Penetrační testování pro soulad s DORA: Co potřebují vědět finanční subjekty v EU
Nařízení o digitální provozní odolnosti (Digital Operational Resilience Act) – DORA – představuje nejvýznamnější posun v regulaci kybernetické bezpečnosti, jaký kdy finanční sektor EU zažil. Jeho jádro, které stojí vedle rámců řízení rizik ICT a povinností hlášení incidentů, tvoří soubor požadavků na testování, který z Penetration Testingu (Penetrační Testování) dělá z dobrovolné aktivity zákonem nařízenou činnost s definovanou četností, pravidly rozsahu, kvalifikací testerů a dohledem orgánů dohledu.
Pokud jste banka, pojišťovna, platební instituce, investiční firma nebo jakýkoli jiný subjekt regulovaný právem EU pro finanční služby, pak se to týká i vás. Pokud jste systémově důležití, je to ještě intenzivnější. A pokud jste poskytovatel ICT třetí strany, který tyto subjekty obsluhuje, ani vy se z toho nevyvléknete.
Tento průvodce vás provede vším, co potřebujete vědět: co DORA vyžaduje, na koho se vztahuje, jaký je rozdíl mezi standardním ročním testováním a pokročilým režimem Threat-Led Penetration Testing (TLPT) a jak vytvořit testovací program, který zajistí shodu s předpisy, aniž byste se utopili v regulační složitosti.
Co je DORA a proč existuje?
Nařízení o digitální provozní odolnosti (nařízení EU 2022/2554) bylo přijato Evropskou radou v prosinci 2022, vstoupilo v platnost 16. ledna 2023 a stalo se použitelným 17. ledna 2025. Na rozdíl od směrnice, která vyžaduje transpozici do vnitrostátního práva, je DORA nařízením – což znamená, že je přímo použitelné ve všech členských státech EU bez úprav.
DORA existuje proto, že finanční sektor EU měl problém s roztříštěností. Před ní různé země uplatňovaly různé požadavky na kybernetickou bezpečnost svých finančních institucí. Některé měly robustní rámce pro testování (Nizozemsko mělo TIBER-NL, Německo TIBER-DE), zatímco jiné měly minimální technické požadavky. Přeshraniční banka mohla čelit třem různým testovacím režimům v závislosti na tom, který státní orgán se na ni díval.
Mezitím se finanční sektor stále více spoléhal na digitální infrastrukturu a poskytovatele ICT třetích stran. Jediný výpadek cloudu nebo kybernetický útok by se mohl kaskádovitě šířit mezi institucemi, přes hranice a trhy. DORA byla navržena tak, aby vytvořila harmonizovaný rámec, který zajistí, že každý finanční subjekt v EU bude schopen odolat narušením souvisejícím s ICT, reagovat na ně a zotavit se z nich.
Nařízení spočívá na pěti pilířích: řízení rizik ICT, řízení incidentů souvisejících s ICT a hlášení incidentů, testování digitální provozní odolnosti, řízení rizik ICT třetích stran a sdílení informací. Penetration Testing spadá pod třetí pilíř, který je obsažen v kapitole IV (články 24 až 27) nařízení – a je to pilíř s nejpřísnějšími požadavky pro každodenní bezpečnostní týmy.
Na koho se DORA vztahuje?
DORA se vztahuje široce na finanční sektor. Subjekty, na které se její požadavky vztahují, zahrnují úvěrové instituce (banky), platební instituce, instituce elektronických peněz, investiční firmy, pojišťovny a zajišťovny, poskytovatele služeb kryptoaktiv podle MiCA, centrální depozitáře cenných papírů, obchodní platformy, registry obchodních údajů, společnosti spravující fondy, ratingové agentury a poskytovatele služeb crowdfundingu, mimo jiné.
V praxi to znamená: pokud je vaše organizace regulována právem EU pro finanční služby, pak téměř s jistotou spadáte do oblasti působnosti DORA. Nařízení záměrně vrhá širokou síť, aby zajistilo, že digitální provozní odolnost bude v celém sektoru konzistentní.
Existuje jedna výjimka, kterou stojí za to zmínit. Mikropodniky – definované jako subjekty s méně než 10 zaměstnanci a ročním obratem nebo bilanční sumou pod 2 miliony EUR – čelí mírnějšímu testovacímu režimu. Musí sice uplatňovat přístup k testování ICT založený na posouzení rizik, ale požadavky jsou úměrně sníženy. Pro všechny ostatní platí plné testovací povinnosti.
