Finanční instituce spadající pod evropské nařízení DORA (o digitální provozní odolnosti finančního sektoru), si často kladou otázku, zda se na ně vztahuje i český zákon o kybernetické bezpečnosti (ZKB). Česká národní banka (ČNB) a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydaly 24. června 2026 společné stanovisko, které tuto otázku částečně zodpovídá – a přináší několik praktických závěrů, se kterými se měl seznámit každý subjekt finančního trhu.
Hlavní závěr: DORA má přednost, ale ne absolutní
ČNB a NÚKIB potvrzují, že se obecně uplatní právní zásada lex specialis derogat legi generali – speciální úprava (DORA) má přednost před obecnou (NIS2/ZKB). To ale neznamená, že by se ZKB na finanční instituce (tzv. DORA subjekty) nevztahoval vůbec. Konkrétně platí:
- Tam, kde DORA řeší stejnou oblast se srovnatelným účinkem jako ZKB (např. řízení kybernetických rizik, hlášení významných incidentů), postačí plnit povinnosti podle DORA – ZKB se v tomto rozsahu neuplatní.
- Tam, kde DORA danou oblast vůbec neupravuje, se ZKB použije i nadále. Typickým příkladem je povinná registrace subjektu u NÚKIB nebo institut stavu kybernetického nebezpečí – tyto povinnosti z DORA nevyplývají, a proto zůstávají v platnosti podle ZKB.
- Tam, kde ZKB stanoví přísnější, podrobnější nebo jinak odlišné požadavky, které nelze považovat za rovnocenné DORA (typicky u specifických činností, jako jsou služby vytvářející důvěru), musí je subjekt splnit navíc, nad rámec DORA.
Jinými slovy: aplikace ZKB na DORA subjekty se neposuzuje paušálně, ale povinnost od povinnosti – vždy podle toho, zda ji DORA pokrývá se srovnatelným účinkem.
Kdo bude dohlížet?
Stanovisko řeší i praktickou otázku dohledu. Základní pravidlo je jednoduché:
- Subjekty finančního trhu spadající pod DORA dohlíží primárně ČNB.
- Pokud subjekt vykonává specifické činnosti, u kterých ZKB stanoví nadstandardní požadavky (např. právě zmíněné služby vytvářející důvěru), přistupuje k dohledu doplňkově i příslušný specializovaný orgán – typicky Digitální a informační agentura (DIA) nebo NÚKIB.
- V rámci tohoto doplňkového dohledu může být přezkoumána i ta část základního bezpečnostního rámce podle DORA, která se specifickou činností přímo souvisí.
ČNB a NÚKIB zároveň deklarovaly, že budou svůj dohled koordinovat – s ohledem na to, jak významný je daný subjekt z pohledu finančního sektoru (dohled ČNB) a z pohledu ostatních nefinančních služeb (dohled NÚKIB). V praxi to může znamenat společné kontroly nebo sdílení výsledků kontrol mezi oběma úřady.
Co si z toho odnést
Pro finanční instituce, které pod DORA spadají, z toho plynou tři praktická doporučení:
- Neschovávejte se za DORA automaticky. I když plníte požadavky DORA, může se na vás stále vztahovat část ZKB – zejména tam, kde jde o registraci u NÚKIB, stav kybernetického nebezpečí nebo specifické činnosti, které DORA neřeší.
- Zmapujte si specifické činnosti. Pokud vaše společnost poskytuje i služby mimo klasickou finanční regulaci (např. služby vytvářející důvěru), počítejte s tím, že zde budou platit přísnější nebo doplňkové požadavky ZKB – a s tím i dohled dalšího úřadu vedle ČNB.
- Připravte se na koordinovaný dohled. Není vyloučeno, že vás bude kontrolovat více orgánů současně nebo že si výsledky kontrol budou úřady vzájemně předávat.
Vzhledem k tomu, že rozlišení mezi „ekvivalentními" a „neekvivalentními" požadavky není vždy zcela zřejmé z textu zákona, doporučujeme konkrétní situaci probrat s odborníkem na kybernetickou bezpečnost a regulaci finančního trhu – zejména před nastavením interních compliance procesů nebo v případě chystané kontroly.
Jsme připraveni provést vás celým procesem a začít pro vás pracovat.
Další články v kategorii
Mgr. Roman Šubrt
Roman je součástí naší advokátní kanceláře od roku 2024. Vystudoval Právnickou fakultu Masarykovy univerzity v Brně, kde se již během studií profiloval zejména směrem ke korporátnímu právu – svůj nadstandardní přehled v této oblasti potvrdil úspěšným umístěním v československém kole soutěže SVOČ. Ve své praxi se věnuje rovněž právu závazkovému a finančnímu.