Přeskočit na obsah

DORA Checklist

Regulace: EU 2022/2554 (Digital Operational Resilience Act) Deadline: 17.1.2025 (plně aplikovatelné) Scope: Finanční instituce EU (banky, pojišťovny, investiční firmy, platební instituce)

O DORA

DORA je lex specialis pro finanční sektor - nahrazuje NIS2 požadavky pro ICT risk management, incident reporting a resilience testing ve finančním sektoru.

Kdo spadá pod DORA?

Kategorie	Příklady
Úvěrové instituce	Banky, spořitelny
Platební instituce	Platební služby, e-money
Investiční firmy	Obchodníci s cennými papíry
Pojišťovny	Životní i neživotní pojištění
Zajišťovny	Zajišťovací společnosti
Penzijní fondy	IORP
Kryptoaktiva	Poskytovatelé služeb kryptoaktiv (od MiCA)
ICT třetí strany	Kritičtí ICT poskytovatelé pro finanční sektor

Část E: DORA Compliance

#	Aktivita	Reference	Fáze	Popis
E1	Scope Determination	Čl. 2	Příprava	Určení, zda organizace spadá pod DORA
E1.1	– Typ entity	Čl. 2(1)	Příprava	Banka, pojišťovna, investiční firma, platební instituce?
E1.2	– Simplified regime?	Čl. 16	Příprava	Splňujeme podmínky pro zjednodušený režim?
E1.3	– ČNB registration	Čl. 2	Příprava	Registrace/notifikace u ČNB
E2	GAP Analýza	Čl. 4, 6	Analýza	Posouzení současného stavu vs. DORA
E2.1	– Current state assessment	Čl. 6	Analýza	Audit současného ICT risk management
E2.2	– Gap identification	Čl. 6-15	Analýza	Identifikace mezer vs. DORA požadavky
E2.3	– Remediation roadmap	Čl. 6	Analýza	Plán nápravy s prioritami
E3	Governance Structure	Čl. 5	Governance	Governance pro ICT risk management
E3.1	– Board accountability	Čl. 5(1)	Governance	Board plně odpovědný za ICT risk management
E3.2	– ICT risk management function	Čl. 5(2)	Governance	Definice ICT risk management funkce
E3.3	– Security committee	Čl. 5	Governance	Bezpečnostní výbor s pravidelným reportingem
E3.4	– Management training	Čl. 5(4)	Governance	Školení managementu v ICT rizicích
E4	ICT Risk Management Framework	Čl. 6	Framework	Komplexní ICT risk management framework
E4.1	– ICT risk management policy	Čl. 6(1)	Framework	Dokumentovaná politika řízení ICT rizik
E4.2	– ICT risk management strategy	Čl. 6(8)	Framework	Digital Operational Resilience Strategy
E4.3	– Risk tolerance	Čl. 6(8)(b)	Framework	Definice risk tolerance pro ICT rizika
E4.4	– Framework review	Čl. 6(5)	Framework	Minimálně roční review frameworku
E5	ICT Asset Management	Čl. 8	Identifikace	Identifikace a klasifikace ICT assets
E5.1	– ICT asset inventory	Čl. 8(1)	Identifikace	Kompletní inventura ICT aktiv
E5.2	– Asset classification	Čl. 8(1)	Identifikace	Klasifikace dle kritičnosti
E5.3	– Business function mapping	Čl. 8(2)	Identifikace	Mapování ICT na business funkce
E5.4	– Dependencies mapping	Čl. 8(3)	Identifikace	Mapování závislostí mezi systémy
E6	ICT Risk Assessment	Čl. 8	Risk	Pravidelné hodnocení ICT rizik
E6.1	– Risk identification	Čl. 8(4)	Risk	Identifikace ICT rizik
E6.2	– Risk analysis	Čl. 8(4)	Risk	Analýza pravděpodobnosti a dopadu
E6.3	– Risk treatment	Čl. 8(4)	Risk	Risk treatment plan (mitigate/accept/transfer/avoid)
E6.4	– Risk reporting	Čl. 8	Risk	Pravidelný reporting ICT rizik boardu
E7	Protection & Prevention	Čl. 9, 10	Ochrana	Implementace ochranných opatření
E7.1	– ICT security policies	Čl. 9(1)	Ochrana	Politiky pro ICT bezpečnost
E7.2	– Network security	Čl. 9(2)	Ochrana	Zabezpečení sítí
E7.3	– Access control	Čl. 9(3)	Ochrana	Řízení přístupu, MFA, RBAC
E7.4	– Encryption	Čl. 9(3)(b)	Ochrana	Šifrování dat at rest a in transit
E7.5	– Patch management	Čl. 9(4)(c)	Ochrana	Patch management proces
E7.6	– Data protection	Čl. 10	Ochrana	Ochrana dat a systémů
E8	Detection	Čl. 10	Detekce	Detekce anomálií a incidentů
E8.1	– Monitoring capability	Čl. 10(1)	Detekce	Kontinuální monitoring ICT systémů
E8.2	– Anomaly detection	Čl. 10(1)	Detekce	Detekce anomálií a podezřelých aktivit
E8.3	– SIEM implementation	Čl. 10	Detekce	SIEM pro centrální monitoring
E9	Business Continuity	Čl. 11, 12	Kontinuita	ICT Business Continuity Management
E9.1	– ICT BCP policy	Čl. 11(1)	Kontinuita	ICT Business Continuity Policy