A co je kritické, dosah DORA se rozšiřuje i mimo samotné finanční subjekty. Poskytovatelé služeb ICT třetích stran – cloudové platformy, prodejci SaaS, poskytovatelé spravovaných služeb, firmy zabývající se analýzou dat – spadají pod dohledový rámec DORA, zejména pokud jsou považováni za kritické pro stabilitu finančního sektoru. Pokud jste prodejce technologií, který obsluhuje finanční instituce EU, povinnosti vašich zákazníků v oblasti DORA se rychle stávají i vaším problémem.
Dvě úrovně testování podle DORA
DORA stanovuje dvoustupňový přístup k testování odolnosti. Pochopení této struktury je zásadní, protože požadavky, četnost a složitost se mezi těmito dvěma úrovněmi výrazně liší.
| Dimenze | Úroveň 1: Standardní testování | Úroveň 2: TLPT (Pokročilé) |
|---|---|---|
| Kdo | Všechny subjekty regulované DORA (kromě mikropodniků) | Systémově důležité subjekty určené příslušnými orgány |
| Četnost | Alespoň jednou ročně pro kritické/důležité funkce | Alespoň každé 3 roky (orgán může upravit) |
| Rozsah | Systémy ICT podporující kritické nebo důležité funkce | Kritické funkce v živých produkčních systémech, včetně ICT třetích stran |
| Přístup | Posouzení zranitelnosti, Penetration Testing, testy založené na scénářích a další | Red team cvičení řízené zpravodajskými informacemi, napodobující skutečné aktéry hrozeb |
| Povědomí modrého týmu | Obvykle si je testování vědom | Nevědom – testování probíhá v tajnosti |
| Regulační dohled | Testovací program je zdokumentován a k dispozici na vyžádání | Rozsah je validován příslušným orgánem; po dokončení je vydáno osvědčení |
Úroveň 1: Roční Penetration Testing podle článků 24 a 25
Základní požadavek na testování se vztahuje na každý finanční subjekt regulovaný DORA, který není mikropodnikem. Článek 24 vyžaduje, aby finanční subjekty zavedly, udržovaly a přezkoumávaly komplexní program testování digitální provozní odolnosti jako součást svého rámce řízení rizik ICT.
Článek 24(6) je klíčová doložka: finanční subjekty musí zajistit, aby byly prováděny vhodné testy na všech systémech a aplikacích ICT podporujících kritické nebo důležité funkce alespoň jednou ročně.
Článek 25 poté uvádí typy testů, které by měl testovací program zahrnovat. Nařízení nevyžaduje, aby každý subjekt prováděl všechny typy testů – platí zásada proporcionality – ale příklady poskytují jasný obraz o tom, co regulátoři očekávají. Patří mezi ně posouzení a skenování zranitelností, analýzy otevřeného kódu, posouzení zabezpečení sítě, analýzy mezer, kontroly fyzického zabezpečení, kontroly zdrojového kódu (kde je to proveditelné), testy založené na scénářích, testování kompatibility, testování výkonu, end-to-end testování a Penetration Testing.
Pro většinu finančních subjektů s významnou infrastrukturou ICT bude Penetration Testing klíčovou součástí jejich ročního programu. Nařízení je jasné: musíte prokázat, že vaše systémy dokážou odolat skutečným útočným technikám, nejen že byly skenovány na známé zranitelnosti.
Co znamenají „kritické nebo důležité funkce“
DORA definuje kritickou nebo důležitou funkci jako funkci, jejíž narušení by podstatně zhoršilo výkonnost finančního subjektu, zdravé fungování nebo kontinuitu jeho služeb nebo jeho trvalé dodržování regulačních povinností. V praxi to zahrnuje vaše hlavní obchodní operace: zpracování plateb, obchodní platformy, portály pro styk se zákazníky, systémy rozhodování o úvěrech, platformy pro vyřizování pojistných událostí, infrastrukturu pro vypořádání a back-end systémy, které je podporují.
Identifikace těchto funkcí je prvním krokem při určování rozsahu vašeho testovacího programu. Pokud systém podporuje kritickou nebo důležitou funkci – přímo nebo prostřednictvím závislostí – spadá do rozsahu ročního testování.
