Co je DORA?
Akt o digitální provozní odolnosti – známý jako DORA – je nařízení (EU) 2022/2554, přijaté Evropským parlamentem a Radou dne 14. prosince 2022. EU jej zveřejnila v Úředním věstníku 27. prosince 2022. V platnost vstoupilo 16. ledna 2023 a plně účinným se stalo 17. ledna 2025.
DORA řeší konkrétní mezeru ve finanční regulaci EU. Před nařízením DORA spravovaly finanční instituce operační riziko především vyčleňováním kapitálu. Tento přístup však dostatečně nepokrýval narušení související s ICT, která mohou ovlivnit mnoho institucí současně, pokud selže sdílený poskytovatel technologií. DORA proto zavádí jednotný rámec v celé EU pro řízení rizik v oblasti ICT, hlášení incidentů, testování provozní odolnosti a dohled nad technologickými poskytovateli z řad třetích stran.
Kdo musí dodržovat nařízení DORA?
DORA se vztahuje na dvě hlavní skupiny organizací zapojených do služeb informačních a komunikačních technologií (ICT) v rámci finančního sektoru.
První skupinou jsou finanční subjekty. Patří sem úvěrové instituce, platební instituce, instituce elektronických peněz, investiční podniky, pojišťovny a zajišťovny, poskytovatelé služeb souvisejících s kryptoaktivy, centrální depozitáře cenných papírů, ústřední protistrany a obchodní systémy, mimo jiné uvedené v článku 2 nařízení.
Druhou skupinou jsou třetí strany poskytující služby ICT – společnosti, které dodávají technologické služby finančním subjektům. Tato skupina zahrnuje poskytovatele cloudových služeb, vývojáře softwaru, firmy zabývající se analýzou dat, kyberbezpečnostní společnosti, poskytovatele datových center a jakékoli další poskytovatele, jejichž služby podporují provoz regulované finanční instituce.
Důležité je, že DORA se vztahuje i na poskytovatele ICT se sídlem mimo EU. Pokud technologická společnost v USA, Spojeném království nebo Asii dodává služby finančním institucím regulovaným v EU, nařízení DORA se na tento vztah vztahuje.
Požadavek na LEI podle nařízení DORA
DORA vyžaduje, aby finanční subjekty vedly podrobný Registr informací o všech svých třetích stranách poskytujících služby ICT. Prováděcí nařízení Komise (EU) 2024/2956, zveřejněné 2. prosince 2024, stanoví standardní šablony pro tento registr.
Článek 3 odst. 5 tohoto prováděcího nařízení přímo uvádí:
„Finanční subjekty používají k identifikaci všech svých třetích stran poskytujících služby ICT, které jsou právnickými osobami, s výjimkou fyzických osob jednajících v rámci podnikání, platný a aktivní identifikátor právnické osoby (LEI) nebo evropský jedinečný identifikátor uvedený v článku 16 směrnice (EU) 2017/1132 (‚EUID‘), a pokud jsou k dispozici, oba tyto identifikátory.“
Jinými slovy, každá třetí strana poskytující ICT, která je právnickou osobou, musí být identifikovatelná pomocí platného a aktivního kódu LEI nebo EUID. Oba musí být aktuální. Propadlý kód LEI nebo kód s vypršenou platností tento požadavek nesplňuje.
LEI nebo EUID – který z nich se vás týká?
Oba identifikátory splňují požadavky DORA, ale pokrývají různé situace. Pochopení rozdílu vám pomůže vybrat správně.
LEI (Legal Entity Identifier) je globálně uznávaný 20místný alfanumerický kód založený na normě ISO 17442. Nadace Global Legal Entity Identifier Foundation (GLEIF) spravuje globální systém LEI a zpřístupňuje všechna data LEI v globálním indexu LEI. LEI pokrývá právnické osoby ve více než 200 jurisdikcích a zahrnuje také údaje o vlastnictví a kontrole.
EUID (evropský jedinečný identifikátor) odkazuje na systém propojení obchodních rejstříků EU (BRIS). Protože se připojuje výhradně k národním rejstříkům EU, vztahuje se pouze na subjekty registrované v členských státech EU.
Zde prováděcí nařízení činí zásadní rozdíl: poskytovatelé ICT usazení mimo EU musí být identifikováni pouze pomocí LEI. EUID pro subjekty mimo EU prostě není k dispozici. V důsledku toho je LEI jediným platným identifikátorem pro jakéhokoli poskytovatele působícího mimo EU.
Pro poskytovatele se sídlem v EU fungují oba identifikátory. Pro globální operace nebo poskytovatele s expozicí mimo EU je však LEI silnější volbou díky svému mezinárodnímu uznání a širšímu datovému pokrytí.
Co znamená „platný a aktivní“ v praxi
Prováděcí nařízení výslovně vyžaduje platný a aktivní kód LEI. To se týká stavu, který se zobrazuje v globální databázi GLEIF.
Kód LEI se stavem „Issued“ (Vydáno) je platný a aktivní, a proto splňuje požadavky DORA. Kód LEI se stavem „Lapsed“ (Propadlý) vypršel, a tudíž požadavek nesplňuje. Finanční subjekty nemohou zaznamenat propadlý kód LEI jako vyhovující identifikátor do svého registru informací.
Kód LEI zůstává platný po dobu jednoho roku od data vydání nebo posledního obnovení. Poté jej musí držitel obnovit, aby si zachoval aktivní status. Během obnovy vydávající organizace znovu ověřuje referenční údaje subjektu – včetně oficiálního názvu, sídla a vlastnické struktury – oproti oficiálním zdrojům v rejstříku. Tento proces zajišťuje, že údaje v globální databázi LEI zůstávají přesné a aktuální.
