DORA v praxi: čo musia organizácie vedieť a implementovať

admin

17. januára 2025 nadobudlo účinnosť nariadenie DORA. Nie smernica — nariadenie. Rozdiel je zásadný: smernica sa musí transponovať do národného práva, nariadenie platí priamo a bezpodmienečne vo všetkých členských štátoch EÚ od prvého dňa. Mnohé finančné inštitúcie a ich IKT dodávatelia vstúpili do tohto dátumu nepripravené — s neúplným registrom zmlúv, bez formalizovaného testovania odolnosti a s riadením IKT rizík, ktoré existovalo len na papieri. Tento článok vysvetľuje, čo DORA v praxi vyžaduje a kde väčšina organizácií stále zaostáva.

Čo je DORA a prečo vzniklo

DORA — Digital Operational Resilience Act (nariadenie EÚ 2022/2554) — je legislatívna odpoveď Európskej únie na rastúcu závislosť finančného sektora od digitálnej infraštruktúry a na fragmentáciu regulácie kybernetickej bezpečnosti naprieč členskými štátmi. Pred DORA platilo v EÚ viac ako 20 rôznych národných rámcov pre IKT bezpečnosť finančných inštitúcií — s rôznymi požiadavkami, rôznymi termínmi a rôznymi sankciami.

DORA toto zjednocuje. Vytvára jednotný rámec pre digitálnu prevádzkovú odolnosť celého finančného sektora EÚ — vrátane bánk, poisťovní, investičných spoločností, ale aj technologických poskytovateľov, ktorí pre ne zabezpečujú kritické IKT služby.

Jadro nariadenia stojí na jednom princípe: finančný systém EÚ je natoľko prepojený, že kybernetický incident v jednej inštitúcii sa môže reťazovo šíriť a ohroziť stabilitu celého trhu. DORA tento scenár adresuje systémovo — nie jednotlivými odporúčaniami, ale záväznými požiadavkami.

DORA nariadenie a digitálna odolnosť finančného sektora
DORA nie je odporúčanie. Je to záväzné nariadenie EÚ platné od 17. januára 2025.

Koho sa DORA týka

DORA sa vzťahuje na viac ako 20 kategórií subjektov. Ak patríte do niektorej z nasledujúcich skupín — DORA sa vás týka bez výnimky:

  • Banky a úverové inštitúcie
  • Platobné inštitúcie a inštitúcie elektronických peňazí
  • Poisťovne a zaisťovne
  • Investičné spoločnosti a správcovské spoločnosti
  • Centrálne depozitáre cenných papierov a centrálne protistrany
  • Poskytovatelia krypto-aktív (CASP)
  • Ratingové agentúry a poskytovatelia dátových služieb
  • Kritickí IKT poskytovatelia tretích strán — cloudové platformy, dátové centrá, softvéroví dodávatelia, ktorí poskytujú služby finančným inštitúciám

Posledný bod je pre mnohé technologické firmy prekvapením. Ak dodávate softvér, cloudové služby alebo IKT infraštruktúru pre banku alebo poisťovňu — DORA sa týka aj vás, aj keď nie ste regulovanou finančnou inštitúciou. Vaši finanční klienti sú povinní vás zmluvne zaviazať k plneniu špecifických požiadaviek nariadenia.

Nariadenie zároveň uplatňuje princíp proporcionality — menšie inštitúcie s nižším rizikovým profilom môžu implementovať niektoré požiadavky v zjednodušenej forme. Ale “zjednodušená forma” neznamená absencia — znamená primeraný rozsah.

Päť pilierov DORA: čo konkrétne musíte implementovať

Pilier 1: Riadenie IKT rizík

DORA vyžaduje zavedenie komplexného rámca riadenia IKT rizík, ktorý zahŕňa celý cyklus: identifikáciu, ochranu, detekciu, odozvu a obnovu. Nejde o jednorazovú analýzu — rámec musí byť zdokumentovaný, schválený vrcholovým manažmentom a pravidelne revidovaný.