Proporcionalita: Přizpůsobení testů vašemu rizikovému profilu
DORA výslovně uznává, že ne každý finanční subjekt má stejnou velikost nebo čelí stejnému rizikovému profilu. Článek 4(2) stanoví zásadu proporcionality: hloubka a četnost vašeho testování by měla být přizpůsobena velikosti a složitosti vašeho subjektu, celkovému rizikovému profilu, kritičnosti testovaných systémů ICT, expozici prostřednictvím outsourcingu nebo cloudových závislostí, podstatným změnám ve vaší infrastruktuře ICT a závažnosti a výsledkům předchozích incidentů.
To znamená, že se od malé fintech společnosti s úzce zaměřeným produktem a omezenou infrastrukturou neočekává, že bude odpovídat testovacímu programu G-SII (globálně systémově důležité instituce). To ale také znamená, že nemůžete použít proporcionalitu jako obecnou výmluvu pro provádění minimálního testování. Zásada upravuje hloubku testování, nikoli povinnost testovat.
Úroveň 2: Threat-Led Penetration Testing (TLPT) podle článků 26 a 27
Pokud je standardní roční testování základem DORA, pak TLPT je pokročilá úroveň – a je to zásadně odlišná bestie.
TLPT je rozsáhlé cvičení červeného týmu (red team exercise) řízené zpravodajskými informacemi, prováděné na živých produkčních systémech, v tajnosti před obrannými týmy organizace, napodobující taktiky, techniky a postupy, které by skuteční aktéři hrozeb použili proti danému subjektu. Nejedná se o skenování zranitelností s honosným názvem. Jedná se o řízený kybernetický útok, jehož cílem je otestovat, zda vaše instituce – její technologie, její procesy a její lidé – dokáže odolat a odhalit sofistikovaný, cílený útok.
TLPT je povinné pouze pro určité finanční subjekty určené příslušnými orgány na základě systémové důležitosti, rizikového profilu a vyspělosti ICT. Mezi subjekty, které budou s největší pravděpodobností určeny, patří globálně systémově důležité banky (G-SII) a další systémově důležité instituce (O-SII), největší platební instituce (zpracovávající celkem více než 150 miliard EUR v celkových transakcích za každé z předchozích dvou let), velké pojišťovny a zajišťovny, centrální protistrany a centrální depozitáře cenných papírů a hlavní obchodní platformy.
Pokud vás příslušný orgán určí pro TLPT, musíte provádět pokročilé testování alespoň každé tři roky. Orgán může také zvýšit nebo snížit tuto četnost na základě vašeho rizikového profilu a provozních okolností.
Jak funguje TLPT: Šest fází
Regulační technické normy pro TLPT (delegované nařízení Komise (EU) 2025/1190, zveřejněné v červnu 2025) definují strukturovaný proces, který zahrnuje několik odlišných fází.
Přípravná fáze začíná, když příslušný orgán (váš orgán pro TLPT) oznámí vašemu subjektu, že musí provést TLPT. Sestavíte kontrolní tým – malou, důvěryhodnou skupinu ve vaší organizaci, která řídí test – a určíte kritické funkce, které mají být testovány. Rozsah je poté předložen orgánu pro TLPT k validaci.
Fáze zpravodajských informací o hrozbách zahrnuje poskytovatele zpravodajských informací o hrozbách, který vytvoří cílenou zprávu zpravodajských informací o hrozbách specifickou pro vaši instituci. Tato zpráva analyzuje aktéry hrozeb, kteří s největší pravděpodobností cílí na váš subjekt, jejich známé taktiky a techniky a scénáře útoků, které jsou nejrelevantnější pro váš obchodní model, technologický balíček a geografii. Tyto zpravodajské informace řídí celý test – zajišťují, že odráží skutečné hrozby, nikoli obecné útočné scénáře.
Fáze testování červeného týmu je provedení. Červený tým – pracující na základě zpravodajských informací o hrozbách – provádí trvalou útočnou kampaň proti vašim živým produkčním systémům. Na rozdíl od standardního pentestingu test běží po delší dobu (obvykle tři až čtyři měsíce), modrý tým (vaši obránci) není informován a cílem je simulovat skutečnou pokročilou trvalou hrozbu.
