DORA
V souvislosti s Nařízením evropského parlamentu a rady (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru, které vstoupí v účinnost 17. ledna 2025, jsou připravovány metodiky k výkazům vyplývajícím z tohoto nařízení. Výkazy budou ČNB předkládány prostřednictvím systému SDAT, v kterém má vykazující osoba vytvořeny odpovídající vykazovací povinnosti.
- Výkaz/Výskyt pro Hlášení o registru informací budou v SDAT vygenerovány (vykazující osobě vznikne tato povinnost s konkrétním termínem pro splnění).
- Výkazy/výskyty pro Hlášení závažných incidentů a významných kybernetických hrozeb si vykazující osoba generuje sama (v případě vzniku incidentu je osoba povinna situaci ohlásit, v případě detekce kybernetické hrozby osoba informuje o tomto zjištění na dobrovolné bázi).
- Výkaz Hlášení bezpečnostních a provozních rizik ve smyslu nařízení DORA (HLASRIZ01) budou mít povinnost vykázat pouze tyto finanční subjekty, které podléhají nařízení DORA: platební instituce, poskytovatelé platebních služeb malého rozsahu, instituce elektronických peněz, vydavatelé elektronických peněz malého rozsahu, obchodníci s cennými papíry, správci alternativních investičních fondů, správcovské společnosti, zprostředkovatelé pojištění, zprostředkovatelé zajištění a zprostředkovatelé doplňkového pojištění a poskytovatelé služeb skupinového financování, a to pouze ti, kteří budou osloveni na základě výzvy ČNB ke konkrétnímu datu (bráno jako forma dohledového šetření). Upozorňujeme, že tímto výkazem není bez dalšího dotčena povinnost vykázat výkaz Hlášení bezpečnostních a provozních rizik v oblasti platebního styku, který slouží ke splnění povinnosti hlásit bezpečnostní a provozní rizika podle ustanovení § 222 odst. 1 písm. a) zákona č. 370/2017 Sb., o platebním styku osobami oprávněnými poskytovat platební služby.
Upozorňujeme vykazující osoby, že ESAs, resp. Evropská komise v jí vydaných předpisech prováděcích nařízení DORA týkající se níže uvedených výkazů stanoví povinnost mít a ve výkaze jako součást vlastní identifikace uvést LEI kód. Pokud jím vykazující osoba dosud nedisponuje, je nezbytné, aby si jej pro účely řádného splnění vykazovací povinnosti zřídila.
V případě, že vykazující subjekt není registrován v systému SDAT, je třeba provést registraci dle pokynů níže (viz část Další informace k SDAT).
Vykazování je možné prostřednictvím webové aplikace SDAT (viz uživatelská dokumentace) nebo prostřednictvím webových služeb (viz technická specifikace SDAT).
Vykazování lze delegovat na zastupující osobu standardní funkcionalitou SDAT, viz informace v části Zastupování.
Přípustné formáty a další související informace jsou uvedeny níže na této stránce u každého z výkazů.
Testování reportingu závažných incidentů a významných kybernetických hrozeb je dostupné na testovacím prostředí SDAT zde.
Legislativa
Legislativní základna k nařízení DORA je dostupná zde.
Kontaktní informace
dora580@cnb.cz – pro dotazy související s věcným obsahem výkazů u úvěrových institucí, Centrálního depozitáře cenných papírů, obchodních systémů a pojišťoven a zajišťoven.
dora650@cnb.cz - pro dotazy související s věcným obsahem výkazů u platebních institucí, poskytovatelů platebních služeb malého rozsahu, institucí elektronických peněz, vydavatelů elektronických peněz malého rozsahu, obchodníků s cennými papíry, správců alternativních investičních fondů, správcovských společností, zprostředkovatelů pojištění, zprostředkovatelů zajištění a zprostředkovatelů doplňkového pojištění a poskytovatelů služeb skupinového financování.
sdat@cnb.cz - pro registraci a případné technické dotazy nebo potíže týkající se systému SDAT.
