Požadavky na dodavatele ve finančním sektoru jsou starší než DORA
Nařízení DORA je účinné od 17. ledna 2025. Při jeho implementaci byla velkým tématem i otázka externích poskytovatelů ICT služeb. Finanční instituce, na které nařízení DORA dopadá, musely mj. nastavit proces pro výběr a kontrolu ICT dodavatelů, řízení rizik spojených s využitím jejich služeb, jejich evidenci a oznamování orgánům dohledu (České národní bance) a také zajistit, aby smlouvy obsahovaly veškeré povinné náležitosti vyžadované regulací. Často se jednalo o poměrně složité cvičení, které zahrnovalo řadu interních útvarů a vyžadovalo značné úsilí.
Nicméně cíl byl jasný: Zajistit, aby selhání dodavatele ICT služby nezpůsobilo (zásadní) výpadek, nedostupnost či třeba únik dat spojený s poskytovanou finanční službou.
Opravdu ale byly požadavky na řízení dodavatelů takovou novinkou? Pro řadu finančních institucí vlastně ne. Banky, pojišťovny, platební instituce a některé další subjekty byly totiž již před účinností nařízení DORA povinny řešit rizika spojená obecně s outsourcingem. Tyto požadavky přitom byly velmi podobné těm, které letos v lednu zavedla DORA.
Tři kategorie dodavatelů
Zdánlivě by to nemělo být nic těžkého. Ale opravdu jenom zdánlivě. Jedním z hlavních praktických problémů, který v tomto směru nařízení DORA přineslo, je totiž jistá dvojkolejnost právní úpravy.
Dosavadní regulace (vyhlášky ČNB, metodiky a požadavky Evropského orgánu pro bankovnictví – EBA) upravovala, resp. stále upravuje, požadavky na všechny poskytovatele outsourcingu. Outsourcing je definován jako, stručně řečeno, zajišťování procesů, služeb nebo činnosti, které by jinak byly prováděny finanční institucí, třetí osobou, tedy dodavatelem. Při tom není rozhodné, zda finanční instituce danou činnost dříve vykonávala, klíčová je reálná možnost či způsobilost tuto činnost zajišťovat vlastními silami.
Nařízení DORA pak ukládá řídit veškeré externí poskytování informačních a komunikačních služeb (ICT služby) ve velmi širokém výkladu, bez ohledu na to, zda finanční instituce reálně může tuto činnost vykonávat.
Tyto definice se tak zčásti překrývají. Ale právě jenom zčásti, což přináší některé výkladové i praktické nejasnosti.
Ukažme si rozdíl na příkladu:
Outsourcingem podle dosavadní regulace je například využití distribuční sítě pro prodej finančních produktů, ač distributor bance či pojišťovně žádné ICT služby neposkytuje. Stejně tak je outsourcingem dodavatelské zajištění výkonu interního auditu, služeb pověřence pro ochranu osobních údajů nebo třeba externího archivu pro fyzickou dokumentaci. Ani v jednom případě se ale nejedná o ICT služby podle nařízení DORA.
Pak zde máme skupinu služeb, na kterou dopadají jak požadavky na outsourcing, tak požadavky nařízení DORA. Jedná se o velkou většinu poskytování ICT služeb, zejména cloudových nástrojů (SaaS, PaaS, IaaS), ale i provoz či vývoj softwarových řešení využívaných při poskytování finančních služeb.
Potom tu je třetí skupina: ICT služby, které jsou pouze v režimu nařízení DORA a požadavky na outsourcing na ně nedopadají. Typicky se jedná o vývoj, dodání a podporu „krabicových“ softwarových řešení, poskytování telekomunikačních služeb (zejména datové připojení), nebo třeba externí zajištění penetračních testů.
Požadavky na kontrolu ICT dodavatelů se překrývají
V čem je problém?
U první výše uvedené skupiny (čistě outsourcingová regulace) a té třetí (jen DORA požadavky) je vše jasné. Komplikovaná situace ovšem nastává tam, kde externě poskytovaná služba představuje jak outsourcing ve smyslu dosavadní finanční regulace, tak poskytování ICT služeb podle nařízení DORA. V tomto případě totiž musí finanční instituce ve vztahu ke konkrétnímu dodavateli, poskytovateli služby, plnit povinnosti dle obou těchto regulací. A ty bohužel nejsou vždy stejné. Rozdíly jsou v některých požadavcích na celkové řízení rizik spojených s dodavateli těchto služeb, požadavky na smlouvu, na kontrolu či evidenci dodavatelů. V praxi je tak část činností prováděna duplicitně. To jistě není žádoucím stavem, ani z pohledu chráněných zájmů (zajištění funkčnosti, dostupnosti a digitální provozní odolnosti finančních služeb), ani z pohledu byrokratické zátěže, kterou tato situace zvyšuje jak u finančních institucí, tak u jejich ICT dodavatelů.
