DORA

V souvislosti s Nařízením evropského parlamentu a rady (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru, které vstoupí v účinnost 17. ledna 2025, jsou připravovány metodiky k výkazům vyplývajícím z tohoto nařízení.  Výkazy budou ČNB předkládány prostřednictvím systému SDAT, v kterém má vykazující osoba vytvořeny odpovídající vykazovací povinnosti.

  • Výkaz/Výskyt pro Hlášení o registru informací budou v SDAT vygenerovány (vykazující osobě vznikne tato povinnost s konkrétním termínem pro splnění).
  • Výkazy/výskyty pro Hlášení závažných incidentů a významných kybernetických hrozeb si vykazující osoba generuje sama (v případě vzniku incidentu je osoba povinna situaci ohlásit, v případě detekce kybernetické hrozby osoba informuje o tomto zjištění na dobrovolné bázi).
  • Výkaz Hlášení bezpečnostních a provozních rizik ve smyslu nařízení DORA (HLASRIZ01) budou mít povinnost vykázat pouze tyto finanční subjekty, které podléhají nařízení DORA: platební instituce, poskytovatelé platebních služeb malého rozsahu, instituce elektronických peněz, vydavatelé elektronických peněz malého rozsahu, obchodníci s cennými papíry, správci alternativních investičních fondů, správcovské společnosti, zprostředkovatelé pojištění, zprostředkovatelé zajištění a zprostředkovatelé doplňkového pojištění a poskytovatelé služeb skupinového financování, a to pouze ti, kteří budou osloveni na základě výzvy ČNB ke konkrétnímu datu (bráno jako forma dohledového šetření). Upozorňujeme, že tímto výkazem není bez dalšího dotčena povinnost vykázat výkaz Hlášení bezpečnostních a provozních rizik v oblasti platebního styku, který slouží ke splnění povinnosti hlásit bezpečnostní a provozní rizika podle ustanovení § 222 odst. 1 písm. a) zákona č. 370/2017 Sb., o platebním styku osobami oprávněnými poskytovat platební služby.

Upozorňujeme vykazující osoby, že ESAs, resp. Evropská komise v jí vydaných předpisech prováděcích nařízení DORA týkající se níže uvedených výkazů stanoví povinnost mít a ve výkaze jako součást vlastní identifikace uvést LEI kód. Pokud jím vykazující osoba dosud nedisponuje, je nezbytné, aby si jej pro účely řádného splnění vykazovací povinnosti zřídila.

V případě, že vykazující subjekt není registrován v systému SDAT, je třeba provést registraci dle pokynů níže (viz část Další informace k SDAT).

Vykazování je možné prostřednictvím webové aplikace SDAT (viz uživatelská dokumentace) nebo prostřednictvím webových služeb (viz technická specifikace SDAT).

Vykazování lze delegovat na zastupující osobu standardní funkcionalitou SDAT, viz informace v části Zastupování.

Přípustné formáty a další související informace jsou uvedeny níže na této stránce u každého z výkazů.

Testování reportingu závažných incidentů a významných kybernetických hrozeb je dostupné na testovacím prostředí SDAT zde.

Legislativa

Legislativní základna k nařízení DORA je dostupná zde.

Kontaktní informace

dora580@cnb.cz – pro dotazy související s věcným obsahem výkazů u úvěrových institucí, Centrálního depozitáře cenných papírů, obchodních systémů a pojišťoven a zajišťoven.

dora650@cnb.cz - pro dotazy související s věcným obsahem výkazů u platebních institucí, poskytovatelů platebních služeb malého rozsahu, institucí elektronických peněz, vydavatelů elektronických peněz malého rozsahu, obchodníků s cennými papíry, správců alternativních investičních fondů, správcovských společností, zprostředkovatelů pojištění, zprostředkovatelů zajištění a zprostředkovatelů doplňkového pojištění a poskytovatelů služeb skupinového financování.

sdat@cnb.cz - pro registraci a případné technické dotazy nebo potíže týkající se systému SDAT.