E9.2	– BIA (Business Impact Analysis)	Čl. 11(3)	Kontinuita	Analýza dopadů na business
E9.3	– Recovery plans	Čl. 11(4)	Kontinuita	ICT response and recovery plans
E9.4	– Backup strategy	Čl. 12(1)	Kontinuita	Backup a restore strategie
E9.5	– Recovery testing	Čl. 12(2)	Kontinuita	Testování obnovy (min. ročně)
E9.6	– Crisis communication	Čl. 11(5)	Kontinuita	Krizová komunikace
E10	Incident Management	Čl. 17-19	Incident	ICT incident management proces
E10.1	– Incident management policy	Čl. 17(1)	Incident	Politika řízení ICT incidentů
E10.2	– Incident classification	Čl. 18	Incident	Klasifikace závažnosti incidentů
E10.3	– Incident response team	Čl. 17	Incident	Incident Response Team (IRT)
E10.4	– Root cause analysis	Čl. 17(3)	Incident	Post-incident analysis
E11	Incident Reporting	Čl. 19	Reporting	Hlášení ICT incidentů
E11.1	– Major incident criteria	Čl. 18(1)	Reporting	Kritéria pro major incident
E11.2	– Initial notification	Čl. 19(4)(a)	Reporting	Počáteční notifikace ČNB
E11.3	– Intermediate report	Čl. 19(4)(b)	Reporting	Průběžná zpráva
E11.4	– Final report	Čl. 19(4)(c)	Reporting	Závěrečná zpráva (1 měsíc)
E12	Resilience Testing	Čl. 24, 25	Testování	Pravidelné testování odolnosti
E12.1	– Testing programme	Čl. 24(1)	Testování	Program testování digitální odolnosti
E12.2	– Vulnerability assessments	Čl. 24(2)	Testování	Pravidelné vulnerability scanning
E12.3	– Penetration testing	Čl. 24(2)	Testování	Roční penetrační testy
E12.4	– Scenario-based testing	Čl. 24(2)	Testování	Testování scénářů (DR, incident)
E13	TLPT (Advanced Testing)	Čl. 26	TLPT	Threat-Led Penetration Testing
E13.1	– TLPT scope	Čl. 26(1)	TLPT	Určení scope pro TLPT (pokud required)
E13.2	– TLPT provider selection	Čl. 26(4)	TLPT	Výběr certifikovaného TLPT providera
E13.3	– TLPT execution	Čl. 26	TLPT	Provedení TLPT
E14	Third-Party Risk	Čl. 28-30	Third-Party	Řízení ICT třetích stran
E14.1	– ICT third-party policy	Čl. 28(1)	Third-Party	Politika pro ICT třetí strany
E14.2	– Third-party register	Čl. 28(3)	Third-Party	Registr ICT třetích stran
E14.3	– Due diligence	Čl. 28(4)	Third-Party	Due diligence pro ICT providers
E14.4	– Contractual requirements	Čl. 30	Third-Party	Smluvní požadavky (DORA čl.30)
E14.5	– Exit strategies	Čl. 28(8)	Third-Party	Exit strategie pro kritické ICT providers
E15	Critical ICT Registry	Čl. 28(3)	Registry	Registry kritických ICT třetích stran
E15.1	– Critical ICT identification	Čl. 28(3)	Registry	Identifikace kritických ICT providers
E15.2	– Registry submission to ESAs	Čl. 28(3)	Registry	Předání registru ESAs (ČNB)
E15.3	– Registry updates	Čl. 28(3)	Registry	Průběžná aktualizace registru
E16	Learning & Evolving	Čl. 13	Kontinuální	Kontinuální zlepšování
E16.1	– Lessons learned	Čl. 13(1)	Kontinuální	Proces lessons learned z incidentů
E16.2	– Post-incident reviews	Čl. 13(2)	Kontinuální	Povinné post-incident reviews
E16.3	– Threat intelligence	Čl. 13	Kontinuální	Integrace threat intelligence
E17	Communication	Čl. 14	Komunikace	ICT komunikační protokoly
E17.1	– Internal communication	Čl. 14(1)	Komunikace	Interní komunikace během incidentů
E17.2	– External communication	Čl. 14(2)	Komunikace	Externí komunikace (klienti, media)
E18	Regulatory Reporting	Čl. 37-38	Reporting	Reporting pro ČNB a ESAs
E18.1	– ČNB compliance reporting	Čl. 37	Reporting	Pravidelný compliance reporting
E18.2	– Audit cooperation	Čl. 38	Reporting	Spolupráce s auditory a regulátory

Klíčové milníky DORA

Datum	Milestone
16.1.2023	DORA vstoupilo v platnost
17.1.2025	DORA plně aplikovatelné
30.4.2025	Registry ICT třetích stran → ESAs
Červenec 2025	ESAs oznámí kritické ICT providers
Každé 3 roky	TLPT pro významné instituce

Vztah DORA k ostatním regulacím

Kritická cesta

E1 Scope Determination → IHNED (DORA již účinné)
E2 GAP Analýza → do 28.2.2025
E3 Governance Structure → do 28.2.2025
E4 ICT Risk Management Framework → do 30.4.2025
E10-E11 Incident Management & Reporting → do 30.4.2025
E14-E15 Third-Party Risk & Registry → do 30.4.2025
E12 Resilience Testing Programme → do 30.9.2025

Implementační fáze

Zdroje