Európske nariadenie o digitálnej prevádzkovej odolnosti finančného sektora (DORA) ukladá finančným subjektom - a nepriamo aj ich poskytovateľom ICT - viesť podrobný register zmlúv, presné zmluvné doložky a datované audítorské dôkazy. SYAGA DORA-Express vám pomôže splniť tieto požiadavky bez improvizácie, či už ste finančný subjekt alebo poskytovateľ.
DORA je nariadenie, nie smernica: uplatňuje sa priamo vo všetkých členských štátoch, bez potreby čakať na vnútroštátny transpozičný zákon.
Nariadenie (EÚ) 2022/2554 zo 14. decembra 2022, uverejnené v Úradnom vestníku EÚ 27. decembra 2022, nadobudlo účinnosť 16. januára 2023 a uplatňuje sa od 17. januára 2025. Nevyžaduje sa žiadna vnútroštátna transpozícia: je priamo vymáhateľné.
Každý finančný subjekt musí viesť a každoročne odovzdávať úradom kompletný register svojich zmlúv v oblasti ICT: poskytovateľ, povaha služby, kritickosť funkcie, krajina hostingu údajov.
Práva na audit a inšpekciu, záruky dostupnosti a integrity údajov, testované výstupné plány, oznamovanie incidentov bez zbytočného odkladu. Tieto doložky sa prenášajú z vášho finančného klienta na vás, ak ste jeho poskytovateľom ICT.
Pred podpisom alebo obnovou zmluvy banka, poisťovňa alebo investor posiela kybernetický dotazník (governance, MFA, EDR, šifrovanie, školenia). Odpoveď bez zdokumentovaného dôkazu znamená stratu zákazky.
18.-19. novembra 2025 európske orgány dohľadu (EBA, ESMA, EIOPA) zverejnili prvý oficiálny zoznam kritických poskytovateľov ICT podľa článku 32 DORA. Medzi menami potvrdenými oficiálnymi tlačovými správami: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (a 14 ďalších poskytovateľov, ktorí nie sú v našich zdrojoch menovite potvrdení).
Konkrétny dôsledok: ak vaše kritické služby závisia od niektorého z týchto poskytovateľov, váš finančný klient to musí odteraz zdokumentovať vo svojom registri ICT - a môže sa vás spýtať na váš vlastný reťazec subdodávateľov.
Zdroj: oficiálne tlačové správy EIOPA a ESMA z 18.-19. novembra 2025 (eiopa.europa.eu, esma.europa.eu).
Štruktúrovaná podpora v 5 krokoch na zdokumentovanie vášho súladu - bez sľubovania toho, čo nemôže zaručiť ani žiadny nástroj, ani žiadna poradenská firma.
Ste priamo dotknutý finančný subjekt (jedna z 21 kategórií článku 2), alebo poskytovateľ ICT dotknutý nepriamo prostredníctvom zmluvných doložiek vašich finančných klientov (článok 30)? Presný rozsah určuje všetko ostatné.
Odpovedáme na váš dotazník due diligence banky, investora alebo poisťovne (governance, MFA, EDR, šifrovanie, školenia...) na základe technického auditu vášho tenantu Microsoft 365 ako datovaného a overiteľného dôkazu.
Pomôžeme vám štruktúrovať váš register zmlúv ICT (čl. 28 ods. 3) a overiť alebo zapracovať minimálne a rozšírené zmluvné doložky článku 30 do vašich zmlúv s poskytovateľmi.
Naša PRA/PCA Suite ponúka sektorový profil Financie (DORA, PSD2, ACPR - francúzsky úrad), ktorý pokrýva požiadavky na testovanie prevádzkovej odolnosti podľa kapitoly IV DORA, v súlade s ISO 22301.
Odovzdanie konsolidovaného súboru vášmu vedeniu, CISO alebo finančnému riaditeľovi, s presnými bodmi, ktoré má rozhodnúť váš právny poradca pred akoukoľvek komunikáciou s úradmi.
Konkrétne, doložené výstupy, bez sľubu certifikácie, ktorú nikto nemôže zaručiť
10 typových otázok due diligence banky / M&A, zdokumentovaných a doložených (ILPA DDQ, CSA CAIQ, dotazníky kybernetických poisťovní).
Doložené zhrnutie nariadenia (EÚ) 2022/2554.
Štruktúra podrobného registra vyžadovaného úradmi.
