DORA (Digital Operational Resilience Act, Nariadenie EÚ 2022/2554) je účinný od 17. januára 2025 a aplikuje sa priamo bez národnej transpozície. Týka sa približne 22 000 finančných subjektov v EÚ — bánk, poisťovní, investičných firiem, kryptoplatforiem, platobných inštitúcií — a zásadne aj ich ICT third-party providerov vrátane SaaS poskytovateľov ERP/CRM. Päť pilierov DORA pokrýva ICT risk management, incident reporting, resilience testing, third-party risk a information sharing. Sankcie môžu dosiahnuť 1 % denného obratu po dobu trvania porušenia.

Tento článok nadväzuje na pilier o bezpečnosti a compliance v cloud ERP. Vysvetlí, koho sa DORA dotýka priamo, koho nepriamo cez dodávateľský reťazec a aké konkrétne požiadavky musí splniť SaaS ERP, ktorý slúži regulovaným finančným subjektom.

Prečo DORA a v čom sa líši od iných regulácií

Pred DORA bola digitálna odolnosť finančných subjektov regulovaná roztriešteným spôsobom — EBA guidelines pre banky, EIOPA pre poisťovne, ESMA pre investičné firmy. DORA to zjednocuje do jedného nariadenia s priamou účinnosťou v celej EÚ.

Kľúčové novinky:

  • Priame ICT third-party regulovanie. Ak ste „kritický“ ICT poskytovateľ pre finančný sektor, EÚ orgány vás môžu priamo dohliadať (cez nový Joint Oversight Forum).
  • Threat-led penetration testing (TLPT). Veľké finančné subjekty musia vykonať TLPT každé 3 roky.
  • Štandardizované incident reporting s harmonizovanými prahmi.
  • Register of information — povinný register všetkých ICT zmluvných dohôd.

DORA sa líši od NIS2 v dvoch hlavných veciach: je sektorová (len finančný) a prísnejšia (lex specialis). Ak ste banka, oba režimy sa na vás vzťahujú, ale DORA má prednosť.

Koho sa DORA týka

Priamo regulované subjekty

DORA vymenúva v čl. 2 viac ako 20 typov subjektov. Pre SK/CZ kontext sú najrelevantnejšie:

  • Úverové inštitúcie (banky)
  • Platobné inštitúcie a inštitúcie elektronických peňazí
  • Investičné firmy a obchodníci s cennými papiermi
  • Poisťovne a zaisťovne
  • Správcovské spoločnosti (DSS, DDS, OCP)
  • Poskytovatelia kryptomenových služieb (CASP podľa MiCA)
  • Burzy a centrálne depozitáre
  • Crowdfundingové platformy
  • Audítori a poradcovia (čiastočne, len reporting)

Nepriamo cez dodávateľský reťazec

DORA zavádza koncept ICT third-party service provider. Ak poskytujete IT služby finančnému subjektu — vrátane SaaS ERP, CRM, cloud hosting, e-mail, identity provider, monitoring — váš zákazník na vás aplikuje DORA požiadavky cez zmluvu.

To znamená, že aj keď nie ste banka, ak vaši zákazníci sú banky/poisťovne, fakticky musíte byť DORA-compliant na úrovni technológie aj dokumentácie.

Kritickí ICT poskytovatelia (CTPP)

EÚ orgány (EBA, EIOPA, ESMA) každoročne určia zoznam kritických ICT third-party providerov (CTPP) — typicky veľkých cloud hyperscalerov (AWS, Azure, GCP), ktorí majú veľký podiel finančného trhu. Títo podliehajú priamemu dohľadu európskych orgánov, vrátane onsite inšpekcií a sankcií.

Pre SMB SaaS ERP poskytovateľov je nepravdepodobné, že by boli zaradení medzi CTPP — sú však regulovaní cez svojich klientov.

Päť pilierov DORA

Pilier 1: ICT Risk Management Framework

Komplexný framework s nasledujúcimi prvkami:

  • Governance — board-level zodpovednosť, definované role.
  • Identifikácia — register ICT aktív, mapovanie závislostí.
  • Ochrana a prevencia — politiky, technické kontroly, segmentácia.
  • Detekcia — monitoring, SIEM, anomaly detection.
  • Reakcia a obnova — incident response, BCP, DRP.
  • Učenie sa a vývoj — post-incident reviews, threat intelligence.

Pre malé finančné subjekty existuje simplifikovaný framework, ale stále vyžaduje formalizovanú dokumentáciu.

