NAŘÍZENÍ (EU) 2022/2554 - ÚČINNÉ OD 17. LEDNA 2025

Vaše shoda s DORA,
zdokumentovaná a obhajitelná

Evropské nařízení o digitální provozní odolnosti finančního sektoru (DORA) ukládá finančním subjektům - a v důsledku toho i jejich ICT poskytovatelům - vyčerpávající registr smluv, přesná smluvní ustanovení a datované auditní důkazy. SYAGA DORA-Express vám pomůže splnit tyto požadavky bez improvizace, ať už jste finanční subjekt nebo poskytovatel.

17/01
Účinné od roku 2025
21
Kategorií dotčených subjektů (čl. 2)
4h
Lhůta pro oznámení závažného incidentu
19
Již určených kritických ICT poskytovatelů

Regulatorní kontext

DORA je nařízení, nikoli směrnice: platí přímo ve všech členských státech, bez čekání na vnitrostátní transpoziční zákon.

DORA platí přímo od 17. ledna 2025

Nařízení (EU) 2022/2554 ze dne 14. prosince 2022, zveřejněné v Úředním věstníku EU dne 27. prosince 2022, vstoupilo v platnost 16. ledna 2023 a je účinné od 17. ledna 2025. Žádná vnitrostátní transpozice není vyžadována: je přímo vymahatelné.

📋

Je vyžadován vyčerpávající registr ICT (čl. 28 odst. 3)

Každý finanční subjekt musí vést a ročně předávat úřadům kompletní registr svých ICT smluv: poskytovatel, povaha služby, kritičnost funkce, země hostingu dat.

📄

Vaše smlouvy musí obsahovat přesná ustanovení (čl. 30)

Práva na audit a inspekci, záruky dostupnosti a integrity dat, otestované plány výstupu, oznámení incidentu bez zbytečného odkladu. Tato ustanovení se přenášejí od vašeho finančního klienta k vám, pokud jste jeho ICT poskytovatelem.

📧

Dotazník due diligence už čeká ve vaší e-mailové schránce

Před podpisem nebo obnovou smlouvy vám banka, pojišťovna nebo investor pošle kybernetický dotazník (řízení, MFA, EDR, šifrování, zvyšování povědomí). Odpovědět na něj bez zdokumentovaného důkazu znamená ztrátu zakázky.

Spouštěč z 18. listopadu 2025

Vaši cloudoví poskytovatelé byli právě oficiálně označeni za „kritické“

18.-19. listopadu 2025 evropské orgány dohledu (EBA, ESMA, EIOPA) zveřejnily první oficiální seznam kritických ICT poskytovatelů podle článku 32 nařízení DORA. Mezi jmény potvrzenými oficiálními tiskovými zprávami: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (a dalších 14 poskytovatelů jmenovitě nepotvrzených v našich zdrojích).

Konkrétní důsledek: pokud se vaše kritické služby opírají o některého z těchto poskytovatelů, váš klientský finanční subjekt to nyní musí zdokumentovat ve svém registru ICT - a může se vás dotázat na váš vlastní subdodavatelský řetězec.

Zdroj: oficiální tiskové zprávy EIOPA a ESMA z 18.-19. listopadu 2025 (eiopa.europa.eu, esma.europa.eu).

Naše řešení: DORA-Express

Strukturovaná podpora v 5 krocích pro zdokumentování vaší shody - bez slibování toho, co ani nástroj, ani poradenská firma nemohou za vás certifikovat.

1
Krok 1 - Kvalifikace

Určíme vaši skutečnou expozici

Jste finanční subjekt přímo podléhající nařízení (jedna z 21 kategorií článku 2), nebo ICT poskytovatel dotčený nepřímo prostřednictvím smluvních ustanovení vašich finančních klientů (článek 30)? Přesný rozsah podmiňuje vše ostatní.

2
Krok 2 - Due diligence

Odpověď na váš kybernetický dotazník

Odpovídáme na váš dotazník due diligence banky, investora nebo pojišťovny (řízení, MFA, EDR, šifrování, zvyšování povědomí...) na základě technického auditu vašeho tenantu Microsoft 365 jako datovaného a ověřitelného důkazu.

3
Krok 3 - Registr a smlouvy

Registr ICT a ustanovení podle článku 30

Pomůžeme vám strukturovat váš registr ICT smluv (čl. 28 odst. 3) a ověřit nebo zapracovat minimální a rozšířená smluvní ustanovení podle článku 30 do smluv s vašimi poskytovateli.

4
Krok 4 - Kontinuita a odolnost

PRA/PCA odvětvový profil Finance

Náš PRA/PCA Suite nabízí odvětvový profil Finance (DORA, PSD2, ACPR - autorita francouzská), který pokrývá požadavky na testy provozní odolnosti z kapitoly IV nařízení DORA, v souladu s ISO 22301.

5
Krok 5 - Předání

Zdokumentovaný soubor shody

Předání vašemu vedení, CISO nebo finančnímu řediteli konsolidovaného souboru, s přesnými body, které je třeba nechat posoudit vaším právním poradcem před jakoukoli komunikací s úřady.

Co obdržíte

Konkrétní, sourcované výstupy, bez slibu certifikace, kterou nikdo nemůže zaručit

📝

Odpovědi na kybernetickou due diligence

10 typových otázek due diligence banky / M&A, zdokumentovaných a sourcovaných (ILPA DDQ, CSA CAIQ, dotazníky kybernetických pojistitelů).

  • Bezpečnostní politika / uznávaný referenční rámec
  • MFA, nejmenší oprávnění, privilegované účty
  • Licence M365, EDR / threat hunting
  • Zastaralé protokoly, šifrování disků
  • Program zvyšování povědomí
📄

Referenční list DORA

Sourcované shrnutí nařízení (EU) 2022/2554.

  • Rozsah: 21 kategorií subjektů (čl. 2)
  • 5 oblastí povinností
  • Lhůty oznámení (4h / 72h / 1 měsíc)
  • Vazba na NIS2 (lex specialis)
📋

Registr ICT (šablona podle čl. 28 odst. 3)

Struktura vyčerpávajícího registru vyžadovaného úřady.

  • Poskytovatel a povaha služby
  • Kritičnost podporované funkce
  • Země hostingu dat
  • Formát připravený pro roční předání
🔐

Smluvní ustanovení (šablona podle čl. 30)

K zapracování nebo ověření ve vašich smlouvách s ICT poskytovateli.

  • Minimální ustanovení (všechny smlouvy)
  • Rozšířená ustanovení (kritické funkce)
  • Práva na audit a inspekci
  • Plány výstupu a extrahovatelnost dat
🏗

PRA/PCA profil Finance

Plán kontinuity a obnovy činnosti, dedikovaný odvětvový profil.

  • Pokrytí kapitoly IV DORA (testy odolnosti)
  • V souladu s ISO 22301
  • Odvětvový profil DORA / PSD2 / ACPR (autorita francouzská)
  • Vychází z našeho stávajícího PRA/PCA Suite
💾

Zdokumentovaný soubor shody

Formáty PDF a DOCX, konsolidující veškeré výstupy.

  • Připraveno pro vaše vedení / CISO / finančního ředitele
  • Označené body k ověření vaším právníkem
  • Základ pro vaši komunikaci s ACPR / AMF (autority francouzské)
  • Editovatelné pro roční aktualizaci

