Kybernetická bezpečnost je tématem roku 2025. Nový zákon o kybernetické bezpečnosti, tisíce dotčených subjektů, povinnosti tu, povinnosti tam. Jenže zatímco všichni řeší budoucnost, v koutě nám už od začátku roku číhá nařízení DORA.
DORA (Digital Operational Resilience Act) nastavuje pravidla kybernetické bezpečnosti pro finanční sektor. Banky, úvěrové instituce, pojišťovny, správci investičních fondů – všichni se musí připravit na nové povinnosti. A s nimi i jejich IT dodavatelé.
Právě řízení dodavatelů je jedna ze základních povinností, kterou DORA přináší. V nařízení se jim říká "poskytovatelé služeb IKT z řad třetích stran". Zkrátka všichni, kdo finančním institucím dodávají technologie.
Představte si fintech startup, který nabízí bankám SaaS modul pro správu klientských účtů. Banka chce garanci, že službu bude moci provozovat on-premise, pokud startup skončí. Zároveň ví, že na ni dopadá DORA. Výsledek? Předloží startupu návrh dodatku ke smlouvě, který má řešit právě povinnosti dle DORA.
Článek 30 DORA totiž obsahuje výčet ustanovení, které by měl každý takový dodatek obsahovat.
V naší praxi zastupujeme desítky IT dodavatelů pro finanční sektor. Pod ruku se nám tak dostaly desítky DORA dodatků. A jako u GDPR, kdy se předkládaly zpracovatelské smlouvy, kvalita je různá.
Od jednoduchých typizovaných dodatků s obecnými povinnostmi až po detailní pravidla pro business continuity plány. Problém? Často ani jedna strana netuší background dané povinnosti. Každou zajímá jen: kdo to zaplatí a kdo ponese škodu.
Výsledek? Tuny papírů, které nemají větší význam.
Smlouva mezi finanční institucí a IT dodavatelem by měla odrážet skutečnost. Instituce by měla zohlednit, jak významný daný dodavatel je, a podle toho nastavit povahu smlouvy.
Připravili jsme checklist pro všechny, kteří řeší DORA dodatky. Najdete v něm povinnosti a smluvní ujednání, která by dodatek měl obsahovat, včetně našich komentářů.
📋 Stáhněte si DORA checklist
Vyplňte e-mail a během minuty máte praktický průvodce DORA dodatky ve schránce.