Logo

Generální partner

Právní okénko: DORA v praxi: Jak na analýzu obchodních funkcí a řízení IKT rizik 

29. 7. 2025 | Novinky

právní okénko - finreg

Evropské nařízení DORA přináší nové nároky na digitální operační odolnost fintechových společností i dalších institucí. Jedním z klíčových prvků je propracovaná analýza obchodních funkcí, procesů a podpůrné infrastruktury. V tomto příspěvku nabízíme praktický postup, jak se s tímto požadavkem efektivně vypořádat.

S pokračující digitalizací finančních služeb a rostoucí závislostí na IKT („informační a komunikační technologie“) ekosystémech se digitální operační odolnost stala klíčovou oblastí systémového rizika. Evropská unie proto přijala nařízení o digitální operační odolnosti (DORA)Nařízení (EU) 2022/2554, které nabylo plné účinnosti 17. ledna 2025.

Jedním z pilířů a v praxi administrativně nejnáročnější činností vyžadovanou nařízením DORA je zřízení komplexního rámce řízení IKT rizik. Základním předpokladem pro efektivní řízení rizik a zároveň požadavkem nařízení DORA je propracovaná analýza obchodních funkcí, souvisejících procesů a podpůrné infrastruktury.

Základem řízení rizik = vědět, co dělám, na čem to běží a co se stane, když to selže

Základem všeho je tedy praktická znalost vlastního prostředí: procesů, informačních aktiv, IKT aktiv a jejich vzájemných vazeb. Bez této znalosti není možné efektivně řídit rizika, plánovat kontinuitu, vyhodnocovat hrozby ani splnit požadavky DORA na incidentní hlášení a resilience testování. Z nařízení DORA pak rovněž vyplývá požadavek tuto praktickou znalost vlastního prostředí formálně zaevidovat, níže se proto pokusíme poskytnout praktický návod, jak se k této výzvě postavit.

Krok 1: Identifikace obchodních funkcí a souvisejících procesů

Cíl: Zjistit, jaké služby poskytujete, jakým způsobem jsou poskytovány a jaké další činnosti poskytování těchto služeb umožňují nebo jsou z jiného důvodu nezbytné (např. regulatorní požadavky), a jak jsou tyto činnosti technologicky zajištěné.

Jak na to:

  • Zmapujte všechny činnosti, které probíhají uvnitř společnosti (např. investiční poradenství, platební operace, onboarding).
  • Seznamte se s činnostmi zaměstnanců – co dělají, v jakých systémech.
  • Vytvořte si katalog těchto činností a určete jejich vazbu na IKT.
  • U každého procesu definujte: (i) Podprocesy, (ii) Konkrétní činnosti/kroky, (iii) zda je proces podporován IKT systémem (ano/ne)

Příklad:

ProcesPodprocesKonkrétní krokyIKT podpora
AML/KYCKontrola transakcíOvěření prahů, kontrola jurisdikcíANO
Onboarding klientaZaložení klientského účtuZaložení klientského účtu, zadání údajů o klientovi, uložení smluvní dokumentaceANO

Krok 2: Identifikace informačních aktiv

Co je informační aktivum?A green and white question mark in a bubble Description automatically generatedInformační aktivum je soubor informací ve fyzické nebo digitální podobě, který je třeba chránit. Příklady: Osobní údaje klientů, Záznamy AML/KYC, Výpisy z účtů, interní reporty.

Cíl: Identifikovat všechny datové sady, dokumenty a záznamy, které společnost používá v rámci činností identifikovaných v Kroku 1 a určit jejich rizikovost.

Hodnocení rizikovosti (D-I-A-H):

Informační aktiva se posuzují z pohledu požadavků na:

  • Důvěrnost (D): požadavek na míru ochrany před zveřejněním nepovolaným osobám;
  • Integritu (I): požadavek na potřebu, aby byla informace správná;
  • Dostupnost (A): požadavek, aby byla informace dostupná v požadovaném čase; a
  • Hodnověrnost (H): požadavek, aby informace pocházela z určeného zdroje.

Tyto faktory lze hodnotit například na stupnici 1–4. Dle jejich posouzení se pak určí celková rizikovost.

