Evropské nařízení o digitální provozní odolnosti finančního sektoru (DORA) ukládá finančním subjektům - a v důsledku toho i jejich ICT poskytovatelům - vyčerpávající registr smluv, přesná smluvní ustanovení a datované auditní důkazy. SYAGA DORA-Express vám pomůže splnit tyto požadavky bez improvizace, ať už jste finanční subjekt nebo poskytovatel.
DORA je nařízení, nikoli směrnice: platí přímo ve všech členských státech, bez čekání na vnitrostátní transpoziční zákon.
Nařízení (EU) 2022/2554 ze dne 14. prosince 2022, zveřejněné v Úředním věstníku EU dne 27. prosince 2022, vstoupilo v platnost 16. ledna 2023 a je účinné od 17. ledna 2025. Žádná vnitrostátní transpozice není vyžadována: je přímo vymahatelné.
Každý finanční subjekt musí vést a ročně předávat úřadům kompletní registr svých ICT smluv: poskytovatel, povaha služby, kritičnost funkce, země hostingu dat.
Práva na audit a inspekci, záruky dostupnosti a integrity dat, otestované plány výstupu, oznámení incidentu bez zbytečného odkladu. Tato ustanovení se přenášejí od vašeho finančního klienta k vám, pokud jste jeho ICT poskytovatelem.
Před podpisem nebo obnovou smlouvy vám banka, pojišťovna nebo investor pošle kybernetický dotazník (řízení, MFA, EDR, šifrování, zvyšování povědomí). Odpovědět na něj bez zdokumentovaného důkazu znamená ztrátu zakázky.
18.-19. listopadu 2025 evropské orgány dohledu (EBA, ESMA, EIOPA) zveřejnily první oficiální seznam kritických ICT poskytovatelů podle článku 32 nařízení DORA. Mezi jmény potvrzenými oficiálními tiskovými zprávami: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (a dalších 14 poskytovatelů jmenovitě nepotvrzených v našich zdrojích).
Konkrétní důsledek: pokud se vaše kritické služby opírají o některého z těchto poskytovatelů, váš klientský finanční subjekt to nyní musí zdokumentovat ve svém registru ICT - a může se vás dotázat na váš vlastní subdodavatelský řetězec.
Zdroj: oficiální tiskové zprávy EIOPA a ESMA z 18.-19. listopadu 2025 (eiopa.europa.eu, esma.europa.eu).
Strukturovaná podpora v 5 krocích pro zdokumentování vaší shody - bez slibování toho, co ani nástroj, ani poradenská firma nemohou za vás certifikovat.
Jste finanční subjekt přímo podléhající nařízení (jedna z 21 kategorií článku 2), nebo ICT poskytovatel dotčený nepřímo prostřednictvím smluvních ustanovení vašich finančních klientů (článek 30)? Přesný rozsah podmiňuje vše ostatní.
Odpovídáme na váš dotazník due diligence banky, investora nebo pojišťovny (řízení, MFA, EDR, šifrování, zvyšování povědomí...) na základě technického auditu vašeho tenantu Microsoft 365 jako datovaného a ověřitelného důkazu.
Pomůžeme vám strukturovat váš registr ICT smluv (čl. 28 odst. 3) a ověřit nebo zapracovat minimální a rozšířená smluvní ustanovení podle článku 30 do smluv s vašimi poskytovateli.
Náš PRA/PCA Suite nabízí odvětvový profil Finance (DORA, PSD2, ACPR - autorita francouzská), který pokrývá požadavky na testy provozní odolnosti z kapitoly IV nařízení DORA, v souladu s ISO 22301.
Předání vašemu vedení, CISO nebo finančnímu řediteli konsolidovaného souboru, s přesnými body, které je třeba nechat posoudit vaším právním poradcem před jakoukoli komunikací s úřady.
Konkrétní, sourcované výstupy, bez slibu certifikace, kterou nikdo nemůže zaručit
10 typových otázek due diligence banky / M&A, zdokumentovaných a sourcovaných (ILPA DDQ, CSA CAIQ, dotazníky kybernetických pojistitelů).
Sourcované shrnutí nařízení (EU) 2022/2554.
