DORA: Nový rámec digitálnej odolnosti pre finančný sektor v EÚ

Aktualita
May 5, 2025
DORA: Nový rámec digitálnej odolnosti pre finančný sektor v EÚ

Od 17. januára 2025 nadobudlo účinnosť nariadenie DORA (Digital Operational Resilience Act) – európsky legislatívny rámec, ktorý stanovuje jednotné požiadavky na kybernetickú a operačnú odolnosť finančných inštitúcií. Cieľom je zabezpečiť, aby aj v prípade veľkých IT incidentov alebo kyberútokov dokázali subjekty vo finančnom sektore pokračovať v činnosti bez narušenia služieb.

Prečo vznikla DORA?

Digitálna transformácia finančného sektora so sebou prináša zvyšujúcu sa závislosť od informačných a komunikačných technológií (IKT). S tým rastú aj riziká – od výpadkov systémov cez kybernetické útoky až po incidenty u externých dodávateľov služieb.

DORA je reakciou EÚ na tieto riziká. Vytvára povinnosti v oblasti kybernetickej bezpečnosti, ktoré sú právne záväzné pre všetky členské štáty, na rozdiel od predchádzajúcich odporúčaní.

Koho sa DORA týka?

DORA sa vzťahuje na široké spektrum regulovaných subjektov v oblasti financií:

  • banky a ich pobočky,
  • poisťovne a zaisťovne,
  • investičné spoločnosti a správne fondy,
  • platobné inštitúcie a poskytovateľov elektronických peňazí,
  • finančných sprostredkovateľov, ktorí spĺňajú určité podmienky (napr. výšku obratu alebo počet zamestnancov),
  • veľkých nefinančné spoločnosti, napr. predajcov automobilov, ktorí sprostredkujú finančné alebo poistné produkty.

Naopak, výnimku majú mikro, malé a stredné podniky, ktoré spadajú do kategórie sprostredkovateľov poistenia.

Kľúčové požiadavky podľa DORA

Nariadenie rozdeľuje svoje požiadavky do piatich hlavných oblastí, ktoré musia regulované subjekty implementovať:

1. Zavedenie rámca riadenia rizík IKT

Organizácie musia vytvoriť a udržiavať komplexný rámec riadenia rizík IKT, ktorý zahŕňa:

  • analýzu hrozieb a zraniteľností,
  • prevenciu a detekciu incidentov,
  • kontinuálnu obnovu a obnovu služieb,
  • zapojenie vedenia organizácie do riadenia kybernetických rizík.

2. Incident reporting a klasifikácia

Finančné inštitúcie musia nahlasovať závažné prevádzkové a bezpečnostné incidenty príslušným regulačným orgánom (napr. NBS) v štandardizovanom formáte.

  • Incidenty sa klasifikujú podľa vopred stanovených kritérií a prahových hodnôt.
  • V prípade nesprávne klasifikovaného incidentu sa podáva tzv. reklasifikácia.
  • Využíva sa elektronická platforma „Štatistický zberový portál“ na podávanie hlásení.

3. Testovanie prevádzkovej odolnosti

Jednou z najvýraznejších zmien je povinné testovanie odolnosti IKT systémov vrátane:

  • penetračných testov (TLPT – threat-led penetration testing),
  • testovania obnovy po incidente,
  • identifikácie a opravy zraniteľností pred ich zneužitím.

Cieľom je zistiť reálnu úroveň odolnosti a pripravenosti organizácie na incidenty.

4. Manažment rizík tretích strán

Subjekty musia mať pod kontrolou aj riziká spojené s externými dodávateľmi IKT služieb. Konkrétne:

  • viesť a pravidelne aktualizovať register poskytovateľov IKT služieb,
  • zohľadňovať bezpečnostné aspekty už pri uzatváraní zmlúv,
  • zabezpečiť možnosť ukončenia zmluvy pri neplnení bezpečnostných požiadaviek.

5. Zdieľanie informácií o hrozbách

DORA tiež umožňuje a podporuje dobrovoľné zdieľanie informácií o kybernetických hrozbách medzi inštitúciami. To môže viesť k rýchlejšiemu reagovaniu na nové typy útokov a posilniť sektorovú spoluprácu.

Dopad na klientov: žiadne nové povinnosti, ale vyššia bezpečnosť

Z pohľadu klientov sa DORA javí ako neutrálna zmena – neukladá im žiadne povinnosti. Jej prínos je však nepriamy:

  • vyššia bezpečnosť pri správe ich dát,
  • povinnosť informovať klientov v prípade incidentu,
  • celková stabilita a dôveryhodnosť finančných služieb.
Napriek rozdielom medzi DORA a NIS2 majú obe regulácie rovnakú ambíciu – chrániť digitálnu infraštruktúru.

DORA ≠ NIS2, ale majú spoločné ciele

Zatiaľ čo DORA sa špecificky týka finančných subjektov, smernica NIS2 sa zameriava na široké spektrum odvetví – od zdravotníctva po digitálne služby. Obe regulácie však zavádzajú podobné mechanizmy: riadenie kybernetických rizík, hlásenie incidentov a dôraz na prevádzkovú kontinuitu.

Čo by si mali firmy uvedomiť?

DORA nie je len ďalšia regulácia – je to signál, že kybernetická odolnosť je nevyhnutnou súčasťou moderného podnikania. Subjekty, ktoré ju zoberú vážne, získajú nielen konkurenčnú výhodu, ale aj dôveru klientov a partnerov.

Ak pôsobíte v oblasti financií, je najvyšší čas začať so zavádzaním procesov, ktoré DORA vyžaduje. Ochrana dát, prevencia incidentov a spolupráca s dôveryhodnými IT partnermi nie sú len regulačné požiadavky – sú to základné piliere bezpečného podnikania v digitálnej dobe.

NIS2 novinky

Chcete byť informovaný o novinkách v smernici NIS2 a kyberbezpečnosti na Slovensku? Zadajte Váš e-mail a prihláste sa na odber najnovších informácií, exkluzívnych článkov a pozvánok na odborné workshopy.

Ďakujeme za Váš záujem!
Oops! E-mail má nesprávny tvar.