NARIADENIE (EÚ) 2022/2554 - ÚČINNÉ OD 17. JANUÁRA 2025

Váš súlad s DORA,
zdokumentovaný a obhájiteľný

Európske nariadenie o digitálnej prevádzkovej odolnosti finančného sektora (DORA) ukladá finančným subjektom - a nepriamo aj ich poskytovateľom ICT - viesť podrobný register zmlúv, presné zmluvné doložky a datované audítorské dôkazy. SYAGA DORA-Express vám pomôže splniť tieto požiadavky bez improvizácie, či už ste finančný subjekt alebo poskytovateľ.

17/01
Účinné od roku 2025
21
Kategórií dotknutých subjektov (čl. 2)
4 h
Lehota na oznámenie závažného incidentu
19
Už určených kritických poskytovateľov ICT

Regulačný kontext

DORA je nariadenie, nie smernica: uplatňuje sa priamo vo všetkých členských štátoch, bez potreby čakať na vnútroštátny transpozičný zákon.

DORA sa priamo uplatňuje od 17. januára 2025

Nariadenie (EÚ) 2022/2554 zo 14. decembra 2022, uverejnené v Úradnom vestníku EÚ 27. decembra 2022, nadobudlo účinnosť 16. januára 2023 a uplatňuje sa od 17. januára 2025. Nevyžaduje sa žiadna vnútroštátna transpozícia: je priamo vymáhateľné.

📋

Vyžaduje sa podrobný register ICT (čl. 28 ods. 3)

Každý finančný subjekt musí viesť a každoročne odovzdávať úradom kompletný register svojich zmlúv v oblasti ICT: poskytovateľ, povaha služby, kritickosť funkcie, krajina hostingu údajov.

📄

Vaše zmluvy musia obsahovať presné doložky (čl. 30)

Práva na audit a inšpekciu, záruky dostupnosti a integrity údajov, testované výstupné plány, oznamovanie incidentov bez zbytočného odkladu. Tieto doložky sa prenášajú z vášho finančného klienta na vás, ak ste jeho poskytovateľom ICT.

📧

Dotazník due diligence už máte v e-mailovej schránke

Pred podpisom alebo obnovou zmluvy banka, poisťovňa alebo investor posiela kybernetický dotazník (governance, MFA, EDR, šifrovanie, školenia). Odpoveď bez zdokumentovaného dôkazu znamená stratu zákazky.

Spúšťač z 18. novembra 2025

Vaši poskytovatelia cloudu boli práve oficiálne označení za „kritických“

18.-19. novembra 2025 európske orgány dohľadu (EBA, ESMA, EIOPA) zverejnili prvý oficiálny zoznam kritických poskytovateľov ICT podľa článku 32 DORA. Medzi menami potvrdenými oficiálnymi tlačovými správami: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (a 14 ďalších poskytovateľov, ktorí nie sú v našich zdrojoch menovite potvrdení).

Konkrétny dôsledok: ak vaše kritické služby závisia od niektorého z týchto poskytovateľov, váš finančný klient to musí odteraz zdokumentovať vo svojom registri ICT - a môže sa vás spýtať na váš vlastný reťazec subdodávateľov.

Zdroj: oficiálne tlačové správy EIOPA a ESMA z 18.-19. novembra 2025 (eiopa.europa.eu, esma.europa.eu).

Naše riešenie: DORA-Express

Štruktúrovaná podpora v 5 krokoch na zdokumentovanie vášho súladu - bez sľubovania toho, čo nemôže zaručiť ani žiadny nástroj, ani žiadna poradenská firma.

1
Krok 1 - Kvalifikácia

Identifikujeme vašu skutočnú expozíciu

Ste priamo dotknutý finančný subjekt (jedna z 21 kategórií článku 2), alebo poskytovateľ ICT dotknutý nepriamo prostredníctvom zmluvných doložiek vašich finančných klientov (článok 30)? Presný rozsah určuje všetko ostatné.

2
Krok 2 - Due diligence

Odpoveď na váš kybernetický dotazník

Odpovedáme na váš dotazník due diligence banky, investora alebo poisťovne (governance, MFA, EDR, šifrovanie, školenia...) na základe technického auditu vášho tenantu Microsoft 365 ako datovaného a overiteľného dôkazu.