Konkrétne požiadavky:

  • Identifikácia a klasifikácia všetkých IKT aktív a ich závislostí
  • Nepretržitý monitoring IKT systémov a detekcia anomálií
  • Plány obnovy (BCP/DRP) s definovanými RTO a RPO pre kritické systémy
  • Pravidelné preskúmanie a aktualizácia politík IKT bezpečnosti
  • Priama zodpovednosť vedenia (Management Body) za dohľad nad IKT rizikami — DORA explicitne zaraďuje digitálnu odolnosť do agendy štatutárnych orgánov

Pilier 2: Hlásenie IKT incidentov

DORA zavádza záväznú povinnosť hlásenia závažných IKT incidentov príslušnému orgánu dohľadu — na Slovensku Národnej banke Slovenska (NBS). Kľúčové je slovo “závažných” — nariadenie definuje kritériá závažnosti, podľa ktorých organizácia musí incident klasifikovať.

Časový rámec hlásení je prísny:

  • Počiatočné hlásenie: do 4 hodín od klasifikácie incidentu ako závažného (najneskôr do 24 hodín od zistenia)
  • Priebežné hlásenie: do 72 hodín — aktualizácia stavu a prvotná príčina
  • Záverečné hlásenie: do 1 mesiaca — kompletná analýza, dopad, prijaté opatrenia

Organizácie, ktoré nemajú zavedený formalizovaný proces klasifikácie a eskalácie IKT incidentov, nestihnú tieto termíny. DORA preto implicitne vyžaduje funkčný incident management systém — nie len “máme niekoho, kto to rieši”.

DORA incident reporting a riadenie IKT rizík
4 hodiny na počiatočné hlásenie. Bez formalizovaného procesu je to nereálny termín.

Pilier 3: Testovanie digitálnej odolnosti

DORA vyžaduje pravidelné testovanie IKT systémov — nie ako odporúčanie, ale ako záväznú požiadavku. Rozsah testov závisí od kategórie inštitúcie:

Pre všetky subjekty:

  • Testy zraniteľností a skenery
  • Analýzy sieťovej bezpečnosti
  • Testy obnovy a zálohovania
  • Penetračné testy (minimálne raz ročne)

Pre významné a systémovo dôležité inštitúcie navyše:

  • TLPT (Threat-Led Penetration Testing) — pokročilé červené tímy simulujúce reálne útočníkov, koordinované s NBS, minimálne každé 3 roky

TLPT je výrazne náročnejší ako štandardný penetračný test — vyžaduje zapojenie certifikovaných poskytovateľov, koordináciu s regulátorom a pokrytie produkčných systémov. Pre mnohé inštitúcie to bude prvýkrát, čo ich produkčné prostredie bude cieľom simulovaného útoku.

Pilier 4: Riadenie rizík IKT tretích strán

Toto je oblasť, ktorá zasiahne organizácie najrozsiahlejšie a kde je implementačný deficit najväčší. DORA vyžaduje od finančných inštitúcií komplexné riadenie rizík spojených s externými IKT dodávateľmi — cloudovými platformami, softvérovými riešeniami, dátovými centrami aj outsourcovanými IT tímami.

Register IKT zmlúv — základná požiadavka, ktorú NBS vyžadovala predložiť do 7. apríla 2025. Register musí obsahovať všetky zmluvné vzťahy s IKT dodávateľmi vrátane klasifikácie, či ide o kritické alebo dôležité funkcie.

Zmluvné požiadavky na IKT dodávateľov podľa DORA musia obsahovať:

  • Jasné definovanie úrovní služieb (SLA) vrátane dostupnosti, kvality a bezpečnosti
  • Záväzky k hláseniu incidentov smerom k finančnej inštitúcii
  • Právo na audit a inšpekciu zo strany inštitúcie alebo regulátora
  • Plány ukončenia spolupráce (exit stratégie) — čo sa stane s dátami pri zmene dodávateľa
  • Povinnosti pri subdodávateľskom reťazci — kto ešte spracúva vaše dáta a za akých podmienok

Mnohé existujúce zmluvy s IKT dodávateľmi tieto klauzuly neobsahujú. Revízia zmluvnej dokumentácie je pre väčšinu organizácií najrozsiahlejšia časť DORA implementácie.

