epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    17. 2. 2023
    ID: 116014upozornění pro uživatele

    Nařízení DORA, na co se připravit?

    Dne 14. prosince 2022 bylo přijato nařízení o digitální provozní odolnosti finančního sektoru[1]. Účelem nařízení DORA, které vstoupí v celém svém rozsahu v použitelnost dne 17. ledna 2025, je zajistit provozní odolnost finančních subjektů v oblasti informačních a komunikačních technologií[2].

    Spolu s nařízením DORA byly přijaty také směrnice NIS2[3] a směrnice CER[4] upravující taktéž oblast IT a kybernetické bezpečnosti. Směrnice NIS2 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii reguluje cca 60 služeb v 18 různých odvětvích (např. oblast dopravy či chemický průmysl)[5]. DORA je pak k této směrnici ve vztahu speciality, když pokrývá problematiku kybernetické bezpečnosti především finančních subjektů. Poslední norma, směrnice CER, se zaměřuje na odolnost tzv. kritických subjektů, jakými jsou např. dodavatelé a distributoři pitné vody, banky nebo potravinářské podniky[6].

    Předmět a oblast působnosti

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Generálně můžeme říci, že cílem[7] je zvýšení úrovně IT bezpečnosti v oblasti bankovnictví a kapitálového trhu. Nařízení ukládá povinnosti finančním subjektům jako takovým, ale i na poskytovatelům služeb v oblasti ICT, a stanovuje minimální požadavky na smlouvy uzavírané mezi těmito osobami.

    Co si však pod předcházením kybernetickým hrozbám představit a jak toho má být dosaženo? Hlavními oblastmi jsou ICT risk management, ohlašování významných incidentů[8] a hrozeb spojených s ICT, sdílení informací o kybernetických hrozbách či preventivní testování odolnosti informačních systémů.

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Veškeré subjekty, na něž regulace dopadá, jsou definovány jako finanční subjekty, a jsou jimi např. banky, pojišťovny, obchodníci s cennými papíry, správci a obhospodařovatelé investičních fondů[9], ratingové agentury či poskytovatelé služeb souvisejících s kryptoaktivy podle nařízení MiCA[10].

    DORA se tak vztahuje téměř na celý finanční trh. Z tohoto důvodu je třeba řídit se při aplikaci předpisu zásadou proporcionality a přihlédnout k velikosti, rizikovému profilu či složitosti služeb poskytovaných finančním subjektem[11]. Zároveň je v určitých částech nařízení stanoven odlišný režim pro skupinu mikropodniků[12].

    Vnitřní implementace

    V rámci vnitřní implementace nařízení musí být na prvním místě vypracovány vnitřní předpisy upravující řešení ICT incidentů (včetně komunikace s regulátorem[13]) a jejich klasifikaci. Stanovují se postupy pravidelných kontrol, je třeba jmenovat osoby odpovědné za ICT risk management a zajistit průběžné školení zaměstnanců v této oblasti. Svou strategii digitální odolnosti musí finanční subjekt také pravidelně vyhodnocovat. 

    Odpovědným za risk management, za schvalování celkové strategie digitální odolnosti i za rozdělení konkrétních povinností a úkolů souvisejících s ICT je vedoucí orgán finančního subjektu. Vedoucím orgánem[14] zde přitom nemusí být pouze statutární orgán, ale také všechny osoby ve vedoucím postavení v rámci vnitřní struktury finančního subjektu (např. vedoucí oddělení risk managementu nebo vedoucí oddělení compliance).

    Prevence – jak hrozbám předcházet?

    Finanční subjekty nemají povinnost pravidelného reportingu a s regulátorem v zásadě komunikují pouze v případě hrozícího či již proběhlého incidentu/kybernetické hrozby, případně na základě výslovné žádosti regulátora o poskytnutí určitých dat či informací[15].  

    K předejití či ubránění se kybernetickým hrozbám má přispět povinné testování odolnosti finančních subjektů. Standardní testování systémů a aplikací by mělo probíhat alespoň jednou ročně[16]. Penetrační testování na základě hrozeb[17], tedy jakési simulování kybernetické hrozby, pak musí probíhat alespoň jedenkrát za tři roky[18]. Penetrační testování může probíhat také hromadně a může být zajišťováno třetí stranou pro více finančních subjektů najednou (např. testování prováděné poskytovatelem cloudových služeb).

    Nařízení dále stanoví minimální požadavky na smlouvy uzavírané mezi finančním subjektem a poskytovatelem služeb ICT[19]. Ve smlouvě musí být např. ujednán přesný a srozumitelný popis všech dodávaných služeb, podmínky ukončení smlouvy nebo povinnost poskytovatele poskytnout pomoc finančnímu subjektu, dojde-li k incidentu v oblasti ICT.

    Jak postupovat v případě incidentu?

    V případě incidentu (kybernetického útoku, ohrožení řádného fungování informačních systémů) je kladen důraz především na zachování provozu (business continuity) při současném odstranění vzniklého rizika. Postupuje se podle předem připravených krizových plánů, komunikováno je s klienty, obchodními partnery i regulátorem. Proběhlé incidenty jsou hlášeny orgánu dohledu, který o nich sepíše zprávu, a ta by pak měla sloužit ostatním finančním subjektům jako inspirace k vylepšení vlastní strategie odolnosti.

