DORA Art. 28 — ICT register: povinné polia a ako ho pripraviť za hodinu
Digital Operational Resilience Act (nariadenie EÚ 2022/2554, skratka DORA) platí od 17. januára 2025 pre finančné inštitúcie v celej EÚ. Jedným z najpraktickejších článkov je Art. 28, ktorý ukladá povinnosť viesť register ICT third-party service providers — teda zoznam všetkých IT dodávateľov s presnými údajmi vrátane LEI identifikátora.
Tento článok rozoberá, čo presne musí register obsahovať, aké sú najčastejšie chyby pri audite, a ako register zostaviť za hodinu z verejných registrov.
Koho sa to týka
DORA sa vzťahuje na 21 kategórií finančných subjektov vrátane:
- Banky (úverové inštitúcie)
- Poisťovne a zaisťovne
- Obchodníci s cennými papiermi, investičné spoločnosti
- Fondy kolektívneho investovania (UCITS, AIF)
- Platobné inštitúcie, e-money inštitúcie
- Poskytovatelia crypto-asset služieb (MiCA)
- Správcovia aktív, kritickí CCP, centrálne depozitáre
V SR dozoruje NBS (Národná banka Slovenska), v ČR ČNB. Obaja regulátori už spustili hromadný dotazník DORA registra — viaceré banky ho dostali v Q1 2026.
Čo vyžaduje Art. 28(3)
Register musí obsahovať minimálne tieto polia pre každého ICT vendora:
Identifikácia vendora
| Pole | Príklad | Zdroj |
|---|---|---|
| Legal Entity Identifier (LEI) | 529900T8BM49AURSDO55 |
GLEIF |
| Obchodné meno | Microsoft Slovakia s.r.o. | ORSR / ARES |
| IČO / BIČO | 31398871 | ORSR |
| Krajina sídla | SK | ORSR |
| Adresa | Pribinova 4, 811 09 Bratislava | ORSR |
| Skupina (parent) | Microsoft Corp. | Manuálne |
LEI je povinný pre všetkých vendorov, ktorí ho majú. Bez LEI niektoré regulatory reporty (napr. DORA register of information RTS) neprejdú validáciou.
Kontraktné údaje
- Typ služby podľa RTS taxonomy (napr. Cloud hosting, IT consulting, SaaS — transaction processing)
- Dátum začiatku zmluvy
- Dátum ukončenia / auto-renewal
- Krajina, kde sa poskytuje služba
- Krajina, kde sa spracovávajú dáta (pozor — Schrems II!)
- Či obsahuje cross-border data transfer
- Či zahŕňa critical or important function (CIF) — to je kľúčové, pretože CIF vendori majú prísnejšie povinnosti
Riziko a monitoring
- Interná risk klasifikácia (1–5 alebo low/med/high/critical)
- Dátum posledného due diligence auditu
- Concentration risk (koľko % kritických funkcií závisí od tohto vendora)
- Exit strategy + stepping-out plan
Najčastejšie chyby
- Chýbajúci LEI — firma má LEI (lebo aj oni sú DORA-regulated), ale náš register ho nemá. Fix: napojte na GLEIF API.
- Sub-contractors nie sú pokryti — Art. 28(6) vyžaduje poznanie celého reťazca. Ak Microsoft subcontractuje support tím v Indii, musí to byť v registri.
- "Cloud" príliš široké — NBS/ČNB chce presný RTS kód:
T001 — Cloud services (IaaS), nie len "AWS". - Concentration metric chýba — bez nej audítor nevie, či ste si vedomí, že 70 % core bankingu beží na jednom vendorovi.
- Exit plan je placeholder — "migrácia na iný cloud za 12 mesiacov" bez konkrétnych krokov a testov nestačí.
Ako register pripraviť za hodinu
Krok 1 — Export existujúcich vendorov (5 min)
Väčšina bánk má AP (accounts payable) zoznam alebo ERP vendor master. Exportujte všetkých s popisom obsahujúcim "IT", "software", "cloud", "hosting", "konzultácie" atď.
Krok 2 — Obohatiť LEI + registre (20 min)
Pre každý IČO / VAT number:
- Zavolať GLEIF API:
https://api.gleif.org/api/v1/lei-records?filter[entity.legalName]={{name}} - Stiahnuť z ORSR (SR) alebo ARES (ČR) oficiálne meno + adresu
- Dať LEI tam, kde vendor má
Nástroj ako NISMap DORA ICT register (Pro plán) to robí automaticky: zadáte IČO alebo VAT, získate vyplnený riadok s LEI, názvom, adresou, NACE.
Krok 3 — Klasifikovať CIF (20 min)
Pre každého vendora rozhodnite: je jeho výpadok critical alebo important function? Kritéria:
- CIF: výpadok ohrozí core banking, clearing, regulatory reporting, alebo customer-facing services počas > 2 hodín
- Non-CIF: výpadok je nepríjemný, ale banka funguje (napr. HR systém)
Krok 4 — Concentration + exit (15 min)
Pre CIF vendorov:
- Koľko % CIF workloadu závisí od nich?
- Kde inde (iný cloud / in-house) by sa dalo v prípade zlyhania spustit?
- Test exit plánu aspoň 1× ročne — dátum posledného testu.
Reportovacie deadliny
| Dátum | Povinnosť |
|---|---|
| 17. január 2025 | DORA nadobúda účinnosť |
| Q1 2026 | NBS / ČNB spustili hromadné dotazníky |
| Ročne | Aktualizácia registra pri každej zmene vendora |
| ESA RTS report | Ročný submission cez EBA / EIOPA / ESMA platformu |
NISMap a DORA
NISMap Pro plán pokrýva DORA Art. 28 register natívne:
- Auto-fill LEI cez GLEIF
- NACE + krajina z opendata
- Import / export CSV pre ESA RTS format
- Notifikácia, keď sa vendorov credit grade zhorší (Art. 29 continuous monitoring)
- Bulk IBAN fraud check (užitočné pre AP vendorov)
Pre záväzné určenie DORA scope a povinností kontaktujte NBS (SR) alebo ČNB (ČR). Article 28 text je dostupný na EUR-Lex 32022R2554.