Struktura vyčerpávajícího registru vyžadovaného úřady.
K zapracování nebo ověření ve vašich smlouvách s ICT poskytovateli.
Plán kontinuity a obnovy činnosti, dedikovaný odvětvový profil.
Formáty PDF a DOCX, konsolidující veškeré výstupy.
Výňatek z 10 otázek, které za vás dokumentujeme, se zdrojem každé otázky
| Téma | Otázka | Zdroj |
|---|---|---|
| Řízení | Opírá se vaše bezpečnostní politika o uznávaný referenční rámec (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Audit třetích stran | Provádíte roční nezávislý audit a penetrační testy? | CSA CAIQ v4 |
| Plán incidentu | Existuje formální plán reakce na incidenty, zdokumentovaný a udržovaný? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Pro které služby vyžadujete vícefaktorové ověřování? | Travelers - MFA Supplement |
| Privilegované účty | Řídí se přístupy zásadou nejmenšího oprávnění, pravidelně revidovanou? | CSA CAIQ v4 IAM |
| Jakou licenci M365 používáte? Je aktivní pokročilý Defender / threat hunting? | vCSO.ai Cyber DD Checklist | |
| Šifrování | Jsou disky koncových zařízení plně šifrovány? | Google VSAQ |
| Školení | Je zaveden program bezpečnostního povědomí pro všechny zaměstnance? | CSA CAIQ v4 HRS |
Každý výstup výslovně uvádí, co pokrývá - a co nepokrývá
Registr ICT (čl. 28), smluvní ustanovení (čl. 30), lhůty oznámení (čl. 19), odkaz na určené kritické ICT poskytovatele (čl. 32).
DORA je lex specialis vůči NIS2 pro finanční sektor: dotčené subjekty uplatňují DORA místo ekvivalentních opatření NIS2.
Profil PRA/PCA Finance je v souladu s ISO 22301, referenčním rámcem řízení kontinuity činnosti, používaným jako doplněk k DORA.
Oznamování incidentu podle DORA (ACPR/AMF, autority francouzské) je odlišné od oznámení podle RGPD (CNIL, autorita francouzská) v případě porušení zabezpečení osobních údajů: obě mohou být vyžadována současně.
Každý spis DORA je jiný podle vašeho statusu - individuální nabídka v každém případě
Poskytujete služby jednomu nebo více finančním subjektům
Podléháte přímo nařízení DORA (jedna z 21 kategorií, čl. 2)
Pravidelná aktualizace spisu (povinnosti, smlouvy, registr)
Kontaktujte nás a získejte individuální nabídku podle vašeho statusu (finanční subjekt nebo ICT poskytovatel).
DORA vysvětlená jednoduše, bez právního žargonu. Každý bod níže odkazuje na oficiální text, který jej potvrzuje.
DORA se vztahuje na evropské finanční aktéry: banky, pojišťovny, investiční společnosti, tržní platformy, správce fondů, poskytovatele platebních služeb... a také na jejich IT poskytovatele. Velmi malé subjekty mají zjednodušená pravidla.
Nařízení pokrývá 6 velkých témat: řízení IT rizik, dohled nad vašimi externími poskytovateli, pravidelné zátěžové testy, hlášení závažných incidentů, sdílení informací o hrozbách a dohled nad největšími IT poskytovateli.
Text přijat 14. prosince 2022, zveřejněn v Úředním věstníku EU dne 27. prosince 2022 (Úř. věst. L 333). Vstup v platnost 16. ledna 2023. Povinnosti jsou skutečně účinné od 17. ledna 2025.
Největší IT poskytovatelé (cloud, hosting...) považovaní za „kritické“ pro finanční sektor jsou nyní kontrolováni přímo na evropské úrovni, s hlavním dohledovým orgánem, který jim může ukládat opatření.
Před DORA měla každá země EU vlastní pravidla pro hlášení závažného IT incidentu. Nyní platí jednotný evropský postup: závažné incidenty se oznamují přímo příslušným úřadům.
Text stanoví, že úřady zveřejňují správní sankce, které ukládají. Přesné výše pokut nejsou v dosud konzultovaných zdrojích ustálené - je třeba potvrdit s dalšími oficiálními upřesněními.