Příklad: dotazník due diligence banky

Výňatek z 10 otázek, které za vás dokumentujeme, se zdrojem každé otázky

Téma Otázka Zdroj
Řízení Opírá se vaše bezpečnostní politika o uznávaný referenční rámec (NIST, ISO 27001)? ILPA DDQ 2.0
Audit třetích stran Provádíte roční nezávislý audit a penetrační testy? CSA CAIQ v4
Plán incidentu Existuje formální plán reakce na incidenty, zdokumentovaný a udržovaný? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Pro které služby vyžadujete vícefaktorové ověřování? Travelers - MFA Supplement
Privilegované účty Řídí se přístupy zásadou nejmenšího oprávnění, pravidelně revidovanou? CSA CAIQ v4 IAM
E-mail Jakou licenci M365 používáte? Je aktivní pokročilý Defender / threat hunting? vCSO.ai Cyber DD Checklist
Šifrování Jsou disky koncových zařízení plně šifrovány? Google VSAQ
Školení Je zaveden program bezpečnostního povědomí pro všechny zaměstnance? CSA CAIQ v4 HRS

Pokryté texty a referenční rámce

Každý výstup výslovně uvádí, co pokrývá - a co nepokrývá

DO

DORA (Nařízení EU 2022/2554)

Registr ICT (čl. 28), smluvní ustanovení (čl. 30), lhůty oznámení (čl. 19), odkaz na určené kritické ICT poskytovatele (čl. 32).

N2

NIS2 - vazba na DORA

DORA je lex specialis vůči NIS2 pro finanční sektor: dotčené subjekty uplatňují DORA místo ekvivalentních opatření NIS2.

ISO

ISO 22301 - kontinuita činnosti

Profil PRA/PCA Finance je v souladu s ISO 22301, referenčním rámcem řízení kontinuity činnosti, používaným jako doplněk k DORA.

RG

RGPD - samostatné oznamování

Oznamování incidentu podle DORA (ACPR/AMF, autority francouzské) je odlišné od oznámení podle RGPD (CNIL, autorita francouzská) v případě porušení zabezpečení osobních údajů: obě mohou být vyžadována současně.

Podpora přizpůsobená vaší situaci

Každý spis DORA je jiný podle vašeho statusu - individuální nabídka v každém případě

ICT poskytovatel

Poskytujete služby jednomu nebo více finančním subjektům

Na nabídku
podle rozsahu
  • Odpověď na kybernetickou due diligence
  • Registr ICT na straně poskytovatele
  • Kontrola ustanovení podle článku 30
  • Zdokumentovaný soubor připravený k předání
Vyžádat nabídku

Roční sledování

Pravidelná aktualizace spisu (povinnosti, smlouvy, registr)

Na nabídku
opakující se
  • Aktualizace registru ICT
  • Roční revize smluvních ustanovení
  • Monitoring určených kritických poskytovatelů
  • Podpora pro vaše due diligence klientů
Vyžádat nabídku

Časté dotazy

Je moje firma finančním subjektem, kterého se DORA týká?
Článek 2 DORA uvádí 21 kategorií finančních subjektů: úvěrové a platební instituce, investiční společnosti, poskytovatelé kryptoaktiv s licencí MiCA, pojišťovnictví a zajišťovnictví, správa fondů, ratingové agentury a další. Mikropodniky (méně než 10 zaměstnanců, obrat nebo bilance pod 2 mil. EUR) mají u některých povinností nárok na proporcionalitu, ale nejsou zcela vyloučeny. Je třeba ověřit případ od případu s právním poradcem.
Nejsem banka, proč se mě DORA přesto týká?
Pokud poskytujete ICT služby (informatika, cloud, software, hosting) finančnímu subjektu, článek 30 ukládá vašemu klientovi povinnost zapsat vás do svého registru a smluvně vám uložit přesná ustanovení: práva na audit, oznámení incidentu bez odkladu, plány výstupu. Tyto povinnosti procházejí smlouvou s vaším klientem, nikoli přímým dohledem úřadu - pokud sami nejste určeni kritickým ICT poskytovatelem (článek 31).
Jaké jsou lhůty pro oznámení závažného ICT incidentu?
Článek 19: počáteční oznámení do 4 hodin po klasifikaci jako závažný incident (nejpozději 24 hodin po zjištění), předběžná zpráva do 72 hodin, závěrečná zpráva do 1 měsíce. Tato oznámení jsou odlišná od případného oznámení podle RGPD úřadu CNIL (autorita francouzská) v případě porušení zabezpečení osobních údajů.
Co je „kritický ICT poskytovatel“?
Jsou to poskytovatelé výslovně určení evropskými orgány dohledu (EBA, ESMA, EIOPA) podle kritérií systémového dopadu, nahraditelnosti a závislosti (článek 31). První oficiální seznam, zveřejněný 18.-19. listopadu 2025, čítá 19 poskytovatelů. Podléhají přímému dohledu (kontroly, rozšířené vykazování); ostatní ICT poskytovatelé zůstávají regulováni pouze smluvními ustanoveními svých finančních klientů.
Nahrazuje DORA NIS2 pro můj sektor?
Ano, pro finanční subjekty ve smyslu článku 2: DORA představuje lex specialis vůči NIS2 pro finanční sektor. 21 dotčených kategorií uplatňuje DORA místo ekvivalentních opatření NIS2 v oblasti řízení rizik a oznamování incidentů.
Představuje tato služba právní stanovisko?
Ne. DORA-Express je dokumentační podpůrný nástroj, nikoli právní stanovisko. Přesná podřízenost vaší organizace nařízení DORA a právní shoda vašich smluv musí být před jakýmkoli závazným rozhodnutím ověřeny specializovaným právníkem.

