zpět

DORA: Co znamená pro vaši firmu

6.3.2025
Monika Škubalová

Když se 17. ledna 2025 stalo nařízení DORA (Digital Operational Resilience Act) součástí evropské legislativy, zahájilo revoluci v oblasti kybernetické bezpečnosti, která se přímo dotkne finančních institucí a poskytovatelů technologických služeb. Co to ale znamená pro každodenní fungování firem, které se těmito oblastmi zabývají? A co konkrétně by měla každá firma vědět a udělat, aby splnila nová pravidla?

Co je nařízení DORA?

DORA se soustředí na posílení odolnosti digitálních a datových služeb, které podporují fungování finančního trhu. Ať už se jedná o banky, pojišťovny, obchodníky s cennými papíry nebo platební instituce, nařízení se zaměřuje na rizika spojená s externími poskytovateli technologických služeb. To znamená, že pokud vaše firma závisí na třetích stranách pro jakoukoli část svých IKT (informačních a komunikačních technologií), budete se muset přizpůsobit novým povinnostem a pravidlům. Ale jaké to budou konkrétně změny?

Co nařízení DORA vyžaduje od finančních subjektů?

Nařízení se zaměřuje především na kybernetickou bezpečnost a vyžaduje, aby finanční subjekty – tedy banky, pojišťovny, investiční firmy a další – pravidelně vyhodnocovaly a řídily rizika spojená s IT a komunikacemi, a to jak interně, tak i v rámci spolupráce s externími dodavateli. Pokud tedy vaše firma outsourcuje některé své IT služby, budete muset prozkoumat a případně upravit všechny smlouvy, které máte s poskytovateli těchto služeb.

Mezi hlavní povinnosti, které DORA přináší, patří:

Zajištění odpovědnosti za IT služby: Pokud vaše firma využívá externí poskytovatele IT služeb, budete muset provést analýzu rizik, která plynou z těchto služeb, a to jak na technické, tak na provozní úrovni.

Posouzení rizik u poskytovatelů služeb: Každá služba, kterou od třetí strany čerpáte, musí být vyhodnocena podle její důležitosti pro váš podnik. To znamená, že u kritických služeb – například cloudových služeb nebo pronájmu hardwaru pro uchovávání dat – budete muset mít uzavřeny podrobné smlouvy s jasnými podmínkami na řízení rizik.

Co by měly obsahovat smlouvy s poskytovateli IKT?

Pokud spolupracujete s poskytovateli služeb IKT, bude nutné, aby vaše smlouvy byly v souladu s novými požadavky nařízení DORA. Tyto povinnosti se liší podle toho, jak významné jsou služby pro vaše podnikání. Pro každou službu musí být jasně definováno, jak budou řešena rizika, například:

Kontinuita služeb: Jak se zajistí, aby kritické služby zůstaly funkční i v případě výpadků?

Incidenty a narušení bezpečnosti: Jaký je postup v případě, že dojde k narušení bezpečnosti nebo k výpadkům systému? Jak se zajistí, že kritické funkce nebudou ohroženy?

Odpovědnost a sankce: Kdo nese odpovědnost za výpadky a jaké sankce budou platit, pokud služby nebudou poskytovány dle smlouvy?

Nařízení DORA rovněž stanoví, že u "kritických" poskytovatelů služeb IKT (např. cloudové služby, datové hostingy) bude nutné uzavřít i přísnější a detailnější smlouvy.

Co musí externí poskytovatelé služeb vědět?

Pokud jste poskytovatel IT služeb, nařízení DORA na vás přímo dopadá, zejména pokud poskytujete služby, které jsou zásadní pro fungování finančních institucí. Tímto způsobem se na vás budou vztahovat přísnější požadavky na zajištění bezpečnosti a kontinuity služeb.

Pokud jste například cloudovým poskytovatelem, můžete očekávat, že vaše smlouvy s bankami nebo pojišťovnami budou obsahovat nová ujednání týkající se výpadků, ochrany dat a možnosti okamžité obnovy po případném narušení. Také budete muset pravidelně informovat své klienty o tom, jak zabezpečujete jejich data a jaké nástroje máte k dispozici pro ochranu před kybernetickými útoky.

Jak konkrétně reagovat na nařízení DORA?

Pro firmy, které se dotýkají oblasti finančních služeb nebo poskytují služby IKT těmto subjektům, platí několik praktických kroků:

Zhodnoťte své současné smlouvy – Prvním krokem je prověřit všechny stávající smlouvy s externími poskytovateli IKT. Zajistěte, aby obsahovaly specifické povinnosti týkající se řízení rizik, odpovědnosti za výpadky a ochrany dat.

Vytvořte plán pro analýzu rizik – Je nezbytné provést detailní analýzu rizik, která identifikuje kritické oblasti, včetně potenciálních výpadků nebo zranitelností v digitálních systémech.

Implementujte potřebné bezpečnostní nástroje – Zajistěte, aby všechny vaše IT systémy byly vybaveny moderními nástroji na ochranu před kybernetickými hrozbami. Investujte do školení personálu a do bezpečnostních technologií.

Otevřená komunikace s poskytovateli služeb IKT – Pokud jste klientem poskytovatele IKT, ujistěte se, že vaši poskytovatelé jsou připraveni na nové požadavky DORA a mají zavedené odpovídající procesy pro řízení rizik.

Nařízení DORA přináší nové požadavky, ale také příležitosti pro zajištění vyšší úrovně bezpečnosti a resilience digitálních a IT služeb, které jsou pro moderní ekonomiku klíčové. Jak pro finanční subjekty, tak pro jejich poskytovatele služeb IKT je klíčové, aby správně identifikovali rizika a upravili své smlouvy a interní procesy v souladu s těmito novými požadavky. Pokud se na situaci připravíte včas a implementujete potřebná opatření, bude vaše firma lépe chráněna proti kybernetickým útokům a jiným IT hrozbám, které by mohly ohrozit její stabilitu a výkon.

https://prim.cz Směna deviz, nejlepší kurzy, kurz euro, kurz dolar knihy online levně skladem ihned beletrie detektivky thrillery romantické romány historické romány sci fi fantasy literatura faktu biografie a životopisy knihy o podnikání marketingu ekonomii osobním rozvoji kuchařky recepty vaření zdravá strava dětské kn Průmyslový summit
Vaše denní zprávy z devizových trhů.
© 2026 edevizy.cz. Všechna práva vyhrazena.