Článek 6
ICT risk management
Rámec řízení rizik pro systémy, data a cloud.
Termín: leden 2025
← Všechny předpisy
ČNBLeden 2025Nařízení (EU) 2022/2554
DORA
DORA sjednocuje digitální provozní odolnost finančního sektoru. Vyžaduje řízení ICT rizik, testování odolnosti, incident reporting a dohled nad kritickými ICT dodavateli.
Kdo to musí splnit
Praktický dopad pro české firmy.
- Banky, platební instituce, pojišťovny, investiční společnosti a fintech regulovaný ČNB.
- ICT dodavatelé poskytující kritické služby finančním institucím.
- České fintech startupy vstupující do regulovaných finančních služeb.
- Firmy s cloudovou infrastrukturou používanou pro finanční produkty.
Klíčové povinnosti
Co musí být doložitelné.
Článek 19
Incident reporting
Klasifikace a hlášení významných ICT incidentů.
Termín: aktivní
Článek 24
Testování odolnosti
Pravidelné testy dostupnosti, obnovy a bezpečnosti.
Termín: průběžně
Článek 28
Third-party risk
Evidence kritických ICT dodavatelů a smluvních požadavků.
Termín: aktivní
Pokuty a sankce
Riziko se měří penězi i ztracenými zakázkami.
Typ porušeníMaximální sankceČeský dohled
Nedostatečný ICT risk frameworkpodle národní úpravyČNB
Neohlášení incidentupodle dopaduČNB
Nedostatečný dohled nad dodavatelemopatření k nápravě / sankceČNB
Jak Splnit.eu pomáhá
Převod povinností na kontroly, důkazy a termíny.
ICT risk evidence
Rizika, systémy a dodavatelé propojení s kontrolami.
Incident log
Časová osa incidentu, klasifikace a export pro reporting.
Vendor risk
Přehled kritických dodavatelů a požadovaných důkazů.