DORA

V souvislosti s Nařízením evropského parlamentu a rady (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru, které vstoupí v účinnost 17. ledna 2025, jsou připravovány metodiky k výkazům vyplývajícím z tohoto nařízení.  Výkazy budou ČNB předkládány prostřednictvím systému SDAT, v kterém má vykazující osoba vytvořeny odpovídající vykazovací povinnosti.

Výkaz/Výskyt pro Hlášení o registru informací budou v SDAT  vygenerovány (vykazující osobě vznikne tato povinnost s konkrétním termínem pro splnění). Výkazy/výskyty pro Hlášení závažných incidentů a významných kybernetických hrozeb si vykazující osoba generuje sama (v případě vzniku incidentu je osoba povinna situaci ohlásit, v případě detekce kybernetické hrozby osoba informuje o tomto zjištění na dobrovolné bázi).

V případě, že vykazující subjekt není registrován v systému SDAT, je třeba provést registraci dle pokynů níže (viz část Další informace k SDAT).

Vykazování je možné prostřednictvím webové aplikace SDAT (viz uživatelská dokumentace) nebo prostřednictvím webových služeb (viz technická specifikace SDAT).

Vykazování lze delegovat na zastupující osobu standardní funkcionalitou SDAT, viz informace v části Zastupování.

Přípustné formáty a další související informace jsou uvedeny níže na této stránce u každého z výkazů.

Kontaktní informace

dora580@cnb.cz – pro dotazy související s věcným obsahem výkazů u úvěrových institucí, Centrálního depozitáře cenných papírů, obchodních systémů a pojišťoven a zajišťoven.

dora650@cnb.cz - pro dotazy související s věcným obsahem výkazů u platebních institucí, poskytovatelů platebních služeb malého rozsahu, institucí elektronických peněz, vydavatelů elektronických peněz malého rozsahu, obchodníků s cennými papíry, správců alternativních investičních fondů, správcovských společností, zprostředkovatelů pojištění, zprostředkovatelů zajištění a zprostředkovatelů doplňkového pojištění a poskytovatelů služeb skupinového financování.

sdat@cnb.cz - pro registraci a případné technické dotazy nebo potíže týkající se systému SDAT.

Základní informace DORA

• Hlášení o registru informací
  • Obsah hlášení
  • Výkaz
  • Vykazovací povinnost
  • Vykazování do SDAT
• Hlášení závažného incidentu
  • Obsah hlášení
  • Výkaz
  • Vykazování do SDAT
• Hlášení významné kybernetické hrozby
  • Obsah hlášení
  • Výkaz
  • Vykazovací povinnost
  • Vykazování do SDAT
• Další informace k SDAT
  • Registrace do sběrného systému SDAT - produkční prostředí
  • Registrace certifikátů
  • Zastupování
  • Dokumenty ke sběrnému systému SDAT

Hlášení o registru informací

Sběr dat probíhá na základě EBA jednotného vykazovacího rámce. Více informací je zveřejněno na webových stránkách EBA k jednotlivým vykazovacím rámcům zde. Harmonizované šablony registru informací jsou součástí ITS k standardizovaným šablonám pro účely registru informací se všemi smluvními ujednáními o využívání služeb IKT poskytovaných poskytovateli služeb IKT z řad třetích stran (dále "ITS k registru informací").

Obsah vykazovaných informací k "Hlášení o registru informací" je stanoven v příloze I. návrhu ITS k registru informací, dostupné například na webové stránce EBA.

Vykazovací povinnost pro hlášení o registru informací se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA. Povinným osobám, které spadnou do vykazovací povinnosti, bude výkaz vygenerován ze strany ČNB.

Hlášení závažných incidentů a významných kybernetických hrozeb

Obsah vykazovaných informací "DORAEU01 Hlášení závažného incidentu" a "DORAEU02 Hlášení významných kybernetických hrozeb" je stanoven v příloze I. a II. návrhu ITS k reportingu závažných incidentů a oznámení významných kybernetických hrozeb, dostupné například na webové stránce EBA.