Základní informace DORA
- Hlášení o registru informací
- Hlášení závažného incidentu
- Hlášení významné kybernetické hrozby
- Hlášení bezpečnostních a provozních rizik
- Další informace k SDAT
Hlášení o registru informací
Sběr dat probíhá na základě EBA jednotného vykazovacího rámce. Více informací je zveřejněno na webových stránkách EBA k jednotlivým vykazovacím rámcům zde. Harmonizované šablony registru informací jsou součástí ITS k standardizovaným šablonám pro účely registru informací se všemi smluvními ujednáními o využívání služeb IKT poskytovaných poskytovateli služeb IKT z řad třetích stran (dále "ITS k registru informací").
Obsah vykazovaných informací k "Hlášení o registru informací" je stanoven v příloze I. ITS k registru informací, dostupné například zde.
Vykazovací povinnost pro hlášení o registru informací se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA. Povinným osobám, které spadnou do vykazovací povinnosti, bude výkaz vygenerován ze strany ČNB.
Hlášení závažných incidentů a významných kybernetických hrozeb
Obsah a postupy pro hlášení závažného incidentu a hlášení významných kybernetických hrozeb" jsou stanovené v RTS k obsahu hlášení (poslední verze dostupná zde) a ITS upřesňujících pokyny k vyplňování informací (poslední verze dostupná zde).
Vykazovací povinnost pro hlášení incidentů a kybernetických hrozeb se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA.
Formuláře pro vykazování závažných incidentů a významných kybernetických hrozeb, se vkládají do výkazů jako přílohy. Jedná se o zatím časově nevymezené dočasné řešení ze strany ESAs, poslední verze formulářů kde stažení zde:
Výkazy DORA
Hlášení o registru informací
Obsah hlášení
Šablony pro registr informací, které mají finanční subjekty vést, a to ve struktuře podle čl. 5 ITS k registru informací.
Výkaz
Vykazovací rámec EBA_DORA v SDAT obsahuje šablony dle čl. 5 ITS k registru informací. Aktuálně je na SDAT testovacím prostředí v rámci EBA_DORA vydaný draft verze v3.5. Finální podoba výkazu o registrech bude do SDAT implementována v rámci EBA metodiky v4.0, její vydání EBA předpokládá na konci prosince 2024.
Vykazovací povinnost
Vykazovací povinnost pro hlášení o registru informací se vztahuje na subjekty dle čl. 2 odst. 1 písm. a) až t) nařízení DORA.
Hlášení o registru informací bude zasíláno v roční frekvenci.
Vykazování do SDAT
- Výkaz vytvořen transformací z XBRL taxonomie EBA a umístěn do vykazovacího rámce EBA_DORA
- Systém SDAT umožní výkaz vykazovat těmito způsoby a formáty:
- Uploadem XBRL-CSV (DORA reporting package) souboru prostřednictvím webové aplikace SDAT
- Zasláním XBRL-CSV (DORA reporting package) souboru prostřednictvím webových služeb SDAT
- Vyplněním dat do formuláře výkazu prostřednictvím webové aplikace SDAT
- Import dat z excel šablony (dle standardní funkcionality SDAT) prostřednictvím webové aplikace SDAT
- Vykazovací povinnost bude předepsána finančnímu subjektu.
Hlášení závažného incidentu
Obsah hlášení
Obsah a postupy pro hlášení závažného incidentu jsou stanovené v RTS k obsahu hlášení (poslední verze dostupná zde) a ITS upřesňujících pokyny k vyplňování informací (poslední verze dostupná zde).
Obsah a časové lhůty pro hlášení jsou rozděleny do tří fází:
- úvodní oznámení (hlášení do 4 hodin od okamžiku, kdy byl incident klasifikován jako závažný / alternativně do 24 hodin od okamžiku, kdy se finanční subjekt o incidentu dozvěděl),
- průběžné oznámení (hlášení do 72 hodin od podání počátečního oznámení) a
- závěrečné oznámení (hlášení do jednoho měsíce od poslední průběžné zprávy).
Pro všechny fáze se používá stejná šablona, ale každý typ oznámení vyžaduje specifické informace.
