DORA je nařízení, které vyžaduje, aby subjekty ve finančním sektoru zajistily, že budou schopny odolat všem typům incidentů, rizik a hrozeb souvisejících s ICT, reagovat na ně a zotavit se z nich. Byla přijata Evropským parlamentem a Radou Evropské unie dne 14. prosince 2022 nařízením (EU) 2022/2554 a jejím cílem je harmonizovat a zefektivnit předpisy související s řízením rizik v oblasti ICT a zajistit konzistentnost a soudržnost v celé EU. DORA vyžaduje, aby finanční subjekty dodržovaly zásadu proporcionality, která zohledňuje velikost jejich operací, rizikový profil a složitost.

DORA vstoupí v platnost 17. ledna 2025.

DORA stanoví klíčové požadavky na finanční subjekty v pěti hlavních oblastech:

1. Řízení rizik v oblasti informačních a komunikačních technologií: Finanční subjekty musí vytvořit a udržovat účinný rámec pro řízení rizik v oblasti informačních a komunikačních technologií, aby mohly účinně identifikovat, klasifikovat a snižovat rizika informačních a komunikačních technologií.
2. Řízení incidentů: Finanční subjekty musí zavést efektivní řízení incidentů a harmonizovaný rámec pro hlášení závažných incidentů souvisejících s ICT regulačním orgánům, který usnadní lepší pochopení vznikajících hrozeb a umožní koordinované reakce.
3. Testování digitální provozní odolnosti: Finanční subjekty musí provádět pravidelné testování, aby posoudily svou schopnost odolat výpadkům v oblasti informačních a komunikačních technologií. To zahrnuje posouzení zranitelnosti a penetrační testování s požadavky přizpůsobenými velikosti subjektu a rizikovému profilu.
4. Řízení rizik třetích stran: S ohledem na rostoucí závislost na poskytovatelích služeb třetích stran, včetně cloudových služeb, stanoví nařízení DORA pravidla pro řízení ICT rizik v dodavatelském řetězci a zajišťuje, aby finanční subjekty měly dohled nad odolností svých kritických poskytovatelů třetích stran.
5. Sdílení informací a zpravodajských informací: DORA vybízí finanční subjekty, aby sdílely informace o kybernetických hrozbách a další relevantní informace s cílem zlepšit kolektivní porozumění a obranné mechanismy proti hrozbám ICT.