Pomůže nová EBA metodika?
Evropský orgán pro bankovnictví (EBA) se snaží tuto duplicitu řešit. Dne 8. června 2025 proto publikoval návrh nové metodiky pro řízení rizik třetích stran, které neposkytují ICT služby. Metodika je předložena k veřejné konzultaci a připomínky lze zasílat až do 8. října 2025.
Cílem metodiky je zajistit konzistentní, jednotný a proporcionální přístup k řízení externích poskytovatelů služeb. Návrh nové metodiky se tak omezuje jen na „ne-ICT“ služby a ostatní ponechá pouze v režimu nařízení DORA. Jinak řečeno, výše uvedená „smíšená skupina“ přestane existovat a hlavním dělícím kritériem pro řízení rizik spojených s externí dodávkou služeb bude, zda zahrnuje nebo nezahrnuje poskytování ICT služeb. Pokud ano, bude jen v režimu nařízení DORA, pokud ne, bude se její využití řídit touto novou EBA metodikou.
Nová metodika se bude vztahovat zejména na tyto finanční instituce:
Banky a pobočky bank ze třetích zemí
Větší a střední investiční podniky
Platební instituce
Instituce elektronických peněz
Vydavatele kryptoaktiv podle nařízení MiCA
Poskytovatele zajištěných úvěrů (hypoték)
Pravidla pro poskytovatele „ne ICT“ služeb
Jaké povinnosti se budou využití „ne ICT“ dodavatelů vztahovat? V zásadě se nejedná o nic nového, velká většina těchto povinností pro finanční instituce platí již dnes. Nová metodika je jen v některých bodech zpřesňuje a aktualizuje právě s ohledem na to, že ze své působnosti vylučuje poskytování služeb v oblasti informačních a komunikačních technologií.
Finanční instituce tak budou ve vztahu k těmto dodavatelům zejména povinny:
Nastavit celkovou správu (governance) a strategii využití netechnického outsourcingu (čl. 38 metodiky a dále)
Definovat proces pro výběr, ověření a kontrolu dodavatele a svůj postup upravit v interních předpisech (čl. 48 a dále)
Rozlišovat a samostatně řídit rizika spojená s ICT dodavateli a těmi ostatními (čl. 50)
Řídit riziko střetu zájmů spojeného s konkrétním poskytovatelem služby (čl. 52 a dále)
Zajistit dostupnost a odolnost svých procesů (business continuity) i při využití dodavatele (čl. 58 a dále)
Definovat, jak bude do řízeni rizik třetích stran zapojen interní audit (čl. 59 a dále)
Zajistit plnění požadavků na další interní dokumentaci (čl. 61 a dále)
Implementovat konkrétní kroky v procesu kontroly, vyhodnocení, posouzení rizik a smluvních ujednání s dodavateli (čl. 70 a dále)
Nastavit pravidla pro zapojení dalších subdodavatelů (čl. 88 a dále)
Zajistit práva finanční instituce na přístup k informacím o poskytování služby, včetně auditu (čl. 97)
Upřesnit pravidla pro monitoring faktického fungování externího poskytovatele (čl. 111 a dále)
Přípravu exit strategií pro významné či kritické outsourcingy (čl. 117 a dále)
Pro správné nastavení procesu pro řízení „ne ICT“ dodavatelů je důležité i vymezení typických služeb a činností, které jsou za outsourcing považovány. Ty obsahuje příloha č. 1 k návrhu metodiky. Služby jsou rozděleny jak podle obecných kategorií, např. administrativní činnosti, správa hotovosti, zákaznické služby, výkon vnitřní kontroly, tak i podle jednotlivých finančních institucí, kterých se nová EBA metodika bude týkat: Platební služby, investiční služby, poskytování úvěrů, vydávání kryptoaktiv atd.
DORA a NIS2: Regulace, které se prolínají víc, než se zdá
Ačkoliv se může zdát, že nařízení DORA a směrnice NIS2 upravují odlišné oblasti – DORA ICT rizika ve finančním sektoru a NIS2 kybernetickou bezpečnost v širším měřítku – ve skutečnosti mají mnoho společného. Obě regulace kladou důraz na řízení rizik, odolnost vůči incidentům, bezpečnost dodavatelského řetězce i odpovědnost managementu. V praxi tak finanční instituce často řeší stejné oblasti regulace ve dvou různých rámcích. Právě proto je klíčové pochopit jejich průniky a sladit interní procesy efektivně a bez zbytečné duplicity. Pokud se chcete zorientovat v požadavcích NIS2, pochopit její dopad na vaši organizaci a připravit se na legislativní změny včas, doporučujeme absolvovat následující kurzy na NIS2:
