Proč DORA vznikla
Finanční sektor je dnes existenčně závislý na informačních a komunikačních technologiích. Banky, platební instituce, obchodníci s cennými papíry, pojišťovny i další regulované subjekty poskytují služby prostřednictvím digitálních systémů, cloudových řešení, outsourcingu a komplexních dodavatelských řetězců. Jakmile selže ICT infrastruktura, nejde pouze o technický problém. Může dojít k výpadku služeb, porušení regulatorních povinností, zásahu do práv klientů i k reputačním a finančním ztrátám. Právě proto DORA harmonizuje pravidla digitální provozní odolnosti napříč finančním sektorem EU a doplňuje dosavadní roztříštěný rámec.
Na koho DORA dopadá
DORA má poměrně široký záběr. Dopadá na velkou část regulovaných finančních subjektů, včetně úvěrových a platebních institucí, institucí elektronických peněz, investičních podniků, správců fondů, pojišťoven, zajišťoven, crowdfundingových platforem, některých subjektů působících v oblasti kryptoaktiv a také na poskytovatele ICT služeb z řad třetích stran v rozsahu, který z nařízení plyne. Důležité je, že menší nebo mikro subjekty nejsou z rámce DORA automaticky vyňaty; velikost společnosti je relevantní spíše pro míru a podobu některých povinností než pro samotnou aplikovatelnost.
DORA není jen o kyberbezpečnosti
Častou chybou je vnímat DORA pouze jako bezpečnostní nebo IT předpis. Ve skutečnosti jde o mnohem širší regulatorní rámec. DORA stojí na několika pilířích: řízení ICT rizik, řízení a hlášení ICT incidentů, testování digitální provozní odolnosti, řízení rizik spojených s ICT třetími stranami, sdílení informací o kybernetických hrozbách a dohled nad kritickými ICT poskytovateli. Z pohledu managementu tedy nejde jen o technická opatření, ale i o rozdělení odpovědností, rozhodovací procesy, přípravu interní dokumentace, krizových scénářů a smluvní nastavení vztahů s dodavateli.
Jaké povinnosti jsou v praxi nejdůležitější
- Rámec řízení ICT rizik. Finanční subjekt musí mít zavedena interní řídicí a kontrolní opatření, funkční politiky, postupy, protokoly a nástroje, které umožní ICT rizika identifikovat, řídit, monitorovat a průběžně aktualizovat. Vedoucí orgán přitom není jen pasivním příjemcem reportů; DORA výslovně staví management do role schvalujícího a odpovědného orgánu. To znamená, že téma nelze odsunout pouze na IT oddělení nebo externího poskytovatele.
- Zvládání a hlášení ICT incidentů. Subjekty musí být schopny incidenty evidovat, klasifikovat a v příslušných případech oznamovat příslušným orgánům. Vedle samotného technického zvládnutí incidentu je zásadní i kvalitní interní proces: kdo incident vyhodnocuje, kdo rozhoduje o jeho klasifikaci, kdo komunikuje s regulátorem a jak jsou dokumentována přijatá nápravná opatření. DORA tím posouvá incident management z úrovně ad hoc reakce do úrovně regulatorně řízeného procesu.
- Testování digitální provozní odolnosti. Nestačí tvrdit, že systémy jsou bezpečné; finanční subjekt musí svou odolnost průběžně ověřovat. Podle povahy a velikosti subjektu může jít o škálu testů od běžných kontrol až po pokročilejší testování. Prakticky to znamená, že bezpečnostní a provozní dokumentace musí odpovídat reálnému fungování společnosti, nikoli existovat jen „na papíře“.
- Third-party risk management. DORA klade mimořádný důraz na vztahy s ICT dodavateli, zejména pokud podporují kritické nebo důležité funkce. Nestačí dodavatele jednorázově vybrat; finanční instituce musí být schopna jejich rizika průběžně vyhodnocovat, smluvně ošetřit klíčová práva a povinnosti a vést o těchto vztazích přehlednou evidenci. Právě tady se v praxi často ukazuje, že největší problém neleží v kyberbezpečnosti samotné, ale ve starých smlouvách, neúplné evidenci a nejasném mapování kritických funkcí.
Co DORA znamená pro management a právní oddělení
Z právního a compliance pohledu je DORA především governance projekt. Vyžaduje, aby byl jasně určen odpovědný management, aby existovaly schválené politiky, krizové a obnovovací plány, pravidla pro reportování, školení vedoucích pracovníků a přiměřeně nastavená smluvní dokumentace vůči ICT poskytovatelům. Pro interní právníky a compliance týmy to znamená, že musí propojit regulaci, outsourcing, kyberbezpečnost, business continuity a interní kontrolní systém do jednoho funkčního celku. Již nestačí mít samostatně „IT policy“, „outsourcing policy“ a několik dodatků ke smlouvám, pokud mezi nimi neexistuje věcná návaznost.
Nejčastější slabá místa v praxi
V praxi bývá problém zejména v tom, že společnosti nemají přesně identifikované kritické a důležité funkce podporované ICT, neumějí propojit incident management s regulatorním reportováním, nemají připravené testovatelné krizové scénáře a podceňují smluvní a evidenční stránku outsourcingu. Stejně problematické je, pokud vedení formálně „bere na vědomí“ ICT rizika, ale ve skutečnosti nad nimi nevykonává aktivní dohled. DORA přitom vychází z předpokladu, že digitální provozní odolnost je součástí řádného řízení finanční instituce, nikoli izolovaná technická disciplína.
Závěr
DORA nepřinesla jen nové povinnosti. Přinesla i nový standard očekávání ze strany regulátora. Finanční subjekt musí být schopen prokázat, že svá ICT rizika skutečně zná, že umí reagovat na incidenty, že testuje odolnost svých systémů, že má pod kontrolou své ICT dodavatele a že vedení společnosti o těchto otázkách aktivně rozhoduje. Pro část trhu je to zásadní kulturní změna. Pro ty, kteří začali včas a pojali DORA jako governance a resilience projekt, může jít naopak o konkurenční výhodu: vyšší provozní stabilitu, lepší připravenost na incidenty a silnější důvěru klientů i regulatorních orgánů.