Výkaz
- Výkaz: DORAEU01 - DORA - hlášení závažného incidentu
- Vykazovací rámec: Digital Operational Resilience Act (Nařízení o digitální provozní odolnosti)
- Formulář, který se vloží jako příloha do výkazu, naleznete zde (poslední dostupná verze od ESAs):
- Požadavky na validační pravidla pro hlášení závažných incidentů:
- Výkaz je rozdělen do tří datových oblastí:
- DORA01_11 - Základní informace o hlášeném incidentu - statická datová oblast, ve které se vyplňují identifikační a klasifikační informace o incidentu.
- DORA01_12 - Instituce/subjekt dotčený incidentem - dynamická datová oblast, ve které se vyplňuje, jaký typ činnosti subjektu byl dotčen incidentem.
- DORA01_13 - Hlášení závažného incidentu - dynamická datová oblast, do které se nahrávají vyplněné formuláře hlášení ve formátu ".xlsx" s označením, k jaké fázi hlášení se formulář vztahuje. Viz Fáze hlášení.
Vykazování do SDAT
V případě, že vykazující subjekt není registrován v systému SDAT, je třeba provést registraci dle pokynů níže (viz část Další informace k SDAT). Bez registrace do systému SDAT nebude možné zaslat požadované výkazy do ČNB.
Výkaz je možné vykazovat do SDAT těmito způsoby a formáty:
- Prostřednictvím webové aplikace SDAT, tj. vyplněním dat a nahráním vyplněné šablony hlášení.
- Automatizaci vykazování prostřednictvím webových služeb v této fázi spíše nedoporučujeme, protože formát výkazu bude na evropské úrovni změněn.
- Není povolena varianta posílat hromadný výkaz poskytovatelem služeb z řad třetích stran. Vykazovací povinnost bude předepsána finančnímu subjektu.
Generování výskytu výkazu
- Výskyt výkazu (tj. možnost vykázat ke konkrétnímu dni) si vykazující vytvoří dle postupu, který je uveden v nápovědě 3.1.1 Založení výskytu výkazu
- Vložení přílohy je v nápovědě 3.1.2.3 Přílohy. Dále doporučujeme prostudovat nápovědy k odeslání editovaného vydání, čtení protokolů atd.
- V případě doplnění informací do stávajícího výskytu (vykazování dalších fází, oprava zaslaných dat), upravíte již vygenerovaný výskyt výkazu viz nápověda 3.1.3 Odeslání editovaného vydání.
- V případě druhého incidentu během dne vygenerujete nový výskyt pro daný den (postupujete identicky, jako při založení prvního výskytu daný den viz 3.1.1 Založení výskytu výkazu).
Vykazování jednotlivých fází incidentu v závislosti na jeho závažnosti
RTS ke kritériím klasifikace incidentů a kybernetických hrozeb jsou dostupné zde.
V případě incidentu, který je klasifikován jako závažný:
- Úvodní oznámení: zasílá se pouze jedno oznámení, s možností opravy
- Průběžné oznámení: zasílá se minimálně jedno nebo více oznámení, bez možnosti opravy (pokud vykazující subjekt aktualizuje informace, zašle další verze průběžného oznámení = vloží další vyplněný formulář průběžného hlášení)
- Závěrečné oznámení: zasílá se pouze jedno oznámení, s možností opravy
- Na zaslání právě jednoho úvodního, právě jednoho závěrečného oznámení a minimálně jednoho průběžného oznámení jsou v SDAT nastaveny jedno-výkazové kontroly. Dokud nebude hlášení zcela uzavřeno (nebudou zaslány všechny fáze), bude se tato kontrola vyskytovat v chybovém protokolu.
V případě incidentu, který je re-klasifikován jako nezávažný:
- Pokud je incident vyhodnocen jako nezávažný, musí být zaslány právě dvě úvodní hlášení (jedno původní úvodní hlášení a při re-klasifikaci druhé hlášení, které se do výkazu vloží jako druhé úvodní oznámení), s uvedením informací o reklasifikaci ve formuláři dle pokynů ITS, čl. 5);
- Průběžné a závěrečné oznámení se v tomto případě nepožaduje;
- Pokud již bylo zasláno průběžné nebo závěrečné oznámení, oznámení se ponechají.