Základní informace DORA

Hlášení o registru informací

Sběr dat probíhá na základě EBA jednotného vykazovacího rámce. Více informací je zveřejněno na webových stránkách EBA k jednotlivým vykazovacím rámcům zde. Harmonizované šablony registru informací jsou součástí ITS k standardizovaným šablonám pro účely registru informací se všemi smluvními ujednáními o využívání služeb IKT poskytovaných poskytovateli služeb IKT z řad třetích stran (dále "ITS k registru informací").

Obsah vykazovaných informací k "Hlášení o registru informací" je stanoven v příloze I. ITS k registru informací, dostupné například zde.

Vykazovací povinnost pro hlášení o registru informací se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA. Povinným osobám, které spadnou do vykazovací povinnosti, bude výkaz vygenerován ze strany ČNB.

Hlášení závažných incidentů a významných kybernetických hrozeb

Obsah a postupy pro hlášení závažného incidentu a hlášení významných kybernetických hrozeb" jsou stanovené v RTS k obsahu hlášení (poslední verze dostupná zde) a ITS upřesňujících pokyny k vyplňování informací (poslední verze dostupná zde).

Vykazovací povinnost pro hlášení incidentů a kybernetických hrozeb se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA.

Formuláře pro vykazování závažných incidentů a významných kybernetických hrozeb, se vkládají do výkazů jako přílohy. Jedná se o zatím časově nevymezené dočasné řešení ze strany ESAs, poslední verze formulářů kde stažení zde:

 

Výkazy DORA

Hlášení o registru informací

Obsah hlášení

Šablony pro registr informací, které mají finanční subjekty vést, a to ve struktuře podle čl. 5 ITS k registru informací.

Výkaz

Vykazovací rámec EBA_DORA v SDAT obsahuje šablony dle čl. 5 ITS k registru informací. Aktuálně je na SDAT testovacím prostředí v rámci EBA_DORA vydaný draft verze v3.5. Finální podoba výkazu o registrech bude do SDAT implementována v rámci EBA metodiky v4.0, její vydání EBA předpokládá na konci prosince 2024.

Vykazovací povinnost

Vykazovací povinnost pro hlášení o registru informací se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA.

Hlášení o registru informací bude zasíláno v roční frekvenci.

Vykazování do SDAT

  • Výkaz vytvořen transformací z XBRL taxonomie EBA a umístěn do vykazovacího rámce EBA_DORA
  • Systém SDAT umožní výkaz vykazovat těmito způsoby a formáty:
    • Uploadem XBRL-CSV (DORA reporting package) souboru prostřednictvím webové aplikace SDAT
    • Zasláním XBRL-CSV (DORA reporting package) souboru prostřednictvím webových služeb SDAT
    • Vyplněním dat do formuláře výkazu prostřednictvím webové aplikace SDAT
    • Import dat z excel šablony (dle standardní funkcionality SDAT) prostřednictvím webové aplikace SDAT
  • Vykazovací povinnost bude předepsána finančnímu subjektu.

Hlášení závažného incidentu

Obsah hlášení

Obsah a postupy pro hlášení závažného incidentu jsou stanovené v RTS k obsahu hlášení (poslední verze dostupná zde) a ITS upřesňujících pokyny k vyplňování informací (poslední verze dostupná zde).

Obsah a časové lhůty pro hlášení jsou rozděleny do tří fází:

  • úvodní oznámení (hlášení do 4 hodin od okamžiku, kdy byl incident klasifikován jako závažný / alternativně do 24 hodin od okamžiku, kdy se finanční subjekt o incidentu dozvěděl),
  • průběžné oznámení (hlášení do 72 hodin od podání počátečního oznámení) a
  • závěrečné oznámení (hlášení do jednoho měsíce od poslední průběžné zprávy).

Pro všechny fáze se používá stejná šablona, ale každý typ oznámení vyžaduje specifické informace.