Fáze ukončení zahrnuje povinné cvičení purpurového týmu (purple teaming), což je klíčový rozdíl oproti předchozímu rámci TIBER-EU, kde se cvičení purpurového týmu pouze doporučovalo. Během cvičení purpurového týmu červený tým a modrý tým spolupracují na projednání scénářů útoků, přezkoumání toho, co bylo detekováno a co bylo zmeškáno, a společně určí zlepšení. To zajišťuje, že test generuje učení, nejen zjištění.
A konečně, fáze hlášení a nápravy vytváří dokumentaci, která je předložena příslušnému orgánu k validaci a osvědčení. Orgán potvrdí, že TLPT byl proveden v souladu s požadavky DORA, a vydá formální osvědčení.
TLPT vs. Standardní Penetration Testing: Pochopení rozdílu
Rozlišení mezi TLPT a standardním Penetration Testingem je jedním z nejdůležitějších konceptů pro dodržování DORA a jedním z nejčastěji nepochopených.
Standardní Penetration Testing obvykle cílí na specifický systém nebo aplikaci – webovou aplikaci, API, segment sítě. Běží jeden až tři týdny. Bezpečnostní tým ví, že se to děje. Rozsah je ohraničený a dohodnutý předem. Tester hledá technické zranitelnosti, pokouší se je zneužít a vytváří zprávu se zjištěními a pokyny pro nápravu. Jedná se o technické posouzení definovaného povrchu.
TLPT pokrývá celou organizaci. Cílí na kritické obchodní funkce – nikoli na specifické systémy. Běží měsíce, nikoli týdny. Obranný tým si toho vůbec není vědom. Test je řízen zpravodajskými informacemi o hrozbách na míru, nikoli obecnou metodologií. Tester simuluje celý životní cyklus skutečného útoku: průzkum, počáteční přístup, perzistenci, laterální pohyb, eskalaci oprávnění a exfiltraci dat nebo narušení provozu. A testuje nejen technologii, ale i lidi (padají zaměstnanci za oběť phishingu?) a procesy (detekuje SOC narušení? Funguje plán reakce na incidenty?).
Představte si to takto: pentest se ptá: „Může někdo vniknout do této místnosti?“ TLPT se ptá: „Může se sofistikovaný protivník dostat do naší budovy, najít trezor, otevřít ho, vzít si, co chce, a odejít, aniž by si toho někdo všiml?“
TLPT není větší pentest. Je to zásadně odlišná aktivita – řízená simulace skutečného kybernetického útoku proti vašim živým operacím, řízená zpravodajskými informacemi. Pokud váš poskytovatel testování prezentuje TLPT jako „rozšířený Penetration Testing“, najděte si jiného poskytovatele.
Poskytovatelé ICT třetích stran: Ani vy se z toho nevyvléknete
Jednou z nejvýznamnějších inovací DORA je její zacházení s riziky ICT třetích stran jako se systémovým problémem, nikoli jako s bilaterální smluvní záležitostí. Pokud jste poskytovatel cloudu, prodejce SaaS, spravovaná bezpečnostní služba nebo jakákoli jiná technologická společnost, která obsluhuje finanční instituce EU, DORA se vás dotýká několika důležitými způsoby.
Za prvé, finanční subjekty musí smluvně požadovat, aby se jejich poskytovatelé služeb ICT třetích stran účastnili TLPT a spolupracovali na něm, pokud jsou tito poskytovatelé zahrnuti do rozsahu testu. Článek 30(3)(d) DORA to výslovně uvádí. Pokud vaše cloudová platforma hostuje infrastrukturu pro zpracování plateb banky a tato banka je určena pro TLPT, banka musí zajistit vaši účast v testu – a vy to musíte usnadnit.
Za druhé, poskytovatelé ICT, kteří jsou považováni za kritické pro stabilitu finančního sektoru, budou Evropskými orgány dohledu (ESA) označeni jako kritičtí poskytovatelé služeb třetích stran (CTPP). CTPP podléhají přímému dohledu ESA, včetně specifických požadavků na bezpečnostní testování, řízení rizik a provozní odolnost. První vlna určení CTPP se očekává v roce 2025 po posouzení kritičnosti ze strany ESA.
