epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • NÁZORY
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Partnerský program
    • Předplatné
    12. 5. 2025
    ID: 119535upozornění pro uživatele

    Outsourcing ICT služeb dle nařízení DORA

    Za jednu z rizikových oblastí v rámci kybernetické bezpečnosti lze považovat využívání třetích osob k poskytování ICT služeb. Tento outsourcing s sebou nese novou vrstvu rizik, a to zvláště v situacích, kdy poskytované služby jsou zásadní pro činnost finančního subjektu a vytváří určitou formu závislosti. V praxi se může jednat např. o poskytovatele softwaru, cloudu či datových služeb.

    Shrnutí od AI

    # Shrnutí článku: Nařízení DORA a požadavky na outsourcing ICT služeb ve finančním sektoru Článek analyzuje regulaci outsourcingu ICT služeb v nařízení DORA (Digital Operational Resilience Act) platném pro finanční subjekty. Text představuje základní pojmy, požadavky na předsmluvní prověření poskyt... více

    Nařízení DORA (Digital Operational Resilience Act)[1] oblast outsourcingu specificky upravuje, když vedle vymezení samotného poskytovatele ICT služeb, nastavení odpovědnosti, vedení registru informací atd., stanoví též požadavky na předsmluvní a smluvní fázi vztahu s poskytovatelem ICT služeb.

    Vymezení základních pojmů, řízení rizik

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Nařízení DORA rozeznává několik skupin poskytovatelů ICT služeb, když vymezuje nejen „standardního“ poskytovatele z řad třetích osob, ale též specifické poskytovatele typu poskytovatele v rámci skupiny, kritického poskytovatele či poskytovatele usazeného ve třetí zemi.[2] Společným je pro tyto poskytovatele poskytování ICT služeb tzv. finančním subjektům, mezi které patří např. banky, pojišťovny, obchodníci s cennými papíry či obhospodařovatelé investičních fondů.[3]

    Vymezení ICT služeb v nařízení je poměrně široké a rozumí se jimi digitální a datové služby poskytované prostřednictvím ICT systémů včetně hardware jako služby a hardwarových služeb, které zahrnují poskytování technické podpory prostřednictvím aktualizací s výjimkou tradičních analogových telefonních služeb.[4]

    V rámci řízení rizik jsou finanční subjekty (se stanovenými výjimkami) zejména povinny přijmout a přezkoumávat strategii pro riziko související s outsourcingem ICT služeb.[5] Důležitou součástí řízení rizik spojených s outsourcingem ICT služeb je také jeho odpovídající smluvní zajištění. Nařízení v tomto ohledu upravuje nejen některé obsahové náležitosti samotné smlouvy o poskytování ICT služeb, ale též samotný kontraktační proces.
     

    Předsmluvní fáze

    Reklama
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    16.7.2026 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Nařízení DORA v rámci předsmluvní fáze požaduje, aby finanční subjekty zejména s náležitou péčí prověřily potenciální třetí strany, posoudily, zda se budoucí smlouva týká využívání ICT služeb podporujících zásadní nebo důležité funkce, identifikovaly relevantní rizika a možnosti střetu zájmů a zvážily riziko koncentrace ICT služeb.

    Finanční subjekty by vždy měly uzavřít příslušnou smlouvu pouze s poskytovatelem, který splňuje požadavky na bezpečnost informací. Samotná předsmluvní fáze tak může být poměrně náročným cvičením, a to jak po časové, tak finanční stránce.

    Obsah smlouvy

    Vedle formálních požadavků na smlouvu[6] stanoví nařízení DORA též požadavky obsahové.[7] Smlouva o poskytování ICT služeb by tak měla zejména obsahovat:

    1. srozumitelný a úplný popis všech funkcí a ICT služeb včetně popisu úrovně služeb;
    2. místa, kde mají být ICT služby poskytovány a kde mají být zpracovávána data včetně povinnosti poskytovatele ICT služeb oznámit finančnímu subjektu plán na změnu těchto míst;
    3. ustanovení týkající se dostupnosti a důvěrnosti ohledně ochrany údajů včetně osobních údajů;
    4. povinnost poskytovatele ICT služeb poskytnout finančnímu subjektu pomoc, dojde-li k ICT incidentu, a povinnost spolupracovat s příslušnými orgány dohledu;
    5. ustanovení ohledně ukončování smlouvy včetně úpravy minimální výpovědní doby.

