Evropská regulace Digital Operational Resilience Act (DORA) představuje nový rámec pro kybernetickou bezpečnost a odolnost finančního sektoru. Vstoupila v platnost 17. ledna 2025 a zásadně mění to, jak banky, pojišťovny, platební instituce a fintechy v Evropské unii spravují ICT rizika, předcházejí incidentům a kontrolují své poskytovatele služeb. Česká republika nyní stojí před otázkou, zda je na tuto změnu skutečně připravena — nebo zda ji čeká náročné dohánění sousedních států.

1. Co je DORA a jaký dopad má na český finanční sektor

DORA sjednocuje evropský přístup ke kybernetické odolnosti. Regulace zasahuje do oblastí, které byly dosud v Česku řešeny jednotlivě — zpravidla prostřednictvím opatření České národní banky (ČNB) k řízení operačních rizik a pokynů pro outsourcing. Přehled o regulatorním rámci poskytuje například Česká bankovní asociace, která se tématu dlouhodobě věnuje.

DORA se však od stávajících českých předpisů liší svou komplexností a přísností. Zavádí povinné testování odolnosti, detailní řízení třetích stran a jednotná pravidla pro hlášení incidentů. Analýzu dopadu na Českou republiku nabízí článek DORA v České republice.

2. Je Česko připravené? Smíšený obraz podle ČNB a českých institucí

Český finanční sektor je technologicky vyspělý, ale DORA přináší požadavky, které přesahují běžné rámce. ČNB upozorňuje ve svých stanoviscích, že řízení ICT rizik je dlouhodobě problém především u menších finančních institucí. Relevantní podklady jsou dostupné například v jejím dokumentu Zásady řízení rizik u finančních institucí.

Na implementaci DORA má vliv i spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Ten v rámci zákona o kybernetické bezpečnosti zdůrazňuje nutnost zvyšování odolnosti kritické infrastruktury, což je v souladu s DORA. K této problematice publikoval NÚKIB doporučení dostupné na stránce Kybernetická bezpečnost v ČR.

Obecně lze připravenost rozdělit do dvou skupin:

Lépe připravené subjekty

• velké banky a pojišťovny,
• instituce patřící mezinárodním skupinám,
• podniky, které již implementovaly robustní rámec řízení rizik (např. podle EBA pokynů).

Hůře připravené subjekty

• menší banky, kampeličky a regionální finanční instituce,
• poskytovatelé outsourcingu a IT služeb bez standardizovaných procesů,
• fintechy zaměřené na rychlý růst bez stabilních ICT struktur.

Podle analýzy Bankovnictví.cz se část finančního trhu potýká s nedostatkem odborníků a nepřipraveností smluvních vztahů s externími ICT dodavateli, což je jeden z největších problémů DORA.

3. Největší výzvy pro české instituce do roku 2026

DORA sice platí již nyní, ale praktická implementace většiny požadavků musí být dokončena do roku 2026. To vytváří tlak zejména na subjekty s omezenými zdroji.

Klíčové problematické oblasti

1. Správa ICT třetích stran

   Český trh je silně závislý na externích poskytovatelích. DORA vyžaduje detailní registr služeb, auditovatelné smlouvy a monitorování rizik. ČNB dlouhodobě upozorňuje na slabiny outsourcingu, o čemž informuje i její roční zpráva o dohledu.

2. Hlášení incidentů

   Nový evropský rámec bude vyžadovat rychlejší a centralizované hlášení incidentů než doposud požadoval zákon o kybernetické bezpečnosti.

3. Kybernetické testování

   Testy typu TLPT (Threat-Led Penetration Testing), které DORA vyžaduje u významných institucí, v Česku zatím běžné nejsou a chybí certifikovaní poskytovatelé.

4. Odpovědnost vedení

   Vrcholový management musí převzít osobní odpovědnost za řízení ICT rizik — což je změna, kterou podle článku na Penize.cz mnoho menších subjektů stále nebere dostatečně vážně.

4. Je Česko oproti EU napřed, nebo pozadu?

Ve srovnání s některými státy EU (např. Nizozemskem nebo Německem) je česká implementace pomalejší, ale nikoli kriticky pozadu. Silná stránka Česka je vysoká digitalizace bankovnictví a dobrá koordinace mezi ČNB a NÚKIB. Slabší stránkou je nedostatek kapacit a absence hlubší specializace v oblasti kybernetické resilience.

Z pohledu odborníků tak Česko stojí někde mezi:

• není nejrychlejší,
• není však ani mezi nejpomalejšími,
• klíčový bude rok 2025–2026, kdy se ukáže, zda instituce dokázaly vytvořit plně funkční rámec.

5. Co musí české instituce udělat, aby „neutekly lhůty“

DORA není jednorázový úkol — jde o dlouhodobou změnu fungování. Proto by se české instituce měly zaměřit na:

• vytvoření uceleného registru ICT služeb a dodavatelů,
• změnu a doplnění outsourcingových smluv podle evropských minimálních požadavků,
• přípravu na povinné testování odolnosti,
• modernizaci IT architektury s důrazem na auditovatelnost a monitoring,
• využití řešení pro automatizaci compliance, například platformy Copla.

Závěr: Česko má dobré základy — ale čas běží rychle

Český finanční sektor má solidní výchozí pozici díky vysoké digitalizaci a aktivnímu přístupu ČNB. Přesto je před námi období, které rozhodne o tom, zda se Česko stane jedním z lídrů implementace DORA, nebo se bude snažit na poslední chvíli dohánět unijní standardy.

Rozhodující nebude velikost instituce, ale její schopnost reagovat na změny, investovat do ICT bezpečnosti a přizpůsobit se novému režimu.

Do roku 2026 zbývá málo času — ale ti, kteří začnou jednat včas, mohou z DORA udělat konkurenční výhodu