Za třetí, i když nejste označeni jako CTPP, DORA se rychle stává filtrem pro zadávání zakázek. Finanční subjekty, které hodnotí prodejce technologií, budou stále více vyžadovat důkazy o robustních programech bezpečnostního testování, schopnost podporovat simulace vedené klientem a připravenost na společné provozní testování. Nedodržování nebude znamenat pouze regulační riziko – bude to znamenat ztrátu přístupu k evropským finančním klientům.
Pokud obsluhujete finanční subjekty regulované EU, praktická rada je jednoduchá: připravte se na podporu požadavků svých klientů na testování podle DORA, nabídněte izolovaná testovací prostředí, kde je to vhodné, a buďte připraveni prokázat svou vlastní provozní odolnost prostřednictvím zdokumentovaných testovacích programů.
Kdo může provádět testování?
DORA stanoví specifické kvalifikační požadavky pro testery, zejména pro TLPT.
Standardní testování (články 24–25)
Pro roční testovací program umožňuje DORA provádět testování nezávislými interními týmy nebo kvalifikovanými externími poskytovateli. Klíčovým požadavkem je nezávislost – testeři nesmí mít žádné střety zájmů a nesmí mít osobní zájem na výsledcích. Pokud používáte interní testery, je vyžadováno odpovídající organizační oddělení.
Nařízení nenařizuje specifické certifikace pro standardní testování, ale vyžaduje, aby testeři měli potřebné dovednosti a odborné znalosti. V praxi příslušné orgány očekávají, že testeři budou mít uznávané profesní kvalifikace a prokazatelné zkušenosti s typy prováděných testů.
TLPT (články 26–27)
Pro TLPT jsou požadavky podstatně přísnější. Nařízení vyžaduje, aby testeři měli nejvyšší vhodnost a pověst, měli technické a organizační schopnosti se specifickými odbornými znalostmi v oblasti zpravodajských informací o hrozbách, Penetration Testing nebo testování červeným týmem, byli certifikováni akreditačním orgánem v členském státě nebo dodržovali formální etické kodexy nebo etické rámce a pro externí testery měli pojištění profesní odpovědnosti proti rizikům pochybení.
Významná nuance: DORA umožňuje interním testerům provádět komponentu červeného týmu TLPT, ale se dvěma kritickými omezeními. Zpravodajské informace o hrozbách musí vždy poskytovat externí strana a každý třetí TLPT musí provádět externí poskytovatel červeného týmu. V praxi to znamená, že i když si vybudujete interní kapacitu červeného týmu, budete potřebovat externí testery alespoň pro jeden z každých tří cyklů TLPT.
Náprava, hlášení a osvědčení
DORA nepovažuje testování za samostatnou aktivitu – je začleněno do smyčky neustálého zlepšování. Nařízení vyžaduje, aby finanční subjekty zavedly postupy a zásady pro stanovení priorit, klasifikaci a nápravu všech problémů odhalených testováním a aby zajistily, že všechny zjištěné zranitelnosti a nedostatky budou plně vyřešeny.
Pro standardní roční testování se očekává, že váš testovací program bude generovat zdokumentovaná zjištění, tato zjištění budou roztříděna podle závažnosti, náprava bude sledována a dokončena a výsledky se promítnou zpět do vašeho rámce řízení rizik ICT. Vaše dokumentace musí být k dispozici příslušným orgánům na vyžádání.
Pro TLPT jsou požadavky formálnější. Po skončení testu – včetně povinného cvičení purpurového týmu – finanční subjekt a externí testeři poskytnou příslušnému orgánu dokumentaci potvrzující, že TLPT byl proveden v souladu s požadavky DORA. Příslušný orgán validuje tuto dokumentaci a vydá osvědčení. Toto osvědčení pak může být sdíleno s jinými příslušnými orgány, aby se umožnilo vzájemné uznávání, což snižuje potřebu duplicitního testování v různých jurisdikcích.
Mechanismus vzájemného uznávání je jednou z nejpraktičtějších inovací DORA. Pokud jste přeshraniční instituce působící ve více členských státech EU, jediné osvědčení TLPT může splnit požadavky na dohled v různých jurisdikcích – což je významné zlepšení oproti stavu před DORA, kdy samostatné vnitrostátní rámce pro testování vyžadovaly samostatné testy.