    Nařízení DORA dále upravuje též specifické a podrobnější nároky na obsah smluv týkajících se zásadních či důležitých funkcí včetně závazku poskytovatele ICT služeb uplatňovat a testovat plány zachování provozu a přijmout taková opatření, která zajistí bezpečnost poskytovaných služeb v souladu s regulačním rámcem finančního subjektu či práva finančního subjektu na neomezený přístup, kontrolu a audit poskytovatele ICT služeb.

    Z požadovaných ustanovení smluv o poskytování ICT služeb se podrobněji zaměříme na již zmíněné povinné ustanovení ohledně ukončování těchto smluv. Vedle samotné preambule[8] upravuje nařízení DORA ukončování smluv v samostatných ustanoveních, která poměrně podrobně upravují celou problematiku s cílem limitovat rizika na straně finančního subjektu, a to zejména riziko přerušení jím poskytovaných služeb. V ustanoveních týkajících se ukončení smlouvy o poskytování ICT tak je třeba mimo jiné upravit možnost ukončit smlouvu, pokud:

    1. poskytovatel ICT služby poruší právní předpisy či smlouvu zásadním způsobem;
    2. v rámci řízení rizika jsou zjištěna slabá místa s ohledem na dostupnost, integritu a důvěrnost údajů;
    3. orgán dohledu není schopen efektivně dohlížet na finanční subjekt v důsledku sjednaných podmínek smlouvy.

    V případě ICT služeb zajišťujících zásadní či důležité funkce jsou finanční subjekty povinny zavést tzv. strategie ukončení smluvního vztahu, v rámci kterých zohlední např. riziko selhání či snížení kvality poskytovaných služeb. Finanční subjekty musí být schopny ukončit smlouvu takovým způsobem, aby nedošlo k narušení jejich činnosti, narušení regulatorních požadavků či zhoršení kontinuity a kvality služeb poskytovaných klientům. Vzhledem k tomu, že zásadní rizika mohou vznikat při změně poskytovatele ICT služeb, jsou finanční subjekty povinny vypracovat tzv. plány přechodu, které umožní bezpečný a integrovaný přenos dat k novému poskytovateli či jejich začlenění v rámci finančního subjektu samotného.

    Vedení registru informací

    Nařízení DORA požadované vedení registru informací lze považovat za další příspěvek do již tak rozsáhlého katalogu formalit, jejichž praktický význam je snad s výjimkou případu tzv. kritických poskytovatelů ICT služeb minimálně pochybný.

    Vedení registru informací týkajícího se všech smluvních ujednání o využívání ICT služeb poskytovaných třetími osobami považuje nařízení za součást rámce pro řízení rizika.

    Nařízení požaduje, aby smlouvy byly řádně zdokumentovány a bylo rozlišeno mezi ICT službami, které podporují zásadní či důležité funkce a ostatními službami.[9] K žádosti jsou finanční subjekty povinny registr informací či jeho část poskytnout regulátorovi. Finanční subjekty jsou dále povinny zajistit, aby informace uvedené v registru byly zejména přesné, úplné a konzistentní.[10]

    Závěrem ohledně odpovědnosti a proporcionality

    Pokud v důsledku outsourcované ICT služby dojde k porušení povinností finančního subjektu stanovených nařízením, nese plnou odpovědnost za toto porušení finanční subjekt. Případná smluvní odpovědnost poskytovatele ICT služby vůči finančnímu subjektu tím samozřejmě není dotčena. Z tohoto důvodu lze ve smlouvě doporučit maximálně podrobnou úpravu odpovědnostních ustanovení, včetně např. sjednání motivačních smluvních pokut.