Hlášení významné kybernetické hrozby
Obsah hlášení
Obsah a postupy pro hlášení významné kybernetické hrozby jsou stanovené v RTS k obsahu hlášení (poslední verze dostupná zde) a ITS upřesňujících pokyny k vyplňování informací (poslední verze dostupná zde).
Výkaz
- DORAEU02 - DORA - hlášení významných kybernetických hrozeb
- Vykazovací rámec: Digital Operational Resilience Act (Nařízení o digitální provozní odolnosti)
- Formulář, který se vloží jako příloha do výkazu, naleznete zde (poslední dostupná verze od ESAs):
- Požadavky na validační pravidla pro hlášení významných kybernetických hrozeb:
Výkaz je rozdělen do dvou datových oblastí:
- DORA02_12 - Hlášení významné kybernetické hrozby - statická datová oblast, ve které se vyplňují identifikační a klasifikační informace o kybernetické hrozbě a nahrává se vyplněný formulář hlášení ve formátu .xlsx.
- DORA02_11 - Instituce/subjekt dotčený kybernetickou hrozbou - dynamická datová oblast, ve které se vyplňuje, jaký typ činnosti subjektu byl dotčen kybernetickou hrozbou.
Vykazovací povinnost
V případě detekce významné kybernetické hrozby je oznámení zasíláno na dobrovolné bázi. RTS ke kritériím klasifikace incidentů a kybernetických hrozeb jsou dostupné zde.
Vykazování do SDAT
Vykazování do SDAT je shodné jako pro hlášení incidentů.
Hlášení bezpečnostních a provozních rizik
Obsah hlášení
Nařízení DORA se zabývá řízením rizik v oblasti informačních a komunikačních technologií (IKT) a ukládá finančním subjektům povinnost zavést komplexní rámec pro řízení těchto rizik. Tento rámec zahrnuje identifikaci, klasifikaci a dokumentaci všech obchodních funkcí, úloh a povinností podporovaných IKT systémy. Nařízení DORA v čl. 6 stanovuje, že finanční subjekty musí identifikovat, klasifikovat a náležitě zdokumentovat všechny obchodní funkce, úlohy a povinnosti podporované IKT, a to včetně identifikace a dokumentace procesů závislých na poskytovatelích služeb IKT z řad třetích stran. Požadavky na identifikaci, klasifikaci a dokumentaci rizik v oblasti IKT implikují potřebu vést registr jako součást efektivního řízení rizik. V praxi to znamená, že finanční subjekty musí vytvořit a udržovat podrobný seznam identifikovaných rizik, který bude zahrnovat informace o pravděpodobnosti výskytu, potenciálním dopadu a opatřeních k jejich mitigaci. Tento registr rizik je klíčovým nástrojem pro monitorování a řízení rizik v oblasti IKT a přispívá k celkové digitální provozní odolnosti finančního subjektu. ČNB v rámci dohledu nad plněním uvedených požadavků může v rámci dohledového šetření vyžádat tyto informace v rozsahu katalogu / registru rizik (vzor rozsahu je vytvořen ve struktuře SDAT).
Výkaz
- HLASRIZ01 - Hlášení bezpečnostních a provozních rizik (podle Nařízení DORA)
- Vykazovací rámec: DORA - Digital Operational Resilience Act (Nařízení o digitální provozní odolnosti)
Výkaz je rozdělen do datových oblastí:
- HLASRIZ01_10 - Základní informace o kontaktních osobách odpovědných za zpracování hlášení o rizicích
- HLASRIZ01_11 - Informační aktiva
- HLASRIZ01_12 - Podpůrná aktiva (technická / IKT)
- HLASRIZ01_13 - Procesy
- HLASRIZ01_14 - Katalog rizik
Vykazovací povinnost
Tento výkaz je určen pouze vybraným platebním institucím, poskytovatelům platebních služeb malého rozsahu, institucím elektronických peněz, vydavatelům elektronických peněz malého rozsahu, obchodníkům s cennými papíry, správcům alternativních investičních fondů, správcovským společnostem, zprostředkovatelé pojištění, zprostředkovatelé zajištění a zprostředkovatelé doplňkového pojištění a poskytovatelé služeb skupinového financování, a to pouze těm, kteří budou osloveni na základě výzvy ČNB, ve které bude rovněž stanoveno konkrétní datum pro jeho předložení . Upozorňujeme, že tento výkaz nenahrazuje výkaz, který slouží ke splnění povinnosti hlásit bezpečnostní a provozní rizika podle ustanovení § 222 odst. 1 písm. a) zákona č. 370/2017 Sb., o platebním styku osobami oprávněnými poskytovat platební služby.
