img

DORA 2025: povinnosti fintech a bankovn├şch partner┼» se m─Ťn├ş

img
Bezpečnost Redakce Poptej.IT 20. 5. 2026 11 min čtení
DORA fintech compliance bankovnictv├ş kybernetick├í bezpe─Źnost

DORA 2025: povinnosti fintech a bankovn├şch partner┼» se m─Ťn├ş

─îesk├Ż fintech (anonymizov├íno, 40 zam─Ťstnanc┼», PSD2 licence) dostal v lednu 2026 od sv├ęho bankovn├şho partnera dopis. V p┼Ö├şloze: 38str├ínkov├Ż DORA compliance questionnaire. Deadline na zodpov─Ťzen├ş: 30 dn├ş. Bez compliance: ukon─Źen├ş spolupr├íce.

P┼Öi intern├şm auditu zjistili, ┼że nepln├ş 22 z 54 polo┼żek questionnaire. V─Źetn─Ť TLPT (threat-led penetration testing), ICT third-party risk managementu a incident reporting procedur podle DORA ┼íablon. Odhadovan├Ż n├íklad na compliance: 1,8 mil. K─Ź. Odhadovan├í doba: 4 m─Ťs├şce.

A to byl fintech, kter├Ż DORA teoreticky znal. Hor┼í├ş situace je u ─Źist─Ť IT dodavatel┼» pro banky, poji┼í┼ąovny a finan─Źn├ş instituce ÔÇö ti o DORA ─Źasto v┼»bec nev─Ťd├ş, ale dopad├í na n─Ť p┼Öes supply chain pravidla.

Co je DORA a koho se t├Żk├í

DORA (Digital Operational Resilience Act) je na┼Ö├şzen├ş EU 2022/2554 ├║─Źinn├ę od 17. ledna 2025. C├şl: zajistit, ┼że finan─Źn├ş sektor zvl├íd├í kybernetick├ę hrozby a IT incidenty.

P┼Ö├şmo regulovan├ę subjekty

  • Banky a ├║v─Ťrov├ę instituce
  • Poji┼í┼ąovny a zaji┼í┼ąovny
  • Investi─Źn├ş podniky
  • Platebn├ş instituce (PSP)
  • Elektronick├í pen─Ť┼żn├ş platforma (e-money)
  • Kryptom─Ťnov├ę sm─Ťn├írny a custodians (CASP)
  • Fondy a spr├ívci aktiv
  • Ratingov├ę agentury
  • Crowdfundingov├ę platformy

Nep┼Ö├şmo regulovan├ę (p┼Öes supply chain)

Kriti─Źt├ş ICT dodavatel├ę ÔÇö firmy, kter├ę poskytuj├ş regulovan├Żm subjekt┼»m:

  • Cloud services
  • SaaS / software
  • Data services
  • Consulting
  • Managed services
  • Development services

A tohle je m├şsto, kde se regulace prodlu┼żuje. I kdy┼ż va┼íe firma nen├ş finan─Źn├ş instituce, pokud jste jejich dodavatel, DORA se v├ís t├Żk├í p┼Öes smluvn├ş po┼żadavky.

5 pil├ş┼Ö┼» DORA

Pil├ş┼Ö 1: ICT Risk Management

Regulovan├Ż subjekt mus├ş m├şt:

  • Form├íln├ş ICT risk management framework
  • Risk appetite statement schv├ílen├Ż veden├şm
  • Regular risk assessment (min. ro─Źn─Ť)
  • Business continuity a disaster recovery pl├íny
  • ICT inventory v┼íech syst├ęm┼» a dodavatel┼»

Pil├ş┼Ö 2: ICT Incident Management

  • Klasifika─Źn├ş syst├ęm incident┼»
  • Reporting obligations k regul├ítorovi:
    • Initial notification: 4 hodiny od major incident
    • Intermediate report: 72 hodin
    • Final report: 1 m─Ťs├şc
  • Communication plan s klienty a partnery
  • Root cause analysis po ka┼żd├ęm incidentu

Pil├ş┼Ö 3: Digital Operational Resilience Testing

  • Regular testing (vulnerability scans, pentests)
  • TLPT ÔÇö Threat-Led Penetration Testing pro v├Żznamn├ę subjekty
    • Min. 1├Ś za 3 roky
    • Red team simulates real threat actors
    • N├íklad 2ÔÇô10 mil. K─Ź per test
  • Scenario-based tests (DDoS, ransomware, data leak)

Pil├ş┼Ö 4: ICT Third-Party Risk

Jádro DORA pro dodavatele:

  • Register of ICT contracts ÔÇö kompletn├ş datab├íze v┼íech ICT smluv
  • Due diligence p┼Öed podpisem ka┼żd├ę ICT smlouvy
  • Risk assessment pro ka┼żd├ęho dodavatele
  • Contractual provisions specifikovan├ę v DORA (Article 30)
  • Exit strategy pro ka┼żd├ęho kritick├ęho dodavatele
  • Monitoring pr┼»b─Ť┼żn├ęho pln─Ťn├ş

