DORA: Nový rámec digitálnej odolnosti pre finančný sektor v EÚ

Od 17. januára 2025 nadobudlo účinnosť nariadenie DORA (Digital Operational Resilience Act) – európsky legislatívny rámec, ktorý stanovuje jednotné požiadavky na kybernetickú a operačnú odolnosť finančných inštitúcií. Cieľom je zabezpečiť, aby aj v prípade veľkých IT incidentov alebo kyberútokov dokázali subjekty vo finančnom sektore pokračovať v činnosti bez narušenia služieb.
Prečo vznikla DORA?
Digitálna transformácia finančného sektora so sebou prináša zvyšujúcu sa závislosť od informačných a komunikačných technológií (IKT). S tým rastú aj riziká – od výpadkov systémov cez kybernetické útoky až po incidenty u externých dodávateľov služieb.
DORA je reakciou EÚ na tieto riziká. Vytvára povinnosti v oblasti kybernetickej bezpečnosti, ktoré sú právne záväzné pre všetky členské štáty, na rozdiel od predchádzajúcich odporúčaní.
Koho sa DORA týka?
DORA sa vzťahuje na široké spektrum regulovaných subjektov v oblasti financií:
- banky a ich pobočky,
- poisťovne a zaisťovne,
- investičné spoločnosti a správne fondy,
- platobné inštitúcie a poskytovateľov elektronických peňazí,
- finančných sprostredkovateľov, ktorí spĺňajú určité podmienky (napr. výšku obratu alebo počet zamestnancov),
- veľkých nefinančné spoločnosti, napr. predajcov automobilov, ktorí sprostredkujú finančné alebo poistné produkty.
Naopak, výnimku majú mikro, malé a stredné podniky, ktoré spadajú do kategórie sprostredkovateľov poistenia.
Kľúčové požiadavky podľa DORA
Nariadenie rozdeľuje svoje požiadavky do piatich hlavných oblastí, ktoré musia regulované subjekty implementovať:
1. Zavedenie rámca riadenia rizík IKT
Organizácie musia vytvoriť a udržiavať komplexný rámec riadenia rizík IKT, ktorý zahŕňa:
- analýzu hrozieb a zraniteľností,
- prevenciu a detekciu incidentov,
- kontinuálnu obnovu a obnovu služieb,
- zapojenie vedenia organizácie do riadenia kybernetických rizík.
2. Incident reporting a klasifikácia
Finančné inštitúcie musia nahlasovať závažné prevádzkové a bezpečnostné incidenty príslušným regulačným orgánom (napr. NBS) v štandardizovanom formáte.
- Incidenty sa klasifikujú podľa vopred stanovených kritérií a prahových hodnôt.
- V prípade nesprávne klasifikovaného incidentu sa podáva tzv. reklasifikácia.
- Využíva sa elektronická platforma „Štatistický zberový portál“ na podávanie hlásení.
3. Testovanie prevádzkovej odolnosti
Jednou z najvýraznejších zmien je povinné testovanie odolnosti IKT systémov vrátane:
- penetračných testov (TLPT – threat-led penetration testing),
- testovania obnovy po incidente,
- identifikácie a opravy zraniteľností pred ich zneužitím.
Cieľom je zistiť reálnu úroveň odolnosti a pripravenosti organizácie na incidenty.
4. Manažment rizík tretích strán
Subjekty musia mať pod kontrolou aj riziká spojené s externými dodávateľmi IKT služieb. Konkrétne:
- viesť a pravidelne aktualizovať register poskytovateľov IKT služieb,
- zohľadňovať bezpečnostné aspekty už pri uzatváraní zmlúv,
- zabezpečiť možnosť ukončenia zmluvy pri neplnení bezpečnostných požiadaviek.
5. Zdieľanie informácií o hrozbách
DORA tiež umožňuje a podporuje dobrovoľné zdieľanie informácií o kybernetických hrozbách medzi inštitúciami. To môže viesť k rýchlejšiemu reagovaniu na nové typy útokov a posilniť sektorovú spoluprácu.
Dopad na klientov: žiadne nové povinnosti, ale vyššia bezpečnosť
Z pohľadu klientov sa DORA javí ako neutrálna zmena – neukladá im žiadne povinnosti. Jej prínos je však nepriamy:
- vyššia bezpečnosť pri správe ich dát,
- povinnosť informovať klientov v prípade incidentu,
- celková stabilita a dôveryhodnosť finančných služieb.

DORA ≠ NIS2, ale majú spoločné ciele
Zatiaľ čo DORA sa špecificky týka finančných subjektov, smernica NIS2 sa zameriava na široké spektrum odvetví – od zdravotníctva po digitálne služby. Obe regulácie však zavádzajú podobné mechanizmy: riadenie kybernetických rizík, hlásenie incidentov a dôraz na prevádzkovú kontinuitu.
Čo by si mali firmy uvedomiť?
DORA nie je len ďalšia regulácia – je to signál, že kybernetická odolnosť je nevyhnutnou súčasťou moderného podnikania. Subjekty, ktoré ju zoberú vážne, získajú nielen konkurenčnú výhodu, ale aj dôveru klientov a partnerov.
Ak pôsobíte v oblasti financií, je najvyšší čas začať so zavádzaním procesov, ktoré DORA vyžaduje. Ochrana dát, prevencia incidentov a spolupráca s dôveryhodnými IT partnermi nie sú len regulačné požiadavky – sú to základné piliere bezpečného podnikania v digitálnej dobe.