    Též v případě outsourcingu se uplatní nařízením DORA zdůrazňovaná zásada proporcionality. Při sledování rizik souvisejících s poskytováním ICT služeb tak je třeba vždy vzít do úvahy zejména důležitost poskytovaných služeb a posoudit potenciální dopad na kontinuitu a dostupnost finančních služeb.[11] Vzhledem k rozsahu nově stanovených povinností nezbývá než doufat, že regulátoři budou zásadu proporcionality opravdu aplikovat a vyvarují se extenzivního výkladu nařízení.


    JUDr. Jiří Kokeš, Ph.D.
    ,
    vedoucí advokát

     

    Aegis Law, advokátní kancelář, s.r.o.
     

    Jungmannova 26/15
    110 00 Praha 1
     

    Tel:    +420 777 577 562
    e-mail:    office@aegislaw.cz

     


    [1] Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. 12. 2022, o digitální provozní odolnosti finančního sektoru (dále jen „nařízení DORA“ či „nařízení“). Z prováděcích nařízení viz zejména nařízení Komise 2024/1773 ze dne 13. 3. 2024, které upravuje obsah politiky ohledně smluvních ujednání o využívání ICT služeb podporujících zásadní a důležité funkce a nařízení Komise 2024/2956 ze dne 29. 11. 2024, které upravuje standardní vzory pro registr informací ohledně smluv uzavřených s poskytovateli ICT služeb (dále jen „prováděcí nařízení o registru“).

    [2] Viz čl. 3 odst. 19, 20, 23 a 28 nařízení DORA.

    [3] Viz čl. 2 nařízení DORA.

    [4] Viz čl. 3 odst. 21 nařízení DORA.

    [5] Viz čl. 28 odst. 2 nařízení DORA.

    [6] Detail nařízení DORA může v této souvislosti působit až trochu komicky – smlouva musí být dle nařízení písemná a vyhotovená v jednom dokumentu s tím, že tento dokument musí být stranám dostupný v papírové podobě nebo v podobě dokumentu v jiném formátu, který lze stáhnout, je trvalý a přístupný. Viz čl. 30 odst. 1 nařízení DORA.

    [7] Viz čl. 30 nařízení DORA.

    [8] Viz např. čl. 66 a 74 preambule nařízení DORA.

    [9] Viz čl. 28 odst. 3 nařízení DORA.

    [10] Viz čl. 3 prováděcího nařízení o registru.

    [11] Viz čl. 28 odst. 1 nařízení DORA.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    JUDr. Jiří Kokeš, Ph.D. (Aegis Law)
    12. 5. 2025

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Dělení, převod a přechod podílu v s.r.o.
    • Nařízení PPWR: cesta do pekla dlážděná dobrými úmysly
    • AML - od zákona č. 253/2008 Sb. k AMLR: co konkrétně musí česká povinná osoba změnit do roku 2027
    • Byznys a paragrafy, díl 37.: Povinná forma jednání ve smlouvách
    • EUDAMED: Jednotná databáze mění pravidla hry na trhu zdravotnických prostředků
    • AML a diskriminace v realitní praxi: chyby, které mohou vyjít draho
    • Nový zákon o veřejných dražbách, aukce a obálkové metody
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Druhá „tlačítková novela": povinné tlačítko pro odstoupení od smlouvy
    • Souhlas s veřejným užíváním pozemku jako překážka nároku na bezdůvodné obohacení – nález Ústavního soudu sp. zn. I. ÚS 2541/25

    Novinky v eshopu

    Aktuální akce

    • 22.07.2026Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 22.7.2026
    • 29.07.2026Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 29.7.2026
    • 11.08.2026Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 11.8.2026
    • 12.08.2026ChatGPT od A do Z v právní praxi 2026 (online - živé vysílání) - 12.8.2026
    • 03.09.2026Komentovaná (aktuální) judikatura Ústavního soudu (online - živé vysílání) - 3.9.2026

