IT & TechnologyDoporučovaná advokátní kancelář pro IT právo

DORA compliance: poradenství pro finanční instituce a fintech.

DORA přichází s jasně stanoveným harmonogramem. Buďte připraveni dříve, než přijde kontrola regulátora.

Nařízení DORA (Digital Operational Resilience Act) ukládá finančním institucím a jejich ICT dodavatelům konkrétní povinnosti v oblasti digitální odolnosti. Posoudíme vaši DORA připravenost, revidujeme nebo připravíme ICT smlouvy s povinným DORA obsahem a nastavíme dokumentaci pro reporting dohledovým orgánům.

C on á so d l i š u j e

DORA compliance jako konkrétní balíček, ne jako hodinové poradenství.

CFO a compliance manažer chtějí konkrétní výstupy, ne nekonečné právní konzultace. Dodáme službu s konkrétním výstupem.

DORA připravenost audit jako první krok

Začínáme gap analýzou, ne obecným poradenstvím. Výsledkem je konkrétní přehled, co chybí a co je třeba napravit.

ICT smlouvy s povinným DORA obsahem

DORA stanovuje minimální obsah smluv s ICT dodavateli. Revidujeme stávající smlouvy a připravíme DORA-compliant šablony.

Zkušenost z obou stran

Radíme jak finančním institucím (DORA subjekty), tak ICT dodavatelům (critical third parties). Chápeme tlak na obě strany.

Jasný postup místo teorie

Výstupem není právní memorandum. Je to prioritizovaný plán s termíny, výstupy a jasnou specifikací každého kroku.

D e t a i l n ě

Pět fází. Kompletní DORA připravenost pro vaši organizaci.

DORA gap analýza a audit připravenosti

Posoudíme aktuální stav vůči DORA požadavkům a identifikujeme oblasti, kde je nutná náprava.

ICT smlouvy s DORA klauzulemi

Revidujeme nebo zpracujeme smlouvy s ICT dodavateli tak, aby obsahovaly povinné DORA klauzule o odolnosti, incidentech a auditovatelnosti.

ICT Risk Management Framework

Zpracujeme politiku řízení ICT rizik odpovídající požadavkům DORA čl. 6 až 16.

Registr ICT třetích stran

Sestavíme registr ICT třetích stran a nastavíme procesy pro průběžnou správu dodavatelského rizika.

Incident reporting a notifikační postupy

Nastavíme procesy pro identifikaci, klasifikaci a povinné hlášení ICT incidentů dohledovým orgánům.

V á š   p a r t n e r
PORTRAIT · J. MENČÍK
Jaroslav Menčík

Jaroslav Menčík

Partner
Vedoucí týmu pro IT & Technology

Jaroslav Menčík je partnerem advokátní kanceláře Ambit a vede tým pro IT a Technologie. Za více než 15 let praxe uzavřel přes 200 transakcí v oblasti softwarového práva, kybernetické bezpečnosti, regulace AI a technologického transferu. Klientům z řad startupů, scale-upů i globálních korporací poskytuje odborné poradenství ukotvené v realitě podnikání. Vystudoval právo na Masarykově univerzitě v Brně a Karlově univerzitě v Praze (JUDr., Ph.D.) a jako Hauser Global Scholar získal titul LL.M. na NYU School of Law. Ekonomické vzdělání (Ing.) mu umožňuje integrovat finanční a strategický pohled do každého mandátu.

15+
let zkušeností v IT právu
200+
uzavřených transakcí
Č a s t o   k l a d e n é   d o t a z y

Otázky, které klienti často pokládají.

Nenašli jste tu svou? Napište přímo vedoucímu partnerovi — odpověď obvykle do jednoho pracovního dne.

Zeptejte se přímo Jaroslava
Na koho se DORA vztahuje?
DORA se vztahuje na finanční subjekty (banky, pojišťovny, investiční firmy, platební instituce aj.) a jejich kritické ICT třetí strany. Rozsah je velmi široký a pokrývá prakticky celý regulovaný finanční sektor v EU.
Co musí obsahovat ICT smlouva podle DORA?
DORA (čl. 30) stanovuje minimální obsah ICT smluv: popis služeb, SLA, místo zpracování dat, právo na audit, plány kontinuity, notifikace incidentů, podmínky pro ukončení a práva na přechod k jinému dodavateli.
Co je critical ICT third party a jaké má povinnosti?
Kritická ICT třetí strana je dodavatel ICT služeb, jehož výpadek by ohrozil finanční stabilitu celého trhu. Takové subjekty podléhají přímému dohledu ze strany evropských orgánů (EBA, ESMA, EIOPA). Pomůžeme posoudit, zda vaše firma do této kategorie spadá.
Jak se DORA liší od NIS2?
NIS2 je obecná směrnice pro kybernetickou bezpečnost pokrývající kritickou infrastrukturu napříč odvětvími. DORA je sektorové nařízení specifické pro finanční sektor, s podrobnějšími a přísnějšími požadavky na digitální odolnost.
Jaké sankce hrozí za porušení DORA?
DORA ponechává výši sankcí na národních dohledových orgánech. ČNB může uložit pokutu finančním institucím za nesoulad s DORA. Kritické ICT třetí strany mohou být pokutovány až 1 % průměrného denního celosvětového obratu za každý den porušení.