DORA: Rozsah a subjekty
Status: 🟡 Rozpracováno
Kdo spadá pod DORA?
Finanční entity (Čl. 2)
DORA se vztahuje na širokou škálu finančních subjektů:
| Kategorie | Příklady | Regulátor |
|---|---|---|
| Úvěrové instituce | Banky, spořitelny | ČNB |
| Platební instituce | Platební služby, e-money | ČNB |
| Investiční firmy | Obchodníci s cennými papíry | ČNB |
| Pojišťovny | Životní i neživotní pojištění | ČNB |
| Zajišťovny | Zajišťovací společnosti | ČNB |
| Penzijní fondy | IORP | ČNB |
| Kryptoaktiva | CASP (od MiCA) | ČNB |
| ICT třetí strany | Kritičtí ICT poskytovatelé | ESAs |
ICT Third-Party Providers
Kritičtí ICT poskytovatelé podléhají přímému dohledu ESAs (EBA, EIOPA, ESMA):
- Cloud service providers
- Data analytics providers
- Software vendors
- Data centres
Scope Assessment
Krok 1: Identifikace typu entity
□ Jsme finanční entita dle Čl. 2?□ Poskytujeme ICT služby finančním entitám?□ Máme licenci od ČNB?Krok 2: Určení režimu
| Kritérium | Standardní režim | Zjednodušený režim |
|---|---|---|
| Velikost | Velké/střední entity | Malé entity |
| Systémový význam | Významné instituce | Nevýznamné |
| Komplexita ICT | Vysoká | Nízká |
Krok 3: Mapování ICT třetích stran
Pro každého ICT poskytovatele:
- Identifikovat služby
- Posoudit kritičnost
- Zaznamenat do registru
- Ověřit smluvní požadavky
Zjednodušený režim (Čl. 16)
Menší finanční entity mohou využít zjednodušený ICT risk management framework:
Podmínky:
- Nejsou systémově významné
- Splňují velikostní kritéria
- Nízká komplexita ICT prostředí
Úlevy:
- Zjednodušená dokumentace
- Méně časté testování
- Proporcionální reporting