Vykazování do SDAT
Jedná se o standardní formu výkazu ve struktuře SDAT, který je možný vykázat prostřednictvím webových služeb ve formátu SDAT-XML nebo ho vyplnit do webové aplikace SDAT.
Další informace k SDAT
Registrace do sběrného systému SDAT - produkční prostředí
V případě, že vykazující osoba (právnická/fyzická osoba, která má předepsanou vykazovací povinnost) ještě nemá zřízen účet do systému SDAT, zašlete požadavek na adresu sdat@cnb.cz.
Do předmětu emailu uveďte "REGISTRACE SDAT - DORA", do těla emailu pak uveďte IČO vykazující osoby a právě jednoho uživatele ve tvaru jméno, příjmení a e-mail (e-mail bude sloužit zároveň jako login). Po zpracování žádosti o registraci bude uživateli založen účet s administrátorským oprávněním na produkčním prostředí SDAT. Uživatel následně obdrží na email odkaz, pomocí kterého si zvolí heslo k účtu. Tento uživatel následně může prostřednictvím webové aplikace SDAT zakládat další uživatele v kontextu spravované osoby (dle dokumentace).
V případě, že vykazující osoba má zájem o registraci i do testovacího prostředí SDAT, uveďte tuto skutečnost v požadavku o registraci.
Podrobné informace o systému SDAT naleznete na internetových stránkách České národní banky v části Statistika - SDAT.
Registrace certifikátů
ČNB akceptuje certifikáty vydané kvalifikovaným poskytovatelem služeb vytvářejících důvěru (prakticky: vydané jednou ze společností První certifikační autorita, a. s., Česká pošta, s. p. nebo eIdentity a. s.).
Všechny certifikáty může do SDAT nahrát uživatel s administrátorským oprávněním prostřednictvím webové aplikace v části Správa osoby -> Certifikáty, případně si každý uživatel může nahrát svůj podpisový certifikát přes profil -> Správa vlastních certifikátů.
Pro podepisování zaručeným elektronickým podpisem je nutné použít buď:
- kvalifikovaný certifikát pro elektronický podpis (je vystaven vždy na konkrétního uživatele), nebo
- kvalifikovaný certifikát pro elektronickou pečeť (vystaven na osobu - právní subjekt)
Povinnost a způsob použití elektronického podpisu je uvedena jako atribut na úrovni každého výkazu v metodických informacích. Postup pro vytvoření elektronického podpisu je popsán v dokumentaci zde. Náležitosti elektronického podpisu a způsoby podepisování jsou popsány v technické specifikaci.
Pro vykazování webovými službami je nutné zaregistrovat veřejný klíč komerčního certifikátu - slouží pro zabezpečenou SSL komunikaci. Tento certifikát může být vystaven na vaši společnost nebo některého uživatele. Pokud pro vykazování nepoužíváte webové služby, tento certifikát nepotřebujete.
Zastupování
V případě, že se vykazující osoba, která má předepsanou vykazovací povinnost, rozhodne provádění reportingu delegovat na jinou osobu (právnická, podnikající fyzická osoba), je možno využít tzv. zastupování. Zastupování nastavuje správa systému (ČNB) a požadovanou změnu je nutné komunikovat formou žádosti zaslanou na adresu sdat@cnb.cz. Bližší popis a žádost je dostupná v dokumentaci zde.
Dokumenty ke sběrnému systému SDAT
Dokumenty pro realizaci vykazování do systému SDAT jsou k dispozici na webu ČNB, v části technická specifikace SDAT. Případné změny budou avizovány v části Aktuality na hlavní stránce SDAT na webu ČNB.