Stav jakéhokoli kódu LEI můžete zkontrolovat pomocí vyhledávacího nástroje GLEIF LEI nebo prostřednictvím vyhledávání v systému LEI.
Proč je LEI praktickým standardem pro soulad s nařízením DORA
Regulátoři DORA zvolili LEI, protože řeší problém, který žádný národní identifikátor vyřešit nedokáže: konzistentní, přeshraniční identifikaci právnických osob v jediném globálně uznávaném formátu.
Národní registrační čísla společností se mezi zeměmi výrazně liší, nejsou vždy strojově čitelná a subjekty mimo EU nepokrývají vůbec. LEI naproti tomu poskytuje jeden konzistentní kód pro jakoukoli právnickou osobu bez ohledu na to, kde je zapsána. Navíc, protože jsou údaje LEI veřejně dostupné a ověřitelné, finanční instituce mohou okamžitě zkontrolovat údaje o poskytovateli bez vyžadování dokumentů.
Pro finanční instituce spravující mnoho dodavatelů ICT v různých zemích tato standardizace výrazně snižuje administrativní složitost souladu s nařízením DORA. Jediné vyhledání LEI poskytne ověřené informace o oficiálním názvu poskytovatele, registračních údajích a vlastnické struktuře – což vše přímo souvisí s povinnostmi řízení rizik třetích stran podle DORA.
Pro poskytovatele ICT držení platného kódu LEI usnadňuje klientům z řad finančních institucí jejich správné zařazení do registru DORA. Poskytovatelé bez platného kódu LEI naopak vytvářejí u svých klientů mezery v souladu s předpisy, a riskují tak poškození obchodního vztahu. GLEIF poskytuje další souvislosti o tom, jak LEI v tomto směru pomáhá, ve svém přehledu regulačního využití LEI.
Co by měli poskytovatelé ICT nyní udělat
Zkontrolujte, zda máte platný kód LEI. Pokud dodáváte služby ICT jakékoli finanční instituci regulované v EU, váš klient vás musí identifikovat ve svém registru informací DORA. Kontaktujte je a potvrďte, zda váš kód LEI zaznamenali a zda je aktuálně aktivní.
Zaregistrujte si kód LEI, pokud jej nemáte. Proces je plně digitální a ve většině jurisdikcí je dokončen do 24 hodin. Musíte uvést oficiální název společnosti, sídlo a registrační číslo. Ve většině případů systém tyto údaje automaticky ověří oproti oficiálním obchodním rejstříkům. LEI System je akreditovaným registračním agentem GLEIF. Svou registraci LEI můžete zahájit ještě dnes.
Obnovte svůj kód LEI, pokud jeho platnost vypršela. Propadlý kód LEI musí být obnoven dříve, než jej vaši klienti budou moci použít v registru DORA. Obnovení obnoví stav „Issued“ (Vydáno) a znovu potvrdí referenční údaje vaší společnosti. Svůj kód LEI můžete rychle obnovit prostřednictvím LEI System.
Udržujte své údaje LEI aktuální. Pokud se změnil název vaší společnosti, sídlo nebo vlastnická struktura, odpovídajícím způsobem aktualizujte své referenční údaje LEI. Zastaralé údaje LEI způsobují vašim klientům z řad finančních institucí komplikace při plnění předpisů, když předkládají svůj registr národním orgánům.
DORA v kontextu širší regulace EU
DORA nefunguje izolovaně. Stojí vedle dalších nařízení EU, která rovněž používají LEI jako standardní identifikátor právnických osob, včetně hlášení transakcí podle MiFID II, hlášení derivátů podle EMIR a nařízení EU o okamžitých platbách. Pro finanční subjekty, které již používají kódy LEI pro hlášení transakcí, tak DORA přidává spíše další rozměr než zcela nový systém.
Kromě toho DORA přímo souvisí se směrnicí NIS2 (směrnice (EU) 2022/2555) o kybernetické bezpečnosti. DORA funguje jako odvětvově specifický akt v rámci NIS2 pro finanční subjekty. Více o NIS2 a LEI si můžete přečíst v článku NIS2 a LEI na tomto webu. Širší přehled o tom, jak LEI funguje v rámci finanční regulace EU, naleznete v článku Jak funguje LEI v praxi v EU.
DORA a LEI – klíčová fakta v kostce
Co je DORA? Nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru.
Odkdy je nařízení DORA účinné? 17.ledna 2025.
Kdo musí nařízení dodržovat? Finanční subjekty v EU a jejich třetí strany poskytující služby ICT, včetně poskytovatelů mimo EU obsluhujících finanční instituce v EU.
Co vyžaduje DORA pro identifikaci poskytovatele ICT? Platný a aktivní kód LEI nebo EUID, jak je specifikováno v prováděcím nařízení Komise (EU) 2024/2956.
Který identifikátor se vztahuje na poskytovatele ICT mimo EU? Pouze LEI. EUID pokrývá pouze subjekty registrované v EU.
Jaký stav LEI splňuje požadavky DORA? Pouze „Issued“ (Vydáno). „Lapsed“ (Propadlý) kód LEI požadavek nesplňuje.
Kde mohu zaregistrovat nebo obnovit kód LEI? Prostřednictvím akreditovaného registračního agenta GLEIF, jako je LEI System.