Štandardizovaný proces:

LehotaAkcia
4 hodiny od klasifikácieInitial notification kompetentnému orgánu (NBS v SK, ČNB v ČR)
72 hodínIntermediate report
1 mesiacFinal report

Klasifikácia incidentu na major sa robí podľa kritérií ako počet dotknutých klientov, finančná škoda, výpadok kritických služieb, geografický rozsah. RTS (Regulatory Technical Standards) presne definujú prahy.

Pilier 3: Digital Operational Resilience Testing

Dva typy testov:

  1. Štandardné testy (každoročne) — vulnerability assessments, source code reviews, penetration testing, scenario-based testing.
  2. TLPT (Threat-Led Penetration Testing) — len pre veľké subjekty, každé 3 roky. Realistický red-team útok podľa metodológie TIBER-EU.

ICT poskytovatelia, ktorých používajú regulované subjekty, musia poskytnúť testovacie prostredia a spolupracovať pri testovaní.

Pilier 4: ICT Third-Party Risk Management

Najťažší a najambicióznejší pilier. Vyžaduje:

  • Register of information — kompletný zoznam všetkých ICT dohôd.
  • Pre-contractual assessment — due diligence pred uzavretím zmluvy.
  • Zmluvné požiadavky — explicitné DORA klauzuly v zmluvách.
  • Exit strategies — definovaný plán pre ukončenie spolupráce s ICT poskytovateľom.
  • Concentration risk monitoring — sledovanie závislosti na jednom poskytovateľovi.

Zmluva s ICT poskytovateľom musí podľa čl. 30 obsahovať minimálne:

  • Popis služieb a SLA
  • Lokácie spracovania dát (musí byť EÚ pre kritické funkcie)
  • Bezpečnostné štandardy
  • Právo auditovať poskytovateľa
  • Pravidlá pre sub-outsourcing
  • Incident reporting voči klientovi
  • Termíny ukončenia a exit support
  • Spolupráca s regulátormi
  • Insolvency provisions

Pilier 5: Information Sharing

Dobrovoľné, ale podporované — finančné subjekty môžu zdieľať threat intelligence v rámci ISAC/ISAO komunít.

Praktický checklist pre SaaS ERP poskytovateľa, ktorý cieli finančný sektor

Ak vyvíjate alebo predávate ERP do bánk, poisťovní či fintech firiem v EÚ, tu je checklist DORA pripravenosti:

A) Architektúra a infraštruktúra

  • EÚ-výlučný hosting (žiadne dáta mimo EÚ pre kritické funkcie)
  • Multi-region deployment s automatickým failover
  • RTO < 4 hodiny, RPO < 1 hodina (pre kritické finančné služby)
  • Air-gapped backupy (immutable, ransomware-resistant)
  • Network segmentation (production vs. staging vs. management)
  • Encryption at rest a in transit (AES-256, TLS 1.3)
  • Hardware Security Modules (HSM) pre key management
  • Privileged Access Management (PAM) pre admin účty

B) Zabezpečenie aplikácie

  • MFA povinné pre všetkých používateľov
  • SSO podpora (SAML 2.0, OIDC)
  • Role-based access control s granulárnymi právami
  • Session management (timeout, reauth pre citlivé operácie)
  • Input validation a output encoding (OWASP Top 10)
  • API security (rate limiting, OAuth 2.0, API key rotation)
  • Vulnerability scanning v CI/CD pipeline
  • Source code review pravidelne

C) Monitoring a incident response

  • SIEM integrácia (možnosť exportu logov pre klienta)
  • Audit log pre všetky zmeny (immutable, retencia min. 12 mes.)
  • Real-time anomaly detection
  • 24/7 incident response team (alebo SLA s externou službou)
  • Incident notification voči klientovi do 4 hodín
  • Forenzná schopnosť pri post-incident analýze

D) Dokumentácia a certifikácie

  • ISO 27001 certifikácia (minimum)
  • SOC 2 Type II (ideálne pre US/medzinárodný kontext)
  • Penetration test report (ročne, externý)
  • DPA podľa GDPR čl. 28
  • DORA-compliant zmluvné šablóny s klauzulami z čl. 30
  • Sub-processor list s pre-approval procesom
  • BCP a DRP dokumentácia (zdieľaná s klientom)
  • Pravidelný DR test (min. 2× ročne, dokumentovaný)

E) Spolupráca s klientom a regulátorom

  • Klient má právo auditovať (zmluvne zakotvené)
  • Spolupráca s TLPT — testovacie prostredia, súčinnosť red-teamu
  • Exit support — export dát, knowledge transfer (definované SLA)
  • Spolupráca s regulátormi — pripravenosť na priame žiadosti EBA/ESMA
  • Insolvency provisions — kontinuita služby v prípade insolvencie poskytovateľa

Modulario a DORA

Modulario nie je primárne určené pre regulované finančné subjekty (banky, poisťovne) — fokus je na SMB v non-financial sektoroch (výroba, služby, retail, doprava, stavebníctvo). Avšak v segmente fintech, platobné služby a investičné poradenstvo poskytujeme nasadenia, ktoré musia byť DORA-compatible.