Pilier 5: Zdieľanie informácií o kybernetických hrozbách

Piaty pilier je oproti ostatným dobrovoľný — DORA umožňuje (nevyžaduje) finančným inštitúciám zapojiť sa do mechanizmov zdieľania informácií o kybernetických hrozbách v rámci sektora. Cieľom je kolektívna inteligencia: ak jedna banka odhalí nový typ útoku, ostatné môžu byť varované ešte pred tým, ako sa stali cieľom.

Prakticky to znamená participáciu v sektorových ISACs (Information Sharing and Analysis Centers) a FinCERT platformách. Pre väčšinu slovenských inštitúcií je toto zatiaľ najmenej rozvinutá oblasť DORA.

Digitálna odolnosť a kybernetická bezpečnosť finančného sektora
DORA stavia na princípe, že bezpečnosť finančného sektora je kolektívna zodpovednosť — nie súkromná vec každej inštitúcie.

DORA, NIS2 a ISO 27001: ako spolu súvisia

Finančné inštitúcie sa často pýtajú: “Ak máme ISO 27001 alebo sme pripravení na NIS2 — pokrýva to aj DORA?” Odpoveď je čiastočná:

OblasťISO 27001NIS2DORA
Riadenie IKT rizík✓ čiastočne✓ áno✓ rozšírene
Hlásenie incidentov regulátorovi✗ nie✓ áno✓ prísnejšie termíny
Testovanie odolnosti (TLPT)✗ nie✗ nie✓ áno
Register IKT dodávateľov✗ nie✗ nie✓ povinný
Zmluvné požiadavky na dodávateľov✗ nie✗ nie✓ detailné
Zodpovednosť štatutárnych orgánov✗ nie✓ čiastočne✓ explicitne

ISO 27001 a NIS2 sú dobrý základ — ale DORA má špecifické požiadavky, ktoré tieto rámce nepokrývajú. Organizácia certifikovaná podľa ISO 27001 stále potrebuje doplniť register IKT zmlúv, revíziu zmluvnej dokumentácie, TLPT program a formalizovaný incident reporting voči NBS.

Sankcie: čo hrozí pri nesúlade

DORA nie je regulácia s odporúčacím charakterom. Sankcie za nesúlad sú konkrétne:

  • Finančné inštitúcie: až do výšky 1 % priemerného denného obratu — uplatňované až po dobu 6 mesiacov. Pre strednú banku to môže predstavovať milióny eur.
  • Kritickí IKT poskytovatelia tretích strán: až 5 000 000 EUR alebo 1 % celosvetového ročného obratu
  • Fyzické osoby (manažment): až 500 000 EUR osobná zodpovednosť

NBS má od januára 2025 právomoc vykonávať dohľad nad plnením DORA požiadaviek — vrátane priamych inšpekcií, žiadostí o dokumentáciu a ukladania sankcií. Prvé dohľadové aktivity NBS v oblasti DORA sa očakávajú v priebehu roku 2025.

Kde väčšina organizácií zaostáva: praktická realita

Na základe skúseností z implementačných projektov identifikujeme štyri oblasti s najväčším deficitom:

  • Register IKT zmlúv je neúplný alebo neexistuje — väčšina organizácií nemá inventár všetkých IKT dodávateľov so správnou klasifikáciou kritičnosti. Bez tohto základu nie je možné riadiť riziká tretích strán.
  • Existujúce zmluvy nespĺňajú DORA požiadavky — chýbajú klauzuly o práve na audit, exit stratégiách, SLA metriky pre dostupnosť a bezpečnosť, povinnosti hlásenia incidentov.
  • Incident management je neformalizovaný — procesy klasifikácie, eskalácie a hlásenia incidentov existujú v hlavách ľudí, nie v dokumentovaných procedúrach s jasnými termínmi.
  • Manažment nie je zapojený — DORA explicitne zaraďuje digitálnu odolnosť do agendy štatutárnych orgánov. Vedenie musí byť schopné preukázať aktívny dohľad — nie len podpísať dokument raz za rok.