Pil├ş┼Ö 5: Information Sharing

  • Mechanismy sd├şlen├ş threat intelligence
  • Spolupr├íce s CSIRT.cz a sektorov├Żmi iniciativami

Povinn├ę smluvn├ş klauzule (Article 30)

Ka┼żd├í ICT smlouva regulovan├ęho subjektu mus├ş obsahovat:

Klauzule Popis
Service description P┼Öesn├Ż popis slu┼żeb
Location of data processing Kde jsou data zpracovávána
Availability & recovery SLA a DR provisions
Security requirements Specific security measures
Monitoring & audit Právo auditu klientem a regulátorem
Incident notification Povinnost oznámit incident
Termination rights Exit clauses s detailn├şm pl├ínem
Assistance obligation Asistence při migraci
Insurance Cyber insurance requirements
Sub-contracting Schv├ílen├ş subdodavatel┼»

Existuj├şc├ş smlouvy z pre-DORA ├ęry je nutn├ę doplnit. Banky to pos├şlaj├ş dodavatel┼»m jako ÔÇ×amendmentÔÇť nebo ÔÇ×DORA addendumÔÇť.

Co konkr├ętn─Ť mus├şte ud─Ťlat

Jste regulovan├Ż subjekt (banka, poji┼í┼ąovna, fintech)

  1. ICT Risk Management Framework (3ÔÇô6 m─Ťs├şc┼» implementace)
  2. Incident management procedury podle DORA šablon
  3. Vulnerability assessment + pentest (1├Ś ro─Źn─Ť minimum)
  4. TLPT pokud spad├íte mezi v├Żznamn├ę (banky > 30 mld. EUR)
  5. Register of ICT contracts ÔÇö datab├íze v┼íech ICT dodavatel┼»
  6. Supply chain due diligence pro ka┼żd├Ż kontrakt
  7. Exit strategie pro kritick├ę dodavatele (samostatn├Ż ─Źl├ínek)
  8. Board training ÔÇö veden├ş mus├ş prokazovat znalost
  9. Reporting kapacita v┼»─Źi ─îNB

Typick├Ż n├íklad compliance pro fintech 20ÔÇô50 zam─Ťstnanc┼»: 2ÔÇô6 mil. K─Ź jednor├ízov─Ť + 1ÔÇô2 mil. K─Ź ro─Źn─Ť.

Jste ICT dodavatel pro regulovan├ę subjekty

  1. Compliance questionnaire ÔÇö vypln├şte pro ka┼żd├ęho klienta
  2. Security certifikace (ISO 27001, SOC 2) ÔÇö de facto nutnost
  3. Incident notification kapacity
  4. Audit rights ÔÇö klient (a regul├ítor) maj├ş pr├ívo auditu
  5. Exit plan sou─Ź├íst ka┼żd├ę smlouvy
  6. Sub-contractors disclosure ÔÇö transparentnost supply chain
  7. Cyber insurance ÔÇö minimum 10 mil. EUR coverage pro critical

Pokud nespln├şte: klient v├ís smluvn─Ť ukon─Ź├ş. To je realita Q1ÔÇôQ2 2026.

Sankce

DORA umo┼ż┼łuje sankce a┼ż do 2 % ro─Źn├şho celosv─Ťtov├ęho obratu pro entity, 1 milion EUR pro jednotlivce (veden├ş). V ─îR je kompetentn├şm org├ínem ─îNB.

Non-monetary sanctions

  • Ztr├íta licence / povolen├ş
  • Pozastaven├ş ur─Źit├Żch aktivit
  • Z├íkaz v├Żkonu funkce vedouc├ş osoby
  • Public statement o poru┼íen├ş (damage reputace)

Case study: ─Źesk├Ż PSP dodavatel

─îesk├í firma (30 zam─Ťstnanc┼») vyv├şj├ş payment gateway pro 3 ─Źesk├ę banky a 2 poji┼í┼ąovny. V prosinci 2024 dostali kompletn├ş compliance questionnaire od nejv─Ťt┼í├şho klienta.

Zji┼ít─Ťn├ş auditu:

  • ISO 27001: nem─Ťli (pouze GDPR compliance)
  • Incident management: ad-hoc, bez form├íln├şch procedur
  • Supply chain: 14 cloud provider┼» + 6 SaaS n├ístroj┼», bez risk assessment
  • Exit pl├ín: neexistoval
  • Cyber insurance: pouze 5 mil. K─Ź (DORA expected: 50+ mil. K─Ź)

Roadmap 2025:

  • Q1: ISO 27001 certifikace roadmap (start)
  • Q2: Incident management framework
  • Q3: Supply chain risk management
  • Q4: Full exit plans + cyber insurance upgrade

Celkov├Ż n├íklad 2025: 3,2 mil. K─Ź + 1,4 mil. K─Ź/rok n├ísledn─Ť.