Naše DORA-relevantné kapacity:

  • EÚ-výlučný hosting (Frankfurt + Praha, multi-region)
  • ISO 27001 certifikácia od 2024
  • Audit log v každom module
  • Štandardizovaná DPA + verejný sub-processor list
  • MFA / SSO podpora (TOTP, WebAuthn, SAML, OIDC)
  • API security s OAuth 2.0 a rate limitingom
  • BCP/DRP s RTO < 8h a RPO < 1h (pre štandardné nasadenia; pre DORA-kritické nasadenia kratšie SLA na vyžiadanie)
  • Exit support — kompletný export dát v štandardných formátoch (CSV, JSON, API)

Pre regulované subjekty poskytujeme DORA-compliant zmluvné šablóny a špecifické SLA. Detailne na stránke Bezpečnosť a v pilier článku o bezpečnosti cloud ERP.

Sankcie a osobná zodpovednosť

DORA nestanovuje fixné maximum jednou sumou (na rozdiel od GDPR), ale dáva regulátorom právo udeľovať:

  • Periodické penalty payments — až 1 % denného celosvetového obratu po dobu trvania porušenia (max. 6 mesiacov).
  • Administratívne sankcie podľa národnej legislatívy.
  • Public reprimands — verejné označenie.
  • Withdrawal of authorization — odňatie licencie pre kritické porušenia.

Pre kritických ICT third-party providerov (CTPP) môže ESA udeliť periodic penalty payment až 1 % denného obratu priamo, bez sprostredkovania národného regulátora.

Osobná zodpovednosť: vrcholový manažment finančného subjektu nesie konečnú zodpovednosť za DORA compliance. V SK to znamená štatutára spoločnosti pre účely zákona o bankách a obdobných predpisov.

Vzťah DORA, NIS2 a GDPR

AspektDORANIS2GDPR
TypNariadenieSmernicaNariadenie
SektorFinančný18 sektorovVšetky
Lex specialisÁno (pre finančný)NieNie
Priama účinnosťÁnoNie (transpozícia)Áno
ICT third-partyPriamy dohľadCez supply chainCez DPA
Lehoty hlásenia4h / 72h / 1 mes.24h / 72h / 1 mes.72h
Maximálne sankcie1 % denného obratu10 mil. EUR / 2 %20 mil. EUR / 4 %

Banka v EÚ podlieha všetkým trom súčasne. DORA je pre ňu prvotná pre IT operations, NIS2 pre širší kybernetický rámec, GDPR pre osobné údaje klientov.

Často kladené otázky

Sme malá fintech firma s 8 zamestnancami a robíme platobné služby. Týka sa nás DORA? Áno. DORA neprahuje veľkosťou tak striktne ako NIS2. Platobná inštitúcia je explicitne v čl. 2. Pre malé subjekty existuje simplifikovaný framework (proporcionalita), ale základné požiadavky platia. Plánujte minimálne 2 – 4 mesiace na compliance.

Náš ERP poskytovateľ nie je DORA-compliant. Môžeme ho používať? Pre nekritické funkcie áno, pre kritické nie. DORA vyžaduje, aby ste klasifikovali ICT funkcie podľa kritickosti a pre kritické používali iba poskytovateľov spĺňajúcich DORA požiadavky. Ak váš ERP obsahuje napríklad core banking dáta alebo realtime payment processing, musí byť DORA-ready.

Aký je rozdiel medzi DORA a TIBER-EU? TIBER-EU je rámec pre threat-led penetration testing vyvinutý ECB, používaný pred DORA dobrovoľne. DORA TLPT (čl. 26) ho prevzala ako referenčnú metodológiu a urobila povinnou pre veľké finančné subjekty. Slovenská NBS a česká ČNB používajú TIBER-SK / TIBER-CZ varianty.

Ako často musím prerobiť register ICT zmlúv? Register of information (RoI) musíte aktualizovať priebežne (pri každej zmene zmluvy) a reportovať národnému regulátorovi v štandardizovanom formáte minimálne ročne. RTS definuje presný formát (XBRL).