    Online kurzy

    • Vnosy ze SJM a vnosy do SJM a jejich valorizace v aktuální judikatuře Nejvyššího soudu a Ústavního soudu
    • Výpověď z pracovního poměru z důvodu neomluveného zameškání jedné směny
    • Nová „tlačítková povinnost“ pro e-shopy
    • Změna cenových ujednání ve smlouvách v energetice
    • Černé stavby
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 01.10.2026Trestní právo daňové - 1.10.2026
    • 02.10.2026Daňové právo 2026 - 2.10.2026
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Vadné nařízení vlády č. 493/2025 Sb. a dopady fixace limitů drobných oprav na pronajímatele
    • Nestačí „mít systém“ aneb povinnosti veřejnoprávních původců při přechodu na atestovaný eSSL
    • Výroční zpráva ÚOOÚ za rok 2025: nové regulatorní priority v oblasti ochrany osobních údajů
    • DEAL MONITOR
    • Právní důsledky aplikace českého sociálního zabezpečení při absenci výjimky dle čl. 16 nařízení (ES) č. 883/2004
    • Promlčení před splatností? Kritická analýza judikatury Nejvyššího soudu k tzv. actio nata
    • Dělení, převod a přechod podílu v s.r.o.
    • Nařízení PPWR: cesta do pekla dlážděná dobrými úmysly
    • AML - od zákona č. 253/2008 Sb. k AMLR: co konkrétně musí česká povinná osoba změnit do roku 2027
    • Výpověď z pracovního poměru podle ustanovení § 52 písm. f) a g) zákoníku práce a jejich aplikační rozdíly – 1. díl
    • Právní průvodce českou krajinou
    • Souhrn významných událostí ze světa práva
    • Proměna definice závislé práce a konec postihování pracovníků: Analýza dopadů připravovaného zákona o platformové práci
    • Vadné nařízení vlády č. 493/2025 Sb. a dopady fixace limitů drobných oprav na pronajímatele
    • Promlčení před splatností? Kritická analýza judikatury Nejvyššího soudu k tzv. actio nata
    • Dělení, převod a přechod podílu v s.r.o.
    • Odpovědnost zaměstnavatele a zaměstnance v souvislosti s využitím umělé inteligence
    • Dokazování negativních skutečností ve sporném řízení
    • Proměna definice závislé práce a konec postihování pracovníků: Analýza dopadů připravovaného zákona o platformové práci
    • Druhá „tlačítková novela": povinné tlačítko pro odstoupení od smlouvy
    • Vyčlenění rodinných nemovitostí (i v podobě podílu v bytovém družstvu) do svěřenského fondu
    • Souhlas s veřejným užíváním pozemku jako překážka nároku na bezdůvodné obohacení – nález Ústavního soudu sp. zn. I. ÚS 2541/25
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Jak naložit s „oznámením“ přestupku soukromých osob? A je to vlastně oznámením ve smyslu zákona o odpovědnosti za přestupky a řízení o nich?

    Soudní rozhodnutí

    Náhrada škody

    Škoda způsobená kombajnem při otáčení a couvání (manévrování) na poli je vyvolána zvláštní povahou provozu motorového vozidla ve smyslu § 2927 o. z.

    Podílnictví

    Spáchání zdrojového (tzv. predikativního) trestného činu bylo podmínkou a současně jedním ze znaků objektivní stránky trestného činu podílnictví podle § 214 tr. zákoníku, ve...

    Advokátní tarif

    Maximální zvýšení odměny za úkon právní služby podle § 12 odst. 1 advokátního tarifu (na trojnásobek základní sazby) je podmíněno jeho mimořádnou obtížností. Tak tomu bude...

    Presumpce neviny

    Presumpce neviny (čl. 40 odst. 2 Listiny základních práv a svobod) i další ústavní garance obviněného platí bezvýjimečně a v plném rozsahu pro veškeré trestné činy včetně...

    Domácí násilí (exkluzivně pro předplatitele)

    Neaplikuje-li obecný soud v řízení o návrhu na vydání předběžného opatření ve věci ochrany proti domácímu násilí účinnou právní úpravu § 400 a násl. zákona o zvláštních...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2026, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu "Taktika jednání o smlouvách".

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.