Praktické kroky: kde začať

Ak vaša organizácia ešte nezačala s DORA implementáciou — alebo začala, ale projekt stagnuje — odporúčame tento postup:

  • Gap analýza voči DORA požiadavkám — systematické porovnanie aktuálneho stavu s každým z piatich pilierov. Výstupom je prioritizovaný plán s odhadom zdrojov.
  • Inventarizácia IKT dodávateľov — zostavenie registra všetkých IKT zmlúv s klasifikáciou (kritická / dôležitá / ostatná funkcia). Toto je predpoklad pre všetko ostatné.
  • Revízia zmlúv s kľúčovými dodávateľmi — doplnenie DORA-požadovaných klauzúl do zmlúv s kritickými IKT poskytovateľmi.
  • Formalizácia incident management procesu — zdokumentovanie postupu klasifikácie, eskalácie a hlásenia IKT incidentov s jasnými termínmi a zodpovednosťami.
  • Zapojenie vedenia — prezentácia DORA požiadaviek štatutárnym orgánom, formalizácia ich dohľadovej role, pravidelné reportovanie o stave IKT rizík na úrovni boardu.
  • Plán testovania odolnosti — definovanie ročného plánu testov zraniteľností a penetračných testov; pre významné inštitúcie príprava TLPT programu.
Implementácia DORA a tímová spolupráca
DORA implementácia nie je IT projekt. Je to organizačný projekt s IT komponentom.

Ako Asign podporuje DORA súlad

Asign bol navrhnutý pre organizácie, ktoré potrebujú riadiť regulačné požiadavky systematicky — nie v Exceli a e-mailoch. Pre DORA konkrétne:

  • Register IKT dodávateľov — štruktúrovaná správa všetkých IKT zmlúv s klasifikáciou kritičnosti, sledovaním dátumov revízie a históriou zmien
  • Riadenie IKT rizík — živý register rizík s prepojením na kontrolné opatrenia, vlastníkov a termíny spracovania; automatické upozornenia na prehodnotenie
  • Incident management — zdokumentovaný proces od detekcie po záverečné hlásenie; časové pečiatky pre splnenie 4h / 72h / 30-dňových termínov DORA
  • Správa dokumentácie a politík — verzionované dokumenty s workflow schválenia a dôkazmi o oboznámení zamestnancov
  • Reporting pre vedenie a regulátora — dashboard stavu DORA súladu kedykoľvek dostupný pre štatutárne orgány aj pre NBS pri dohľadovej kontrole

Záver: DORA je tu — otázka nie je či, ale ako dobre

DORA je účinné nariadenie. Termíny beží. NBS má právomoci. Sankcie sú konkrétne. Organizácie, ktoré čakali na “viac jasnosti” alebo dočerpali implementáciu vo forme minimalistických opatrení, vstupujú do obdobia dohľadových aktivít v nekomfortnej pozícii.

Dobrá správa: väčšina organizácií, ktoré majú aspoň základnú kultúru riadenia IKT rizík, potrebuje DORA súlad doviesť — nie budovať od nuly. Kľúčom sú tri veci: úplný inventár IKT dodávateľov, formalizovaný incident management a aktívna angažovanosť vedenia. Zvyšok sa dá systematicky dobudovať.

Ak chcete vedieť, kde presne vaša organizácia stojí voči DORA požiadavkám a čo sú prioritné kroky, radi vám pomôžeme s praktickou gap analýzou.

Share this post