    Závěrem

    Nařízení bylo schváleno před třemi měsíci a přímo použitelným se stane až na začátku roku 2025. Přesto by finanční subjekty (zejména ty menší) již dnes měly zpozornět a začít se na dodržování nových pravidel připravovat. Ke správnému aplikování nové regulace, věřme, přispějí také unijní prováděcí předpisy (na které zatím čekáme), jelikož samo nařízení je psáno, i na poměry evropské legislativy, velmi obecným jazykem. Stejně tak je možné očekávat stanoviska a vyjádření orgánů dohledu (ESMA a v České republice ČNB, příp. NÚKIB).


    Mgr. Ondřej Kučera,
    právník


    Filip Jindra  


     
    KLB Legal, s.r.o., advokátní kancelář
     
    Letenská 121/8
    118 00 Praha 1
     
    Tel.:    +420 739 040 363
    e-mail: info@klblegal.cz

    [1] Nařízení Evropského parlamentu a Rady (EU) 2022/2554 („nařízení DORA“ nebo „nařízení“).

    [2] Z anglického Information and Communication Technologies („ICT“)

    [3] Směrnice Evropského parlamentu a Rady (EU) 2022/2055.

    [4] Směrnice Evropského parlamentu a Rady (EU) 2022/2557.

    [5] Směrnice by měla být provedena zejména novelou zákona 181/2014 Sb., o kybernetické bezpečnosti.

    [6] Směrnice by měla být provedena zejména novelou zákona 240/2000 Sb., krizový zákon.

    [7] Čl. 1 a 2 nařízení DORA.

    [8] Pojem incident související s ICT je definován v čl. 3 bodu 8 nařízení DORA.

    [9] Povinnosti podle DORA by se neměly vztahovat na alternativní fondy podle § 15 zákona 240/2013 Sb., o investičních společnostech a investičních fondech.

    [10] Nařízení Evropského parlamentu a Rady o trzích s kryptoaktivy a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937.

    [11] Čl. 4 nařízení DORA. 

    [12] Podle čl. 3 bodu 60 nařízení jsou jimi některé druhy finančních subjektů, které zaměstnávají méně než deset osob a jejichž roční obrat nebo celková roční bilanční suma nepřekračuje 2 miliony EUR.

    [13] Národním orgánem dohledu bude zřejmě ČNB nebo NÚKIB, případně oba tyto orgány dohromady.

    [14] Vedoucí orgán je definován v čl. 3 bodě 30 nařízení DORA.

    [15] Zpráva o ICT risk managementu se vyhotovuje jednou ročně, ale orgánu dohledu se předkládá pouze na žádost.

    [16] Čl. 24 odst. 6 nařízení DORA.

    [17] Definováno v čl. 3 bodě 17 nařízení DORA.

    [18] Čl. 26 odst. 1 nařízení DORA.

    [19] Čl. 30 nařízení DORA.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Ondřej Kučera, Filip Jindra (KLB Legal)
    17. 2. 2023

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Vysokorychlostní variace dle smluvních podmínek FIDIC: případová studie z D5507
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Compliance z pohledu obchodní korporace a přínos compliance programu pro obchodní korporaci
    • Obchodní vedení společnosti
    • Byznys a paragrafy, díl 12.: Právní Due Diligence
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Investiční dotazník u právnických osob a test vhodnosti
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Přístupnost k vybraným výrobkům a službám po implementaci Směrnice Evropského parlamentu a Rady (EU) 2019/882 ze dne 17. dubna 2019 o požadavcích na přístupnost u výrobků a služeb – na koho dopadne nová právní úprava?
    • Ověření podpisu advokátem a „nestrannost“ advokáta

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • Veřejně přístupná účelová komunikace a její znaky
    • Právo na víkend - týden v české justici očima šéfredaktora
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • K odpovědnosti státu za majetkovou a nemajetkovou újmu způsobenou při výkonu veřejné moci. Vyslovování konstatací porušení práva. Připomínka státního svátku 6. července
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Byznys a paragrafy, díl 13.: Vysílání zaměstnanců do zahraničí: Jak správně rozlišit služební cestu a režim vyslaného pracovníka
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Veřejně přístupná účelová komunikace a její znaky
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • 10 otázek pro … Ronalda Němce
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Vysokorychlostní variace dle smluvních podmínek FIDIC: případová studie z D5507
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Bez rozvrhu pracovní doby to nepůjde
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?

    Soudní rozhodnutí

    Blanketní stížnost

    Krajský soud tím, že rozhodl před uplynutím konce stěžovatelem avizované lhůty pro doplnění odůvodnění blanketní stížnosti, a navíc v situaci, kdy odůvodnění stížnosti již...

    Blanketní stížnost (exkluzivně pro předplatitele)

    Nepřihlédne-li stížnostní soud k odůvodnění stížnosti původně podané jako blanketní, ač měl odůvodnění v době rozhodování o stížnosti k dispozici, může porušit právo...

    Dovolání (exkluzivně pro předplatitele)

    Podle judikatury Nejvyššího soudu, spočívá-li rozsudek odvolacího soudu na posouzení vícero právních otázek, z nichž každé samo o sobě vede k zamítnutí žaloby, není dovolání...

    Exekutor (exkluzivně pro předplatitele)

    Funkce soudního exekutora je veřejnou funkcí. Proces obsazování exekutorského úřadu se tedy týká práva na rovný přístup k veřejným funkcím podle čl. 21 odst. 4 Listiny základních...

    Extrémní nesoulad mezi provedenými důkazy a skutkovými a právními závěry (exkluzivně pro předplatitele)

    Ústavní soud ve své judikatuře ustáleně opakuje, že obecné soudy poruší právo účastníka na soudní ochranu, pokud učiní skutkové a právní závěry, které jsou v extrémním...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.