Výkaz

  • Výkaz: DORAEU01 - DORA - hlášení závažného incidentu
  • Vykazovací rámec: Digital Operational Resilience Act (Nařízení o digitální provozní odolnosti)
  • Formulář, který se vloží jako příloha do výkazu, naleznete zde (poslední dostupná verze od ESAs):
  • Požadavky na validační pravidla pro hlášení závažných incidentů:
  • Výkaz je rozdělen do tří datových oblastí:
    • DORA01_11 - Základní informace o hlášeném incidentu - statická datová oblast, ve které se vyplňují identifikační a klasifikační informace o incidentu.
    • DORA01_12 - Instituce/subjekt dotčený incidentem - dynamická datová oblast, ve které se vyplňuje, jaký typ činnosti subjektu byl dotčen incidentem.
    • DORA01_13 - Hlášení závažného incidentu - dynamická datová oblast, do které se nahrávají vyplněné formuláře hlášení ve formátu ".xlsx" s označením, k jaké fázi hlášení se formulář vztahuje. Viz Fáze hlášení.

Vykazování do SDAT

V případě, že vykazující subjekt není registrován v systému SDAT, je třeba provést registraci dle pokynů níže (viz část Další informace k SDAT). Bez registrace do systému SDAT nebude možné zaslat požadované výkazy do ČNB.

Výkaz je možné vykazovat do SDAT těmito způsoby a formáty:

  • Prostřednictvím webové aplikace SDAT, tj. vyplněním dat a nahráním vyplněné šablony hlášení.
  • Automatizaci vykazování prostřednictvím webových služeb v této fázi spíše nedoporučujeme, protože formát výkazu bude na evropské úrovni změněn.
  • Není povolena varianta posílat hromadný výkaz poskytovatelem služeb z řad třetích stran. Vykazovací povinnost bude předepsána finančnímu subjektu.

Generování výskytu výkazu

  • Výskyt výkazu (tj. možnost vykázat ke konkrétnímu dni) si vykazující vytvoří dle postupu, který je uveden v nápovědě 3.1.1 Založení výskytu výkazu
  • Vložení přílohy je v nápovědě 3.1.2.3 Přílohy. Dále doporučujeme prostudovat nápovědy k odeslání editovaného vydání, čtení protokolů atd.
  • V případě doplnění informací do stávajícího výskytu (vykazování dalších fází, oprava zaslaných dat), upravíte již vygenerovaný výskyt výkazu viz nápověda 3.1.3 Odeslání editovaného vydání.
  • V případě druhého incidentu během dne vygenerujete nový výskyt pro daný den (postupujete identicky, jako při založení prvního výskytu daný den viz 3.1.1 Založení výskytu výkazu).
Vykazování jednotlivých fází incidentu v závislosti na jeho závažnosti

RTS ke kritériím klasifikace incidentů a kybernetických hrozeb jsou dostupné zde.

V případě incidentu, který je klasifikován jako závažný:

  • Úvodní oznámení: zasílá se pouze jedno oznámení, s možností opravy 
  • Průběžné oznámení: zasílá se minimálně jedno nebo více oznámení, bez možnosti opravy (pokud vykazující subjekt aktualizuje informace, zašle další verze průběžného oznámení = vloží další vyplněný formulář průběžného hlášení)
  • Závěrečné oznámení: zasílá se pouze jedno oznámení, s možností opravy
  • Na zaslání právě jednoho úvodního, právě jednoho závěrečného oznámení a minimálně jednoho průběžného oznámení jsou v SDAT nastaveny jedno-výkazové kontroly. Dokud nebude hlášení zcela uzavřeno (nebudou zaslány všechny fáze), bude se tato kontrola vyskytovat v chybovém protokolu.

V případě incidentu, který je re-klasifikován jako nezávažný:

  • Pokud je incident vyhodnocen jako nezávažný, musí být zaslány právě dvě úvodní hlášení (jedno původní úvodní hlášení a při re-klasifikaci druhé hlášení, které se do výkazu vloží jako druhé úvodní oznámení), s uvedením informací o reklasifikaci ve formuláři dle pokynů ITS, čl. 5);
  • Průběžné a závěrečné oznámení se v tomto případě nepožaduje;
  • Pokud již bylo zasláno průběžné nebo závěrečné oznámení, oznámení se ponechají.