Na zapracovanie alebo overenie vo vašich zmluvách s poskytovateľmi ICT.
Plán kontinuity a obnovy činnosti, dedikovaný sektorový profil.
Formáty PDF a DOCX, konsolidujúce všetky výstupy.
Výňatok z 10 otázok, ktoré za vás dokumentujeme, so zdrojom každej otázky
| Téma | Otázka | Zdroj |
|---|---|---|
| Governance | Opiera sa vaša bezpečnostná politika o uznávaný rámec (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Audit tretej strany | Vykonávate ročný nezávislý audit a penetračné testy? | CSA CAIQ v4 |
| Plán incidentov | Existuje formálny, zdokumentovaný a udržiavaný plán reakcie na incidenty? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Pre ktoré služby vyžadujete viacfaktorové overenie? | Travelers - MFA Supplement |
| Privilegované účty | Riadia sa prístupy princípom najmenších privilégií, pravidelne kontrolovaným? | CSA CAIQ v4 IAM |
| E-mailová komunikácia | Akú licenciu M365 používate? Je aktívny Defender / pokročilý threat hunting? | vCSO.ai Cyber DD Checklist |
| Šifrovanie | Sú disky koncových zariadení plne šifrované? | Google VSAQ |
| Školenie | Je pre všetkých zamestnancov zavedený program zvyšovania bezpečnostného povedomia? | CSA CAIQ v4 HRS |
Každý výstup výslovne uvádza, čo pokrýva - a čo nepokrýva
Register ICT (čl. 28), zmluvné doložky (čl. 30), lehoty na oznámenie (čl. 19), odkaz na určených kritických poskytovateľov ICT (čl. 32).
DORA je vo vzťahu k NIS2 lex specialis pre finančný sektor: dotknuté subjekty uplatňujú DORA namiesto ekvivalentných opatrení NIS2.
Profil PRA/PCA Financie sa zosúlaďuje s ISO 22301, referenčným rámcom riadenia kontinuity činnosti používaným ako doplnok k DORA.
Oznámenie incidentu podľa DORA (ACPR/AMF, francúzske úrady) je odlišné od oznámenia podľa RGPD (CNIL, francúzsky úrad) v prípade porušenia ochrany osobných údajov: obe môžu byť vyžadované súčasne.
Každý spis DORA je iný podľa vášho statusu - individuálna cenová ponuka v každom prípade
Poskytujete služby jednému alebo viacerým finančným subjektom
Priamo podliehate DORA (jedna z 21 kategórií, čl. 2)
Pravidelná aktualizácia spisu (povinnosti, zmluvy, register)
Kontaktujte nás a získajte individuálnu cenovú ponuku podľa vášho statusu (finančný subjekt alebo poskytovateľ ICT).
DORA vysvetlená jednoducho, bez právneho žargónu. Každý bod nižšie odkazuje na oficiálny text, ktorý ho potvrdzuje.
DORA sa vzťahuje na európske finančné subjekty: banky, poisťovne, investičné spoločnosti, obchodné platformy, správcov fondov, poskytovateľov platobných služieb... ako aj na ich poskytovateľov IT služieb. Veľmi malé subjekty majú výhodu zjednodušených pravidiel.
Nariadenie pokrýva 6 hlavných tém: riadenie IT rizika, dohľad nad externými poskytovateľmi, pravidelné testy odolnosti, hlásenie závažných incidentov, zdieľanie informácií o hrozbách a dohľad nad najväčšími poskytovateľmi IT služieb.
Text prijatý 14. decembra 2022, uverejnený v Úradnom vestníku EÚ 27. decembra 2022 (Ú. v. L 333). Nadobudol účinnosť 16. januára 2023. Povinnosti sú skutočne účinné od 17. januára 2025.
Najväčší poskytovatelia IT služieb (cloud, hosting...) považovaní za „kritických“ pre finančný sektor sú odteraz priamo kontrolovaní na európskej úrovni, s vedúcim orgánom dohľadu, ktorý im môže ukladať opatrenia.
Pred DORA mala každá krajina EÚ vlastné pravidlá na hlásenie závažného IT incidentu. Odteraz platí jednotný európsky postup: závažné incidenty sa oznamujú priamo príslušným orgánom.
Text stanovuje, že úrady zverejňujú správne sankcie, ktoré ukladajú. Presné výšky pokút nie sú v doteraz preštudovaných zdrojoch ustálené - treba potvrdiť podľa ďalších oficiálnych spresnení.