3
Krok 3 - Register a zmluvy

Register ICT a doložky podľa článku 30

Pomôžeme vám štruktúrovať váš register zmlúv ICT (čl. 28 ods. 3) a overiť alebo zapracovať minimálne a rozšírené zmluvné doložky článku 30 do vašich zmlúv s poskytovateľmi.

4
Krok 4 - Kontinuita a odolnosť

PRA/PCA sektorový profil Financie

Naša PRA/PCA Suite ponúka sektorový profil Financie (DORA, PSD2, ACPR - francúzsky úrad), ktorý pokrýva požiadavky na testovanie prevádzkovej odolnosti podľa kapitoly IV DORA, v súlade s ISO 22301.

5
Krok 5 - Odovzdanie

Zdokumentovaný súbor súladu

Odovzdanie konsolidovaného súboru vášmu vedeniu, CISO alebo finančnému riaditeľovi, s presnými bodmi, ktoré má rozhodnúť váš právny poradca pred akoukoľvek komunikáciou s úradmi.

Čo dostanete

Konkrétne, doložené výstupy, bez sľubu certifikácie, ktorú nikto nemôže zaručiť

📝

Odpovede na kybernetický due diligence

10 typových otázok due diligence banky / M&A, zdokumentovaných a doložených (ILPA DDQ, CSA CAIQ, dotazníky kybernetických poisťovní).

  • Bezpečnostná politika / uznávaný rámec
  • MFA, princíp najmenších privilégií, privilegované účty
  • Licencia M365, EDR / threat hunting
  • Zastarané protokoly, šifrovanie diskov
  • Program zvyšovania povedomia
📄

Referenčný list DORA

Doložené zhrnutie nariadenia (EÚ) 2022/2554.

  • Rozsah: 21 kategórií subjektov (čl. 2)
  • 5 oblastí povinností
  • Lehoty na oznámenie (4 h / 72 h / 1 mesiac)
  • Vzťah k NIS2 (lex specialis)
📋

Register ICT (šablóna čl. 28 ods. 3)

Štruktúra podrobného registra vyžadovaného úradmi.

  • Poskytovateľ a povaha služby
  • Kritickosť podporovanej funkcie
  • Krajina hostingu údajov
  • Formát pripravený na ročné odovzdanie
🔐

Zmluvné doložky (šablóna čl. 30)

Na zapracovanie alebo overenie vo vašich zmluvách s poskytovateľmi ICT.

  • Minimálne doložky (všetky zmluvy)
  • Rozšírené doložky (kritické funkcie)
  • Práva na audit a inšpekciu
  • Výstupné plány a extrahovateľnosť údajov
🏗

PRA/PCA profil Financie

Plán kontinuity a obnovy činnosti, dedikovaný sektorový profil.

  • Pokrytie kapitoly IV DORA (testy odolnosti)
  • V súlade s ISO 22301
  • Sektorový profil DORA / PSD2 / ACPR
  • Z našej existujúcej PRA/PCA Suite
💾

Zdokumentovaný súbor súladu

Formáty PDF a DOCX, konsolidujúce všetky výstupy.

  • Pripravený pre vaše vedenie / CISO / finančného riaditeľa
  • Označené body na potvrdenie vaším advokátom
  • Základ pre komunikáciu s ACPR / AMF (francúzske úrady)
  • Upraviteľný pre ročnú aktualizáciu

Príklad: dotazník due diligence banky

Výňatok z 10 otázok, ktoré za vás dokumentujeme, so zdrojom každej otázky

Téma Otázka Zdroj
Governance Opiera sa vaša bezpečnostná politika o uznávaný rámec (NIST, ISO 27001)? ILPA DDQ 2.0
Audit tretej strany Vykonávate ročný nezávislý audit a penetračné testy? CSA CAIQ v4
Plán incidentov Existuje formálny, zdokumentovaný a udržiavaný plán reakcie na incidenty? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Pre ktoré služby vyžadujete viacfaktorové overenie? Travelers - MFA Supplement
Privilegované účty Riadia sa prístupy princípom najmenších privilégií, pravidelne kontrolovaným? CSA CAIQ v4 IAM
E-mailová komunikácia Akú licenciu M365 používate? Je aktívny Defender / pokročilý threat hunting? vCSO.ai Cyber DD Checklist
Šifrovanie Sú disky koncových zariadení plne šifrované? Google VSAQ
Školenie Je pre všetkých zamestnancov zavedený program zvyšovania bezpečnostného povedomia? CSA CAIQ v4 HRS

