DORA: Nařízení o digitální odolnosti finančního sektoru je účinné již od 17. ledna 2025
Nařízení Evropské unie DORA (Digital Operational Resilience Act)[1] nabývá účinnosti od 17. 1. 2025. Finanční instituce a jejich dodavatelé ICT služeb tak mají už jen několik týdnů na to, aby zajistili splnění požadavků, které nařízení přináší.
Oproti směrnici NIS2 je DORA nařízením, které je přímo účinné v jednotlivých členských státech EU. DORU tedy nebudou jednotlivé členské státy EU implementovat do své legislativy obdobně jako má být NIS2 transponována v českém právním prostředí novým zákonem o kybernetické bezpečnosti.
Z pohledu dopadu na povinné osoby ve vztahu k regulaci kybernetické bezpečnosti má DORA přednost před směrnicí NIS2 a její národní transpozicí (zejména zákonem o kybernetické bezpečnosti) jako tzv. lex specialis[2].DORA zavádí jednotný právní rámec zaměřený na zvýšení digitální odolnosti a ochrany před kybernetickými hrozbami. Klíčové oblasti zahrnují správu rizik v ICT, pravidelné testování odolnosti systémů a novou povinnost hlášení bezpečnostních incidentů. Neméně důležitou změnou je přísnější dohled nad externími dodavateli ICT služeb, včetně možnosti přímého dohledu evropských orgánů nad tzv. kritickými poskytovateli.
Kontrolu plnění povinností vyplývajících z nařízení DORA v České republice budou zajišťovat Česká národní banka (ČNB) a NÚKIB, kteří na základě memoranda o vzájemné spolupráci uzavřeného 31. 5. 2022 společně koordinují aktivity v oblasti kybernetické bezpečnosti a odolnosti.
Ohlašovací a vykazovací povinnost bude plněna ve vztahu k ČNB primárně prostřednictvím systému SDAT (blíže viz https://www.cnb.cz/cs/statistika/sdat/dora/).
Evropská komise na sklonku října vydala dvojici prováděcích předpisů, které významně upřesňují postupy a povinnosti v rámci nařízení DORA. Tyto předpisy jsou klíčové pro všechny, kdo připravují finanční instituce či dotčené dodavatele na nové povinnosti digitální odolnosti. Za zmínku stojí i to, že díky aktivní účasti bank a dalších finančních institucí ve veřejných konzultacích se podařilo dosáhnout několika zmírnění v povinnostech k hlášení incidentů. Mezi nejvýznamnější změny patří prodloužení lhůt pro hlášení incidentů.
Podrobnosti k prováděcím předpisům i další aktuální informace lze nalézt na stránkách ČNB (https://www.cnb.cz/cs/dohled-financni-trh/legislativni-zakladna/digitalni-provozni-odolnost/).
Naše advokátní kancelář již pomáhá klientům s přípravou na účinnost DORA, a to včetně revizí smluv s dodavateli. Rádi pomůžeme i Vám zajistit hladký přechod na nové požadavky.
[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 je dostupné zde https://eur-lex.europa.eu/eli/reg/2022/2554/oj
[2] Vztah nového zákona o kybernetické bezpečnosti k odvětvovým právním předpisům EU je řešen v § 70 návrhu nového zákona o kybernetické bezpečnosti.
Autor:
Mgr. Lenka Lelitovská, LL.M.
Mgr. David Mareš, Ph.D.