zároveň zajistit bezpečnost a stabilitu finančního prostředí.

    Pokud byste si s implementací povinností, plynoucích z nařízení, nebo čímkoliv v této oblasti nevěděli rady či potřebovali právní poradenství, neváhejte se na nás obrátit, rádi Vám pomůžeme.


    JUDr. Jakub Dohnal, Ph.D., LL.M.
    ,
    advokát, partner

    Matěj Menšík,
    paralegal

     


    ARROWS advokátní kancelář, s.r.o.
     
    Plzeňská 3350/18
    150 00 Praha 5 – Smíchov
     
    Tel.:       +420 245 007 740
    e-mail:    office@arws.cz


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    JUDr. Jakub Dohnal, Ph.D., LL.M., Matěj Menšík (ARROWS)
    25. 4. 2024

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Dodání elektronického systému spisové služby po 1.7.2025
    • Evropská zdravotní data pod lupou: Co přináší nová regulace a datová centra (EHDS)?
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • K odpovědnosti státu za majetkovou a nemajetkovou újmu způsobenou při výkonu veřejné moci. Vyslovování konstatací porušení práva. Připomínka státního svátku 6. července
    • Zaplacení skladného není podmínkou pro vydání skladované věci
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Vysokorychlostní variace dle smluvních podmínek FIDIC: případová studie z D5507
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Dodání elektronického systému spisové služby po 1.7.2025
    • 10 otázek pro ... Martina Bendíka
    • Evropská zdravotní data pod lupou: Co přináší nová regulace a datová centra (EHDS)?
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • Korunové dluhopisy
    • Veřejně přístupná účelová komunikace a její znaky
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • AI revoluce v právní praxi: 10 specializovaných kurzů, které změní váš způsob práce
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Veřejně přístupná účelová komunikace a její znaky
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Některá úskalí podání formálně bezvadného návrhu na přezkum úkonů zadavatele k Úřadu pro ochranu hospodářské soutěže
    • Dodání elektronického systému spisové služby po 1.7.2025
    • AI revoluce v právní praxi: 10 specializovaných kurzů, které změní váš způsob práce
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Bez rozvrhu pracovní doby to nepůjde
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?

    Soudní rozhodnutí

    Korunové dluhopisy

    Restriktivnímu či extenzivnímu výkladu ustanovení daňových zákonů při využití obecně uznávaných interpretačních metod ústavní pořádek nebrání. Neurčitost zákona a možnost...

    Blanketní stížnost

    Krajský soud tím, že rozhodl před uplynutím konce stěžovatelem avizované lhůty pro doplnění odůvodnění blanketní stížnosti, a navíc v situaci, kdy odůvodnění stížnosti již...

    Blanketní stížnost (exkluzivně pro předplatitele)

    Nepřihlédne-li stížnostní soud k odůvodnění stížnosti původně podané jako blanketní, ač měl odůvodnění v době rozhodování o stížnosti k dispozici, může porušit právo...

    Dovolání (exkluzivně pro předplatitele)

    Podle judikatury Nejvyššího soudu, spočívá-li rozsudek odvolacího soudu na posouzení vícero právních otázek, z nichž každé samo o sobě vede k zamítnutí žaloby, není dovolání...

    Exekutor (exkluzivně pro předplatitele)

    Funkce soudního exekutora je veřejnou funkcí. Proces obsazování exekutorského úřadu se tedy týká práva na rovný přístup k veřejným funkcím podle čl. 21 odst. 4 Listiny základních...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.