Pokryté texty a referenčné rámce

Každý výstup výslovne uvádza, čo pokrýva - a čo nepokrýva

DO

DORA (nariadenie EÚ 2022/2554)

Register ICT (čl. 28), zmluvné doložky (čl. 30), lehoty na oznámenie (čl. 19), odkaz na určených kritických poskytovateľov ICT (čl. 32).

N2

NIS2 - vzťah k DORA

DORA je vo vzťahu k NIS2 lex specialis pre finančný sektor: dotknuté subjekty uplatňujú DORA namiesto ekvivalentných opatrení NIS2.

ISO

ISO 22301 - kontinuita činnosti

Profil PRA/PCA Financie sa zosúlaďuje s ISO 22301, referenčným rámcom riadenia kontinuity činnosti používaným ako doplnok k DORA.

RG

RGPD - samostatné oznámenie

Oznámenie incidentu podľa DORA (ACPR/AMF, francúzske úrady) je odlišné od oznámenia podľa RGPD (CNIL, francúzsky úrad) v prípade porušenia ochrany osobných údajov: obe môžu byť vyžadované súčasne.

Podpora prispôsobená vašej situácii

Každý spis DORA je iný podľa vášho statusu - individuálna cenová ponuka v každom prípade

Poskytovateľ ICT

Poskytujete služby jednému alebo viacerým finančným subjektom

Na dopyt
podľa rozsahu
  • Odpoveď na kybernetický due diligence
  • Register ICT na strane poskytovateľa
  • Kontrola doložiek podľa článku 30
  • Zdokumentovaný súbor pripravený na odovzdanie
Vyžiadať cenovú ponuku

Ročné sledovanie

Pravidelná aktualizácia spisu (povinnosti, zmluvy, register)

Na dopyt
opakované
  • Aktualizácia registra ICT
  • Ročná revízia zmluvných doložiek
  • Monitoring určených kritických poskytovateľov
  • Podpora pri due diligence vašich klientov
Vyžiadať cenovú ponuku

Časté otázky

Je moja spoločnosť finančným subjektom dotknutým DORA?
Článok 2 DORA uvádza 21 kategórií finančných subjektov: úverové a platobné inštitúcie, investičné spoločnosti, poskytovatelia kryptoaktív s licenciou MiCA, poisťovníctvo a zaisťovníctvo, správa fondov, ratingové agentúry a ďalšie. Mikropodniky (menej ako 10 zamestnancov, obrat alebo bilancia pod 2 mil. €) majú výhodu proporcionality pri niektorých povinnostiach, no nie sú úplne vylúčené. Je potrebné to overiť individuálne s právnym poradcom.
Nie som banka, prečo sa ma DORA napriek tomu týka?
Ak poskytujete ICT služby (informatika, cloud, softvér, hosting) finančnému subjektu, článok 30 ukladá vášmu klientovi povinnosť zaradiť vás do svojho registra a zmluvne vám uložiť presné doložky: práva na audit, oznamovanie incidentov bez zbytočného odkladu, výstupné plány. Tieto povinnosti sa prenášajú cez zmluvu vášho klienta, nie priamym dohľadom úradu - okrem prípadu, že by ste sami boli určení za kritického poskytovateľa ICT (článok 31).
Aké sú lehoty na oznámenie závažného ICT incidentu?
Článok 19: úvodné oznámenie do 4 hodín po klasifikácii ako závažný incident (najneskôr 24 hodín od zistenia), priebežná správa do 72 hodín, záverečná správa do 1 mesiaca. Tieto oznámenia sú odlišné od prípadného oznámenia podľa RGPD úradu CNIL (francúzsky úrad) v prípade porušenia ochrany osobných údajov.
Čo je „kritický poskytovateľ ICT“?
Sú to poskytovatelia výslovne určení európskymi orgánmi dohľadu (EBA, ESMA, EIOPA) podľa kritérií systémového dopadu, nahraditeľnosti a závislosti (článok 31). Prvý oficiálny zoznam, zverejnený 18.-19. novembra 2025, obsahuje 19 poskytovateľov. Podliehajú priamemu dohľadu (inšpekcie, rozšírené reportovanie); ostatní poskytovatelia ICT zostávajú regulovaní len zmluvnými doložkami svojich finančných klientov.
Nahrádza DORA smernicu NIS2 pre môj sektor?
Áno, pre finančné subjekty v zmysle článku 2: DORA predstavuje lex specialis vo vzťahu k NIS2 pre finančný sektor. 21 dotknutých kategórií uplatňuje DORA namiesto ekvivalentných opatrení NIS2 v oblasti riadenia rizík a oznamovania incidentov.
Predstavuje táto služba právne poradenstvo?
Nie. DORA-Express je dokumentačný podporný nástroj, nie právne poradenstvo. Presné určenie, či sa na vašu organizáciu vzťahuje DORA, a právny súlad vašich zmlúv musí pred akýmkoľvek záväzným rozhodnutím potvrdiť špecializovaný advokát.

