DORA nebo ZKB? ČNB a NÚKIB konečně vydaly jasnou odpověď
Finanční instituce, které od ledna 2025 plní DORA, čelily v České republice nepříjemné otázce: musíme paralelně plnit i ZKB, nebo ne? Odpověď nebyla jednoznačná — až do 24. června 2026, kdy ČNB a NÚKIB vydaly společné prohlášení.
Dokument je krátký, ale jeho praktický dopad je velký. Poprvé oba relevantní regulátoři společně a oficiálně popsali, jak spolu DORA a ZKB koexistují v českém právním prostředí.
Základní pravidlo: lex specialis
Klíčovým výkladovým principem je lex specialis derogat legi generali — speciální předpis má přednost před obecným. DORA je jako unijní nařízení speciální úpravou vůči NIS2, respektive jejímu českému přepisu do ZKB.
Co to znamená v praxi: pokud DORA upravuje danou oblast způsobem ekvivalentním ZKB (typicky řízení kybernetických bezpečnostních rizik nebo hlášení incidentů), platí pro DORA subjekt primárně DORA. Duplicitní plnění téhož požadavku jednou dle DORA a jednou dle ZKB se nevyžaduje.
ZKB ale nevymizí úplně
Prohlášení jasně říká, že DORA ZKB nenahrazuje plošně. ZKB nebo navazující předpisy se na DORA subjekt uplatní všude tam, kde DORA danou oblast ekvivalentně nereguluje.
Konkrétní příklady, kde ZKB zůstává povinný bez ohledu na DORA:
Povinná registrace u NÚKIB — DORA toto neřeší
Stav kybernetického nebezpečí — DORA tento institut nezná
Přísnější nebo specifičtější požadavky ZKB v určitých oblastech — pokud ZKB stanoví podrobnější nebo výrazně odlišné povinnosti, které nelze za ekvivalentní DORA považovat, musí DORA subjekt plnit oboje
Typickým příkladem druhé kategorie jsou služby vytvářející důvěru (trust services): DORA sice pokrývá celkový bezpečnostní rámec, ale specifické požadavky na tyto služby jsou v ZKB (a navazujících předpisech) přísnější a doplňkové — a platí proto souběžně.
Kdo dohlíží na co
Pro DORA subjekty je primárním dohledovým orgánem ČNB. NÚKIB a DIA (Digitální a informační agentura) vykonávají doplňkový dohled tam, kde se uplatňují specifické požadavky mimo ekvivalentní pokrytí DORA — například právě u trust services nebo u specifických systémů veřejné správy.
ČNB a NÚKIB se dohodly na koordinaci dohledu: počítají se společnými kontrolami nebo sdílením výsledků kontrol pro příslušné oblasti. Výkon dohledu bude rizikově orientovaný — tedy intenzita závisí na tom, jak významný je daný subjekt z pohledu finančního sektoru (ČNB) nebo z pohledu jiných nefinančních služeb (NÚKIB).
Co to znamená pro dotčené subjekty
Pokud jste finanční institucí regulovanou DORA a zároveň máte povinnosti ze ZKB, toto prohlášení vám dává základ pro strukturování compliance:
Nejdříve identifikujte, ve kterých oblastech vaše DORA implementace pokrývá ekvivalentně požadavky ZKB — tam vám stačí DORA. Pak zmapujte oblasti, kde ZKB stanoví specifické povinnosti bez ekvivalentu v DORA — ty musíte plnit vedle DORA. A nezapomeňte na povinnou registraci u NÚKIB a povinnosti spojené se stavem kybernetického nebezpečí, které ZKB ukládá bez ohledu na DORA.
Jinými slovy: DORA subjekt není automaticky vyňat z dosahu ZKB. Je z něj vyňat jen v rozsahu, kde DORA danou oblast ekvivalentně pokrývá.
Pokud potřebujete pomoct s posouzením, jak se prohlášení ČNB a NÚKIB promítá do vašeho konkrétního compliance profilu, rádi vám pomůžeme.
Pomáháme finančním institucím a regulovaným subjektům s DORA implementací, ZKB compliance a jejich vzájemnou koordinací. Úvodní konzultace je zdarma.