Vykazovací povinnost pro hlášení incidentů a kybernetických hrozeb se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA.

Formuláře pro vykazování závažných incidentů a významných kybernetických hrozeb, se vkládají do výkazů jako přílohy - aktuálně je vydána verze v1.0, finální podoba formulářů bude aktualizována. Jedná se o zatím časově nevymezené dočasné řešení ze strany ESAs:

• DORA Incident reporting v1.0 TC.xlsx
• DORA significant cyber threats v1.0.xlsx

Výkazy DORA

Hlášení o registru informací

Obsah hlášení

Šablony pro registr informací, které mají finanční subjekty vést, a to ve struktuře podle čl. 5 návrhu ITS k registru informací.

Výkaz

Vykazovací rámec EBA_DORA v SDAT obsahuje šablony dle čl. 5 návrhu ITS k  registru informací. Aktuálně je na SDAT testovacím prostředí v rámci EBA_DORA vydaný draft verze v3.5. Finální podoba výkazu o registrech bude do SDAT implementována v rámci EBA metodiky v4.0, její vydání EBA předpokládá na konci prosince 2024.

Vykazovací povinnost

Vykazovací povinnost pro hlášení o registru informací se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA.

Hlášení o registru informací bude zasíláno v roční frekvenci.

Vykazování do SDAT

• Výkaz vytvořen transformací z XBRL taxonomie EBA a umístěn do vykazovacího rámce EBA_DORA
• Systém SDAT umožní výkaz vykazovat těmito způsoby a formáty:
  • Uploadem XBRL-CSV (DORA reporting package) souboru prostřednictvím webové aplikace SDAT
  • Zasláním XBRL-CSV (DORA reporting package) souboru prostřednictvím webových služeb SDAT
  • Natypováním dat do formuláře výkazu prostřednictvím webové aplikace SDAT
  • Import dat z excel šablony (dle standardní funkcionality SDAT) prostřednictvím webové aplikace SDAT
• Vykazovací povinnost bude předepsána finančnímu subjektu.

Hlášení závažného incidentu

Obsah hlášení

Obsah vykazovaných informací ve formuláři pro hlášení závažných incidentů je stanoven v příloze I. návrhu ITS k reportingu závažných incidentů a oznámení významných kybernetických hrozeb.

Obsah hlášení je rozdělen do tří fází:

• úvodní oznámení (hlášení do 4 hodin od okamžiku, kdy je incident klasifikován jako závažný /alternativně do 24 hodin od okamžiku, kdy si finanční subjekt incidentu poprvé povšimne, pokud k formální klasifikaci dojde později),
• průběžné oznámení (hlášení do 72 hodin od podání počátečního oznámení) a
• závěrečné oznámení (hlášení do jednoho měsíce od poslední průběžné zprávy).

Pro všechny fáze se používá stejná šablona, ale každý typ oznámení vyžaduje specifické informace.

Výkaz

• Výkaz: DORAEU01 - DORA - hlášení závažného incidentu
• Vykazovací rámec: Digital Operational Resilience Act (Nařízení o digitální provozní odolnosti)
• Formulář, který se vloží jako příloha do výkazu, naleznete zde (aktuálně se nejedná o finální verzi ze strany ESAs):
  • DORA Incident reporting v1.0 TC.xlsx
• Výkaz je rozdělen do tří datových oblastí:
  • DORA01_11 - Základní informace o hlášeném incidentu - statická datová oblast, ve které se vyplňují identifikační a klasifikační informace o incidentu.
  • DORA01_12 - Instituce/subjekt dotčený incidentem - dynamická datová oblast, ve které se vyplňuje, jaký typ činnosti subjektu byl dotčen incidentem.
  • DORA01_13 - Hlášení závažného incidentu - dynamická datová oblast, do které se nahrávají vyplněné formuláře hlášení ve formátu ".xlsx" s označením, k jaké fázi hlášení se formulář vztahuje. Viz Fáze hlášení.

