Evropská regulace digitální odolnosti DORA dopadá na banky, investiční společnosti i jejich technologické partnery napříč EU. Nový výklad evropských orgánů dohledu však potvrzuje, že veřejné orgány poskytující ICT služby při plnění funkcí státu nejsou „třetími ICT poskytovateli“. Pro expaty a movité investory to znamená méně smluvních povinností, ale ne menší odpovědnost za řízení rizik při správě majetku v mezinárodním prostředí.
6. února 2026 zveřejnily společné evropské orgány dohledu odpověď k výkladu recitálu 63 nařízení DORA – digitálního rámce, který má od ledna 2025 posílit odolnost finančního sektoru vůči IT rizikům. Výklad je zásadní: veřejné orgány poskytující ICT související služby při plnění státních funkcí nejsou považovány za poskytovatele ICT služeb třetích stran (ICT TPP).
Proč na tom záleží? Pokud finanční instituce využívá ICT TPP, musí mít podle čl. 30 odst. 2 DORA detailní smluvní ujednání – o bezpečnosti dat, přístupu k informacím, auditech či ukončení spolupráce. Jestliže je však protistranou veřejný orgán, tyto smluvní povinnosti se neuplatní.
„Regulace uvolňuje smluvní režim, nikoli odpovědnost za riziko.“
Co to znamená pro vaše struktury a investice?
Typická situace: finanční instituce nebo investiční platforma využívá software státní agentury pro správu dotací či přístup k oficiálním databázím. Dosud panovala nejistota, zda takový subjekt spadá pod režim DORA jako ICT TPP. Odpověď je nyní jasná – nikoli, pokud jde o plnění státní funkce.
Na první pohled úleva. V praxi však vzniká jiný efekt. Pokud například držíte investice ve fondu, který je závislý na státní infrastruktuře – například při distribuci veřejné podpory nebo správě záruk – nebude tento vztah pokryt smluvními standardy DORA. Riziko výpadku systému či omezení přístupu k datům tak zůstává plně na finanční instituci a nepřímo i na vás jako investorovi.
Překvapivý detail: pojem „ICT related services“ není v DORA výslovně definován. Výklad je širší než samotná „ICT služba“. Do výjimky se tedy může dostat i poskytování dat nebo softwarových nástrojů veřejnou správou, pokud jde o výkon státní funkce. To rozšiřuje rozsah výluky více, než se původně očekávalo.
Jak k tomu přistoupit strategicky?
Prvním krokem je zmapovat, kde jsou vaše investice nebo struktury závislé na státních ICT systémech – například při čerpání podpory, správě registrů či vypořádání. Nejde o právní formalitu, ale o provozní realitu.
Druhým krokem je posoudit koncentraci rizika. Pokud je klíčový tok dat nebo provozní proces navázán na jeden veřejný systém, který není pod smluvním dohledem DORA, je třeba mít alternativní scénář – technický i likviditní.
Třetím krokem je nastavit oversight na úrovni investiční strategie. Aisa International jako nezávislý intermediary neposkytuje manuální schvalování jednotlivých reportů ani technický reporting. Kontroluje však, zda je architektura řízení rizik přiměřená, proporcionální a odpovídá regulatorní realitě v EU i ČR.
Praktický příklad: pokud by došlo k delšímu výpadku veřejné databáze, která je nutná pro administraci investičního produktu, může to znamenat zpoždění vypořádání nebo omezení likvidity. Investor, který má diverzifikovanou infrastrukturu a krizový plán, dopad pocítí méně.
Regulace DORA měla původně rozšířit dohled nad technologickými partnery finančního sektoru. Výklad recitálu 63 ale ukazuje, že stát zůstává mimo tento režim. To je logické z hlediska suverenity, méně komfortní z pohledu investora.
Kritický pohled je namístě: EU zpřísňuje požadavky na soukromé poskytovatele, zatímco veřejné systémy stojí mimo smluvní rámec. Řešením není rezignace, ale aktivní řízení závislostí a transparentní strukturování majetku.