Příklad:

Konkrétní krokInformační aktivaDIAHKritičnost
Založení klientského účtuOsobní údaje klienta3432Vysoká
SMS kód pro aktivaci účtu klientem 4334Kritická

Krok 3: Identifikace IKT aktiv

Co je IKT aktivum?A green and white question mark in a bubble Description automatically generatedIKT aktivum je softwarové nebo hardwarové řešení, které podporuje informační aktiva.Příklady: Servery, databáze, aplikace, cloudová úložiště, Firewall, VPN, PC, AML nástroje.

Cíl: Sepsat všechny systémy, zařízení, aplikace a infrastrukturu, ve kterých jsou uložena nebo zpracovávána informační aktiva identifikovaná v rámci Kroku 2 a opět určit jejich rizikovost dle D-I-A-H faktorů.

Příklad:

Konkrétní krokInformační aktivumIKT aktivum DIAHKritičnost IKT aktiva
Založení klientského účtuOsobní údaje klientaKlientská Aplikace4444Kritická
Databázový server4433Kritická

Krok 4: Vazby a rizika

V návaznosti na předchozí kroky, byste již měli mít představu o funkcích, procesech, aktivách a jejich vzájemných vazbách, můžete proto začít analyzovat možné zranitelnosti jednotlivých procesů, resp. souvisejících aktiv a identifikovat rizika jejich narušení.

Po identifikaci rizika jej ohodnotíte, a to na základě vazeb rizika na procesy a aktiva

Příklad:

RizikoZranitelnostiPostižené procesy / aktivaMaxKritičnost DopadrizikaMitigační opatření
Výpadek databázového serveruNedostatečná údržba, zastaralost IKT aktivapřílišné zatíženíZaložení klientského účtuKritická7Řízení životního cyklu IKT aktiv a pravidelná výměna; monitoring výkonosti a zatížení
Osobní údaje Klienta
Databázový server

Shrnutí

Pokud se má IKT řízení stát více než jen „papírovým cvičením“, potřebujete:

  • Jasnou metodiku mapování funkcí, procesů, aktiv
  • Nástroj nebo šablonu pro evidenci a hodnocení (Excel / CMDB / GRC)
  • Odbornou spolupráci napříč útvary (IT, právní, risk, business)
  • A především: konzistentní, iterativní přístup, který se dá udržet i v menší organizaci

Zkušenost ukazuje, že klíčem k úspěchu je metodické vedení a praktické know-how napříč regulací, IT i právními riziky. Většina organizací nakonec zjistí, že bez správného právního partnera, který už tímto procesem úspěšně provedl jiné, se to zvládá jen obtížně – nebo vůbec.

Autorem právního okénka je AK FINREG PARTNERS

Ondřej Mikula, AK FINREG PARTNERS

Ondřej Mikula je advokátem a expertem v oblasti fintechu a práva finančního a kapitálového trhu.  Prostřednictvím kanceláře FINREG PARTNERS, kterou spoluzakládal,  pomáhá klientům s komplexními právními otázkami ohledně práva finančního sektoru.

AK FINREG PARTNERS

FINREG PARTNERS je advokátní kancelář. Její právní a regulatorní poradenství přesahuje hranice tradičního výkonu advokacie. Klientům poskytuje široké spektrum právních služeb v oblasti finančního trhu, včetně externího výkonu compliance a interního auditu. Soustředí se rovněž na problematiku občanského a obchodního práva zejména v souvislosti s přípravou smluv, obchodních podmínek a jiných dokumentů, které klienti potřebují při své činnosti.

Finreg

Pracovní nabídky

logo egit

Projektový manažer pro nově vznikající fintech

EGIT
Mám zájem
thepay - platební brána

Obchodní manažer/ka pro Slovensko

ThePay
Mám zájem
Tapix by Dateio

Regional Sales Representative

Dateio
Mám zájem

Vložit komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Avatar Autor
AK FINREG PARTNERS

FINREG PARTNERS je advokátní kancelář zaměřená na fintech a finanční trhy. Její právní a regulatorní poradenství přesahuje hranice tradičního výkonu advokacie. Mezi její klienty patří nejvýznamnější jména české fintechové scény. Pomáhá jim s komplexními právními problémy, včetně licencí u ČNB, venture kapitálovými investicemi a dalšími tématy, které se jich jako startupů týkají.