Vykazování do SDAT

V případě, že vykazující subjekt není registrován v systému SDAT, je třeba provést registraci dle pokynů níže (viz část Další informace k SDAT). Bez registrace do systému SDAT nebude možné zaslat požadované výkazy do ČNB.

Výkaz je možné vykazovat do SDAT těmito způsoby a formáty:

• Prostřednictvím webové aplikace SDAT, tj. natypováním dat a nahráním vyplněné šablony hlášení.
• Automatizaci vykazování prostřednictvím webových služeb v této fázi spíše nedoporučujeme, protože formát výkazu bude na evropské úrovni změněn.
• Není povolena varianta posílat hromadný výkaz poskytovatelem služeb z řad třetích stran. Vykazovací povinnost bude předepsána finančnímu subjektu.

Generování výskytu výkazu

• Výskyt výkaz (tj. možnost vykázat ke konkrétnímu dni) si vykazující vytvoří vytvoří dle postupu, který je uveden v nápovědě 3.1.1 Založení výskytu výkazu
• Vložení přílohy je v nápovědě 3.1.2.3 Přílohy. Dále doporučujeme prostudovat nápovědy k odeslání editovaného vydání, čtení protokolů atd.
• V případě doplnění informací do stávajícího výskytu (vykazování dalších fází, oprava zaslaných dat), upravíte již vygenerovaný výskyt výkazu viz nápověda viz 3.1.3 Odeslání editovaného vydání.
• V případě druhého incidentu během dne vygenerujete nový výskyt pro daný den (postupujete identicky, jako při založení prvního výskytu daný den viz 3.1.1 Založení výskytu výkazu).

Vykazování jednotlivých fází incidentu v závislosti na jeho závažnosti

V případě incidentu, který je klasifikován jako závažný:

• Úvodní oznámení: zasílá se pouze jedno oznámení, s možností opravy (v této fázi má vykazující subjekt možnost vyplnit kromě úvodního oznámení také část informací k průběžnému a finálnímu oznámení, pokud jsou mu již v daný okamžik známy)
• Průběžné oznámení: zasílá se minimálně jedno nebo více oznámení, bez možnosti opravy (pokud vykazující subjekt aktualizuje informace, zašle další verze průběžného oznámení = vloží další vyplněný formulář průběžného hlášení)
• Závěrečné oznámení: zasílá se pouze jedno oznámení, s možností opravy
• Na zaslání právě jednoho úvodního, právě jednoho závěrečného oznámení a minimálně jednoho průběžného oznámení jsou v SDAT nastaveny jedno-výkazové kontroly. Dokud nebude hlášení zcela uzavřeno (nebudou zaslány všechny fáze), bude se tato kontrola vyskytovat v chybovém protokolu.

V případě incidentu, který je re-klasifikován jako nezávažný:

• Pokud je hlášení vyhodnoceno jako nezávažné, musí být zaslány právě dvě úvodní hlášení (jedno původní úvodní hlášení a při re-klasifikaci druhé hlášení, které se vloží jako druhé úvodní oznámení);
• Průběžné a závěrečné oznámení se v tomto případě nepožaduje;
• Pokud již bylo zasláno průběžné nebo závěrečné oznámení, oznámení se ponechají.

Hlášení významné kybernetické hrozby

Obsah hlášení

Obsah vykazovaných informací ve formuláři pro dobrovolné oznámení významných kybernetických hrozeb je stanoven v příloze II. návrhu ITS k reportingu závažných incidentů a oznámení významných kybernetických hrozeb.

Výkaz

• DORAEU02 - DORA - hlášení významných kybernetických hrozeb
• Vykazovací rámec: Digital Operational Resilience Act (Nařízení o digitální provozní odolnosti)
• Formulář, který se vloží jako příloha do výkazu, naleznete zde (aktuálně se nejedná o finální verzi ze strany ESAs):
  • DORA significant cyber threats v1.0.xlsx

Výkaz je rozdělen do dvou datových oblastí:

• DORA02_12 - Hlášení významné kybernetické hrozby - statická datová oblast, ve které se vyplňují identifikační a klasifikační informace o kybernetické hrozbě a nahrává se vyplněný formulář hlášení ve formátu .xlsx.
• DORA02_11 - Instituce/subjekt dotčený kybernetickou hrozbou - dynamická datová oblast, ve které se vyplňuje, jaký typ činnosti subjektu byl dotčen kybernetickou hrozbou.