Hlášení významné kybernetické hrozby

Obsah hlášení

Obsah a postupy pro hlášení významné kybernetické hrozby jsou stanovené v RTS k obsahu hlášení (poslední verze dostupná zde) a ITS upřesňujících pokyny k vyplňování informací (poslední verze dostupná zde).

Výkaz

Výkaz je rozdělen do dvou datových oblastí:

  • DORA02_12 - Hlášení významné kybernetické hrozby - statická datová oblast, ve které se vyplňují identifikační a klasifikační informace o kybernetické hrozbě a nahrává se vyplněný formulář hlášení ve formátu .xlsx.
  • DORA02_11 - Instituce/subjekt dotčený kybernetickou hrozbou - dynamická datová oblast, ve které se vyplňuje, jaký typ činnosti subjektu byl dotčen kybernetickou hrozbou.

Vykazovací povinnost

V případě detekce významné kybernetické hrozby je oznámení zasíláno na dobrovolné bázi. RTS ke kritériím klasifikace incidentů a kybernetických hrozeb jsou dostupné zde.

Vykazování do SDAT

Vykazování do SDAT je shodné jako pro hlášení incidentů.

Hlášení bezpečnostních a provozních rizik

Obsah hlášení

Nařízení DORA se zabývá řízením rizik v oblasti informačních a komunikačních technologií (IKT) a ukládá finančním subjektům povinnost zavést komplexní rámec pro řízení těchto rizik. Tento rámec zahrnuje identifikaci, klasifikaci a dokumentaci všech obchodních funkcí, úloh a povinností podporovaných IKT systémy. Nařízení DORA v čl. 6  stanovuje, že finanční subjekty musí identifikovat, klasifikovat a náležitě zdokumentovat všechny obchodní funkce, úlohy a povinnosti podporované IKT, a to včetně identifikace a dokumentace procesů závislých na poskytovatelích služeb IKT z řad třetích stran. Požadavky na identifikaci, klasifikaci a dokumentaci rizik v oblasti IKT implikují potřebu vést registr jako součást efektivního řízení rizik. V praxi to znamená, že finanční subjekty musí vytvořit a udržovat podrobný seznam identifikovaných rizik, který bude zahrnovat informace o pravděpodobnosti výskytu, potenciálním dopadu a opatřeních k jejich mitigaci. Tento registr rizik je klíčovým nástrojem pro monitorování a řízení rizik v oblasti IKT a přispívá k celkové digitální provozní odolnosti finančního subjektu. ČNB v rámci dohledu nad plněním uvedených požadavků může v rámci dohledového šetření vyžádat tyto informace v rozsahu katalogu / registru rizik (vzor rozsahu je vytvořen ve struktuře SDAT).

Výkaz

  • HLASRIZ01 - Hlášení bezpečnostních a provozních rizik (podle Nařízení DORA)
  • Vykazovací rámec: DORA - Digital Operational Resilience Act (Nařízení o digitální provozní odolnosti)

Výkaz je rozdělen do datových oblastí:

  • HLASRIZ01_10 - Základní informace o kontaktních osobách odpovědných za zpracování hlášení o rizicích
  • HLASRIZ01_11 - Informační aktiva
  • HLASRIZ01_12 - Podpůrná aktiva (technická / IKT)
  • HLASRIZ01_13 - Procesy
  • HLASRIZ01_14 - Katalog rizik 

Vykazovací povinnost

Tento výkaz je určen pouze vybraným platebním institucím, poskytovatelům platebních služeb malého rozsahu, institucím elektronických peněz, vydavatelům elektronických peněz malého rozsahu, obchodníkům s cennými papíry, správcům alternativních investičních fondů, správcovským společnostem, zprostředkovatelé pojištění, zprostředkovatelé zajištění a zprostředkovatelé doplňkového pojištění a poskytovatelé služeb skupinového financování, a to pouze těm, kteří budou osloveni na základě výzvy ČNB, ve které bude rovněž stanoveno konkrétní datum pro jeho předložení . Upozorňujeme, že tento výkaz nenahrazuje výkaz, který slouží ke splnění povinnosti hlásit bezpečnostní a provozní rizika podle ustanovení § 222 odst. 1 písm. a) zákona č. 370/2017 Sb., o platebním styku osobami oprávněnými poskytovat platební služby.