Alternativa: ztr├íta 3 nejv─Ťt┼í├şch klient┼» (70 % obratu). Business by p┼Öestal existovat.

Nej─Źast─Ťj┼í├ş chyby

1. ÔÇ×DORA se n├ís net├Żk├í, nejsme bankaÔÇť

Pokud dod├ív├íte do finan─Źn├şho sektoru, t├Żk├í se v├ís p┼Öes smluvn├ş cascade.

2. ÔÇ×M├íme GDPR a NIS2, to sta─Ź├şÔÇť

P┼Öekryvy ano, ale DORA m├í specifick├ę po┼żadavky (TLPT, Article 30 klauzule, 4h notification), kter├ę GDPR ani NIS2 (samostatn├Ż ─Źl├ínek) nemaj├ş.

3. ÔÇ×ISO 27001 = DORA complianceÔÇť

ISO 27001 pokr├Żv├í asi 50 % DORA. Chyb├ş: incident reporting ┼íablony, Article 30, TLPT, supply chain specifick├ę ─Ź├ísti.

4. ÔÇ×Ohl├ís├şme incident pomaleji, v┼żdy┼ą ─îNB nem├í kapacituÔÇť

Opakovan├ę poru┼íen├ş notification timelines je explicitn─Ť sankcionovan├ę. 4 hodiny je 4 hodiny.

5. ÔÇ×Exit pl├íny nap├ş┼íeme, a┼ż bude t┼ÖebaÔÇť

DORA vy┼żaduje existenci exit pl├ínu v smlouv─Ť, ne jeho schopnost improvizovat.

FAQ: DORA

Kdy p┼Öesn─Ť mus├ş b├Żt firma compliant? DORA plat├ş od 17. ledna 2025. Grace period pro novou smluvn├ş dokumentaci je typicky do konce 2026, ale n─Ťkter├ę povinnosti (incident reporting) plat├ş od 2025.

Kdo je v ─îR kompetentn├ş org├ín? ─îesk├í n├írodn├ş banka (─îNB) pro bankovn├ş sektor a poji┼í┼ąovnictv├ş. MF pro n─Ťkter├ę specifick├ę oblasti. Evropsk├í ├║rove┼ł: ESAs (EBA, EIOPA, ESMA).

Co je TLPT a kdo ho mus├ş m├şt? Threat-Led Penetration Testing ÔÇö simulace skute─Źn├Żch ├║tok┼». Povinn├ę pro v├Żznamn├ę finan─Źn├ş subjekty (banky nad ur─Źit├Ż threshold). Pro men┼í├ş regulated entities doporu─Źen├Ż, pro dodavatele klienti ─Źasto vy┼żaduj├ş jako podm├şnku kontraktu.

Kolik stoj├ş ISO 27001 certifikace? Pro men┼í├ş firmu (30 lid├ş): 400 000 ÔÇô 900 000 K─Ź implementace + 150 000 ÔÇô 300 000 K─Ź certifika─Źn├ş audit + recertifikace co 3 roky.

Mus├ş ka┼żd├Ż dodavatel m├şt cyber insurance? Form├íln─Ť ne explicitn─Ť podle DORA, ale kriti─Źt├ş dodavatel├ę ano podle smluvn├şch po┼żadavk┼» klient┼». Typick├ę limity: 10ÔÇô50 mil. EUR pro critical ICT providers.

Dodáváte do bank nebo fintech? Potřebujete DORA compliance?

Na Poptej.IT zad├íte popt├ívku na DORA gap analysis, ISO 27001 implementaci nebo supply chain risk assessment. Ov─Ť┼Öen├ş compliance konzultanti, anonymn├ş sout─Ť┼ż, feedback ranking. Prvn├şch 5 zak├ízek bez provize. Typicky 5ÔÇô10 nab├şdek b─Ťhem 72 hodin.

Zadat popt├ívku na DORA audit Ôćĺ

Sdílet: LinkedIn X Facebook

Potřebujete IT projekt?

Zavolejte nám: +420 733 323 840 nebo zadejte poptávku online.

Zjistit více
Související články
Shadow IT: 73 % zam─Ťstnanc┼» pou┼ż├şv├í software bez v─Ťdom├ş IT 25. 4. 2026 · 10 min
NIS2 je tady: firmy ─Źel├ş pokut├ím do 10 mil. K─Ź, 90 % o tom nev├ş 18. 4. 2026 · 11 min
Kategorie
Ceny Tipy Technologie Outsourcing Bezpečnost Pro domácnosti Trendy
Užitečné odkazy