Jste připraveni na DORA a NIS2?

Rostoucí závislost na digitálních technologiích přináší nové hrozby i regulatorní požadavky.

DORA a NIS2 definují, jak mají organizace v Evropě řídit kybernetická rizika, zajistit kontinuitu provozu a reagovat na bezpečnostní incidenty. Obě regulace se liší zaměřením i rozsahem, společným cílem je však posílení digitální provozní odolnosti.

Níže najdete přehled obou regulací, jejich klíčových oblastí a dopadů na jednotlivé sektory.

DORA

Co je nařízení EU 2022/2554 (DORA)?
Digital Operational Resilience Act (DORA) je nařízení EU zaměřené na zajištění digitální provozní odolnosti finančního sektoru. Nařízení reaguje na rostoucí digitalizaci finančních služeb a zvyšující se kybernetické hrozby. DORA stanovuje povinnosti pro finanční instituce v oblasti prevence, detekce a reakce na IKT incidenty, aby se zajistila kontinuita poskytování finančních služeb i v případě narušení provozu; povinnosti jsou účinné od 17. 1. 2025.

Klíčové oblasti DORA

  1. Identifikace a řízení rizik
    Finanční instituce musí zavést robustní opatření pro identifikaci a řízení kybernetických rizik, včetně pravidelných analýz a testování odolnosti jejich systémů vůči kybernetickým hrozbám.
  2. Hlášení incidentů
    Subjekty mají povinnost hlásit významné kybernetické incidenty regulačním orgánům v předepsaných lhůtách. To umožní rychlou koordinaci a efektivní reakci na vzniklé hrozby.
  3. Zajištění kontinuity služeb
    DORA zavádí povinnost implementace plánů pro kontinuitu provozu a obnovu po kybernetických incidentech. Cílem je minimalizovat dobu výpadků a zajistit nepřetržitý provoz kritických finančních služeb.
  4. Spolupráce s IT poskytovateli
    Finanční instituce musí efektivně řídit vztahy s externími IT poskytovateli, kteří mají klíčovou roli v jejich operacích. To zahrnuje uzavírání smluvních ujednání a pravidelné hodnocení rizik spojených s těmito externími dodavateli.

Dopad na finanční sektor

DORA se týká širokého spektra finančních institucí a poskytovatelů finančních služeb. Mezi subjekty, na které se směrnice vztahuje, patří:

  • Banky, včetně komerčních, investičních a specializovaných institucí,
  • Pojišťovny a penzijní fondy,
  • Správci aktiv a investiční společnosti,
  • Platební instituce, včetně poskytovatelů elektronických peněz a platebních systémů,
  • Finanční trhy a depozitáři.

V České republice se směrnice DORA dotkne přibližně stovek organizací, včetně komerčních bank, pojišťoven, penzijních fondů a dalších organizací poskytujících finanční služby. Tento odhad vychází z analýz, které uvádějí, že nařízení DORA bude mít významný dopad na celý finanční sektor v ČR, včetně širokého spektra subjektů, které musí splnit požadavky na kybernetickou bezpečnost.

Jsme držitelem bezpečnostní prověrky Národního bezpečnostního úřadu s číslem osvědčení 002736

Vše, co děláme je v souladu s algoritmy Národního úřadu pro kybernetickou a informační bezpečnost

ZKB (NIS2)

Co je směrnice NIS2 (EU) 2022/2555?
Směrnice NIS2 implementovaná do české legislativy novelou zákona o kybernetické bezpečnosti č. 264/2025 Sb. stanoví povinnosti v oblasti kybernetické bezpečnosti pro vybrané subjekty. Reaguje na rostoucí digitalizaci a zvyšující se kybernetické hrozby napříč odvětvími. ZKB definuje kategorie subjektů jako essential a important, upravuje prevenci, detekci a reakci na kybernetické incidenty a usiluje o zajištění kontinuity poskytovaných služeb i v případě narušení provozu.

Klíčové oblasti a povinnosti NIS2

  1. Působnost a klasifikace subjektů
    Subjekty se zařazují dle odvětví a velikosti do kategorií essential (zásadní) a important (důležitá) entita s odlišným dohledem a rozsahy povinností.
  2. Regulovaná odvětví
    Působnost zahrnuje energetiku, dopravu, finance, zdravotnictví, vodní služby, digitální infrastrukturu a služby, veřejnou správu, poštovní a kurýrní služby, odpady, chemii, potravinářství, výzkum a vesmír.
  3. Řízení rizik a dokumentace
    Zavádí se systém řízení rizik, pravidelné hodnocení hrozeb a zranitelností, evidence aktiv a řízení přístupů, s průběžnou aktualizací bezpečnostní dokumentace.
  4. Minimální bezpečnostní opatření
    Zahrnují řízení incidentů, kontinuitu a obnovu, bezpečnost dodavatelů, testování a audit, řízení zranitelností a patchování, šifrování, vícefaktorové ověřování (MFA) a segmentaci sítě.
  5. Hlášení kybernetických incidentů
    Nastaven je postup včasného varování, následné a závěrečné zprávy, včetně interní eskalace, koordinace nápravy a uchování důkazních informací.
  6. Kontinuita činností a obnova
    Plány kontinuity a obnovy s parametry dostupnosti a obnovy (např. RTO, RPO) se udržují a testují pro minimalizaci dopadů výpadků a udržení kritických funkcí.
  7. Odpovědnost vedení a dodavatelský řetězec
    Vedení schvaluje opatření, dohlíží na plnění a zajišťuje zdroje; v dodavatelských vztazích se stanovují bezpečnostní požadavky ve smlouvách, hodnotí rizika poskytovatelů a u kritických dodavatelů se uplatňuje posílený dohled.

Kdo bude směrnicí NIS2 ovlivněn?

NIS2 má široký dosah a týká se klíčových organizací napříč celou EU. Mezi hlavní subjekty, které směrnice zahrnuje, patří:

  • Energetické společnosti (např. dodavatelé elektřiny, plynu, vodních a jaderných elektráren),
  • Zdravotnické instituce, včetně nemocnic, zdravotnických zařízení a poskytovatelů zdravotnických služeb,
  • Dopravní sektory, včetně letecké, železniční, námořní a silniční dopravy,
  • ICT a digitální infrastruktura, včetně poskytovatelů cloudových služeb a datových center,
  • Veřejná správa a lokální vlády, které spravují kritickou infrastrukturu a poskytují základní služby,
  • Dodavatelské řetězce v klíčových průmyslových odvětvích (např. potravinářství, telekomunikace).

V České republice se směrnice NIS2 dotkne vyšších tisíců organizací, což zahrnuje široké spektrum subjektů z kritických sektorů, rozlišuje dvě úrovně – vyšší a nižší. Tento odhad vychází z analýz Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který uvádí, že NIS2 ovlivní přibližně 6 000 organizací, včetně nejen velkých společností v energetice, zdravotnictví a dopravě, ale také menších podniků, ICT poskytovatelů, veřejných institucí a dalších organizací, které mají přímý vliv na fungování kritické infrastruktury.