Vykazování do SDAT

Jedná se o standardní formu výkazu ve struktuře SDAT, který je možný vykázat  prostřednictvím webových služeb ve formátu SDAT-XML nebo ho vyplnit do webové aplikace SDAT.

Další informace k SDAT

Registrace do sběrného systému SDAT - produkční prostředí

V případě, že vykazující osoba (právnická/fyzická osoba, která má předepsanou vykazovací povinnost) ještě nemá zřízen účet do systému SDAT, zašlete požadavek na adresu sdat@cnb.cz.

Do předmětu emailu uveďte "REGISTRACE SDAT - DORA", do těla emailu pak uveďte IČO vykazující osoby a právě jednoho uživatele ve tvaru jméno, příjmení a e-mail (e-mail bude sloužit zároveň jako login). Po zpracování žádosti o registraci bude  uživateli  založen účet s administrátorským oprávněním na produkčním prostředí SDAT. Uživatel následně obdrží na email odkaz, pomocí kterého si zvolí heslo k účtu. Tento uživatel následně může prostřednictvím webové aplikace SDAT zakládat další uživatele v kontextu spravované osoby (dle dokumentace).

V případě, že vykazující osoba má zájem o registraci i do testovacího prostředí SDAT, uveďte tuto skutečnost v požadavku o registraci.

Podrobné informace o systému SDAT naleznete na internetových stránkách České národní banky v části Statistika - SDAT.

Registrace certifikátů

ČNB akceptuje certifikáty vydané kvalifikovaným poskytovatelem služeb vytvářejících důvěru (prakticky: vydané jednou ze společností První certifikační autorita, a. s., Česká pošta, s. p. nebo eIdentity a. s.).

Všechny certifikáty může do SDAT nahrát uživatel s administrátorským oprávněním prostřednictvím webové aplikace v části Správa osoby -> Certifikáty, případně si každý uživatel může nahrát svůj podpisový certifikát přes profil -> Správa vlastních certifikátů.

Pro podepisování zaručeným elektronickým podpisem je nutné použít buď:

  1. kvalifikovaný certifikát pro elektronický podpis (je vystaven vždy na konkrétního uživatele), nebo
  2. kvalifikovaný certifikát pro elektronickou pečeť (vystaven na osobu - právní subjekt)

Povinnost a způsob použití elektronického podpisu je uvedena jako atribut na úrovni každého výkazu v metodických informacích. Postup pro vytvoření elektronického podpisu je popsán v dokumentaci zde. Náležitosti elektronického podpisu a způsoby podepisování jsou popsány v technické specifikaci.

Pro vykazování webovými službami je nutné zaregistrovat veřejný klíč komerčního certifikátu - slouží pro zabezpečenou SSL komunikaci. Tento certifikát může být vystaven na vaši společnost nebo některého uživatele. Pokud pro vykazování nepoužíváte webové služby, tento certifikát nepotřebujete.

Zastupování

V případě, že se vykazující osoba, která má předepsanou vykazovací povinnost, rozhodne provádění reportingu delegovat na jinou osobu (právnická, podnikající fyzická osoba), je možno využít tzv. zastupování. Zastupování nastavuje správa systému (ČNB) a požadovanou změnu je nutné komunikovat formou žádosti zaslanou na adresu sdat@cnb.cz. Bližší popis a žádost je dostupná v dokumentaci zde.

Dokumenty ke sběrnému systému SDAT

Dokumenty pro realizaci vykazování do systému SDAT jsou k dispozici na webu ČNB, v části technická specifikace SDAT.  Případné změny budou avizovány v části Aktuality na hlavní stránce SDAT na webu ČNB.