Připraveni zdokumentovat svou shodu s DORA?

Kontaktujte nás a získejte individuální nabídku podle vašeho statusu (finanční subjekt nebo ICT poskytovatel).

DORA-Express je dokumentační podpůrný nástroj a nepředstavuje právní stanovisko. Podřízenost vaší organizace nařízení DORA a právní platnost vašich smluv a registrů musí být potvrzeny specializovaným právníkem.

Regulatorní monitoring - oficiální zdroje

DORA vysvětlená jednoduše, bez právního žargonu. Každý bod níže odkazuje na oficiální text, který jej potvrzuje.

Koho se to týká?

DORA se vztahuje na evropské finanční aktéry: banky, pojišťovny, investiční společnosti, tržní platformy, správce fondů, poskytovatele platebních služeb... a také na jejich IT poskytovatele. Velmi malé subjekty mají zjednodušená pravidla.

oficiální zdroj (EUR-Lex) ↗

Co po vás DORA konkrétně požaduje

Nařízení pokrývá 6 velkých témat: řízení IT rizik, dohled nad vašimi externími poskytovateli, pravidelné zátěžové testy, hlášení závažných incidentů, sdílení informací o hrozbách a dohled nad největšími IT poskytovateli.

oficiální zdroj (EIOPA) ↗

Data, která je třeba si zapamatovat

Text přijat 14. prosince 2022, zveřejněn v Úředním věstníku EU dne 27. prosince 2022 (Úř. věst. L 333). Vstup v platnost 16. ledna 2023. Povinnosti jsou skutečně účinné od 17. ledna 2025.

zdroj EUR-Lex ↗ · zdroj ESMA ↗

Vaši IT poskytovatelé jsou také pod dohledem

Největší IT poskytovatelé (cloud, hosting...) považovaní za „kritické“ pro finanční sektor jsou nyní kontrolováni přímo na evropské úrovni, s hlavním dohledovým orgánem, který jim může ukládat opatření.

oficiální zdroj (EIOPA) ↗

Konečně harmonizované hlášení incidentů

Před DORA měla každá země EU vlastní pravidla pro hlášení závažného IT incidentu. Nyní platí jednotný evropský postup: závažné incidenty se oznamují přímo příslušným úřadům.

zdroj EUR-Lex ↗

A co sankce?

Text stanoví, že úřady zveřejňují správní sankce, které ukládají. Přesné výše pokut nejsou v dosud konzultovaných zdrojích ustálené - je třeba potvrdit s dalšími oficiálními upřesněními.

zdroj EUR-Lex (bod odůvodnění 97) ↗