Klíčové časové osy
Časová osa má strategický význam. Pokud jste kandidátem na určení TLPT, očekávají se první oznámení v roce 2026. Šestiměsíční okno od oznámení do předložení rozsahu je pro organizace, které nepoložily základy, velmi krátké. Začněte mapovat funkce, identifikujte vedoucího svého kontrolního týmu a vyhodnoťte možnosti svého poskytovatele předtím, než obdržíte dopis.
Budování vašeho testovacího programu podle DORA
Ať už jste středně velká platební instituce budující testovací program od nuly, nebo G-SII, která sladí stávající program s požadavky DORA, zde je praktický rámec.
Krok 1: Zmapujte své kritické a důležité funkce
Než budete moci cokoli testovat, musíte vědět, na čem záleží. Identifikujte všechny funkce, jejichž narušení by podstatně zhoršilo výkonnost vašeho subjektu, kontinuitu služeb nebo dodržování předpisů. Poté zmapujte systémy ICT, aplikace a závislosti na třetích stranách, které podporují každou funkci. Toto mapování se stane základem vašeho testovacího rozsahu a přímo ovlivní váš rámec řízení rizik ICT.
Krok 2: Zaveďte program testování založený na posouzení rizik
Navrhněte testovací program, který pokrývá všechny systémy ICT podporující kritické nebo důležité funkce, zahrnuje typy testování uvedené v článku 25 (přizpůsobené vašemu profilu proporcionality), funguje alespoň v ročním cyklu a přizpůsobuje se na základě podstatných změn ve vaší infrastruktuře, výsledků předchozích testů a vyvíjejících se zpravodajských informací o hrozbách.
Zdokumentujte program formálně. DORA vyžaduje, aby byl váš testovací program zdokumentován, přezkoumán a udržován jako součást vašeho rámce řízení rizik ICT. Tato dokumentace musí být k dispozici vašemu příslušnému orgánu na vyžádání.
Krok 3: Zapojte kvalifikované poskytovatele testování
Pro většinu subjektů budou externí poskytovatelé Penetration Testing dodávat roční testovací komponentu. Vyberte si poskytovatele, kteří mají prokazatelné zkušenosti ve finančním sektoru, rozumí specifickým požadavkům DORA a dokážou vytvářet zprávy, které splňují regulační očekávání. Zajistěte, aby smlouvy o zapojení řešily požadavky na nezávislost, povinnosti mlčenlivosti a proces sladění rozsahu.
Pokud jste kandidátem na TLPT, budete také muset identifikovat poskytovatele zpravodajských informací o hrozbách a poskytovatele červeného týmu, kteří splňují přísné kvalifikace uvedené v článku 27 a RTS pro TLPT. Začněte s tímto hodnocením brzy – skupina kvalifikovaných poskytovatelů TLPT je menší než obecný trh s pentesty a okna pro plánování se rychle plní.
Krok 4: Vybudujte smyčku nápravy
Testování bez nápravy je výkon bez účelu. Zaveďte zdokumentovaný pracovní postup, který vezme zjištění od identifikace přes nápravu a ověření. Klasifikujte zjištění podle závažnosti, přidělte vlastnictví, definujte časové osy reakce a sledujte uzavření. Každá náprava by měla být ověřena – buď prostřednictvím opakovaného testování, nebo prostřednictvím validované implementace kontroly.
Promítněte výsledky testování zpět do vašeho rámce řízení rizik ICT. DORA považuje testování za jeden vstup do širšího obrazu odolnosti – nikoli za samostatné cvičení pro dodržování předpisů.
Krok 5: Připravte se na TLPT (pokud je to relevantní)
Pokud je pravděpodobné, že bude váš subjekt určen pro TLPT, příprava by měla začít dlouho před tím, než dorazí oznámení. Identifikujte vedoucího kontrolního týmu – někoho, kdo je dostatečně starší na to, aby řídil test přes organizační hranice, a dostatečně důvěryhodného na to, aby udržoval tajemství před modrým týmem. Zmapujte kritické funkce, které budou pravděpodobně v rozsahu. Vyhodnoťte závislosti na třetích stranách, které bude možná nutné zahrnout. Zkontrolujte svá smluvní ujednání s poskytovateli ICT, abyste zajistili, že budou zavedeny doložky o účasti v souladu s DORA.