Ste pripravení zdokumentovať váš súlad s DORA?

Kontaktujte nás a získajte individuálnu cenovú ponuku podľa vášho statusu (finančný subjekt alebo poskytovateľ ICT).

DORA-Express je dokumentačný podporný nástroj a nepredstavuje právne poradenstvo. Uplatnenie DORA na vašu organizáciu a právnu platnosť vašich zmlúv a registrov musí potvrdiť špecializovaný advokát.

Regulačný monitoring - oficiálne zdroje

DORA vysvetlená jednoducho, bez právneho žargónu. Každý bod nižšie odkazuje na oficiálny text, ktorý ho potvrdzuje.

Koho sa to týka?

DORA sa vzťahuje na európske finančné subjekty: banky, poisťovne, investičné spoločnosti, obchodné platformy, správcov fondov, poskytovateľov platobných služieb... ako aj na ich poskytovateľov IT služieb. Veľmi malé subjekty majú výhodu zjednodušených pravidiel.

oficiálny zdroj (EUR-Lex) ↗

Čo od vás DORA konkrétne vyžaduje

Nariadenie pokrýva 6 hlavných tém: riadenie IT rizika, dohľad nad externými poskytovateľmi, pravidelné testy odolnosti, hlásenie závažných incidentov, zdieľanie informácií o hrozbách a dohľad nad najväčšími poskytovateľmi IT služieb.

oficiálny zdroj (EIOPA) ↗

Dôležité dátumy

Text prijatý 14. decembra 2022, uverejnený v Úradnom vestníku EÚ 27. decembra 2022 (Ú. v. L 333). Nadobudol účinnosť 16. januára 2023. Povinnosti sú skutočne účinné od 17. januára 2025.

zdroj EUR-Lex ↗ · zdroj ESMA ↗

Aj vaši poskytovatelia IT sú sledovaní

Najväčší poskytovatelia IT služieb (cloud, hosting...) považovaní za „kritických“ pre finančný sektor sú odteraz priamo kontrolovaní na európskej úrovni, s vedúcim orgánom dohľadu, ktorý im môže ukladať opatrenia.

oficiálny zdroj (EIOPA) ↗

Konečne zjednotené hlásenie incidentov

Pred DORA mala každá krajina EÚ vlastné pravidlá na hlásenie závažného IT incidentu. Odteraz platí jednotný európsky postup: závažné incidenty sa oznamujú priamo príslušným orgánom.

zdroj EUR-Lex ↗

A čo sankcie?

Text stanovuje, že úrady zverejňujú správne sankcie, ktoré ukladajú. Presné výšky pokút nie sú v doteraz preštudovaných zdrojoch ustálené - treba potvrdiť podľa ďalších oficiálnych spresnení.

zdroj EUR-Lex (odôvodnenie 97) ↗