Vykazovací povinnost

V případě detekce významné kybernetické hrozby je oznámení zasíláno na dobrovolné bázi.

Vykazování do SDAT

Vykazování do SDAT je shodné jako pro hlášení incidentů.

Další informace k SDAT

Registrace do sběrného systému SDAT - produkční prostředí

V případě, že vykazující osoba (právnická/fyzická osoba, která má předepsanou vykazovací povinnost) ještě nemá zřízen účet do systému SDAT, zašlete požadavek na adresu sdat@cnb.cz.

Do předmětu emailu uveďte "REGISTRACE SDAT - DORA", do těla emailu pak uveďte IČO vykazující osoby a právě jednoho uživatele ve tvaru jméno, příjmení a e-mail (e-mail bude sloužit zároveň jako login). Po zpracování žádosti o registraci bude  uživateli  založen účet s administrátorským oprávněním na produkčním prostředí SDAT. Uživatel následně obdrží na email odkaz, pomocí kterého si zvolí heslo k účtu. Tento uživatel následně může prostřednictvím webové aplikace SDAT zakládat další uživatele v kontextu spravované osoby (dle dokumentace).

V případě, že vykazující osoba má zájem o registraci i do testovacího prostředí SDAT, uveďte tuto skutečnost v požadavku o registraci.

Podrobné informace o systému SDAT naleznete na internetových stránkách České národní banky v části Statistika - SDAT.

Registrace certifikátů

ČNB akceptuje certifikáty vydané kvalifikovaným poskytovatelem služeb vytvářejících důvěru (prakticky: vydané jednou ze společností První certifikační autorita, a. s., Česká pošta, s. p. nebo eIdentity a. s.).

Všechny certifikáty může do SDAT nahrát uživatel s administrátorským oprávněním prostřednictvím webové aplikace v části Správa osoby -> Certifikáty, případně si každý uživatel může nahrát svůj podpisový certifikát přes profil -> Správa vlastních certifikátů.

Pro podepisování zaručeným elektronickým podpisem je nutné použít buď:

1. kvalifikovaný certifikát pro elektronický podpis (je vystaven vždy na konkrétního uživatele), nebo
2. kvalifikovaný certifikát pro elektronickou pečeť (vystaven na osobu - právní subjekt)

Povinnost a způsob použití elektronického podpisu je uvedena jako atribut na úrovni každého výkazu v metodických informacích. Postup pro vytvoření elektronického podpisu je popsán v dokumentaci zde. Náležitosti elektronického podpisu a způsoby podepisování jsou popsány v technické specifikaci.

Pro vykazování webovými službami je nutné zaregistrovat veřejný klíč komerčního certifikátu - slouží pro zabezpečenou SSL komunikaci. Tento certifikát může být vystaven na vaši společnost nebo některého uživatele. Pokud pro vykazování nepoužíváte webové služby, tento certifikát nepotřebujete.

Zastupování

V případě, že se vykazující osoba, která má předepsanou vykazovací povinnost, rozhodne provádění reportingu delegovat na jinou osobu (právnická, podnikající fyzická osoba), je možno využít tzv. zastupování. Zastupování nastavuje správa systému (ČNB) a požadovanou změnu je nutné komunikovat formou žádosti zaslanou na adresu sdat@cnb.cz. Bližší popis a žádost je dostupná v dokumentaci zde.

Dokumenty ke sběrnému systému SDAT

Dokumenty pro realizaci vykazování do systému SDAT jsou k dispozici na webu ČNB, v části technická specifikace SDAT.  Případné změny budou avizovány v části Aktuality na hlavní stránce SDAT na webu ČNB.