Preskočiť na obsah
7.42Pokročilý7 min

Zmluvy s IT poskytovateľmi v súlade s DORA (čl. 28 a nasl.)

Blck Alpaca·
Definition

Tvorba zmlúv podľa DORA označuje povinnosť finančných subjektov vybaviť zmluvy s poskytovateľmi IT a AI služieb podľa čl. 28 a nasl. nariadenia (EÚ) 2022/2554 (DORA) záväznými klauzulami: opis služieb, lokality dát, audítorské práva, exit/výpoveď, súhlas so sub-outsourcingom, hlásenie incidentov a service-level. DORA sa uplatňuje od 17. januára 2025.

Key Takeaways

  • DORA (nariadenie (EÚ) 2022/2554) sa uplatňuje od 17. januára 2025; čl. 28-30 upravujú riziko tretích strán v oblasti IKT, čl. 30 obsahuje záväzný kánon zmluvných klauzúl (primárnymi adresátmi usmernenia BaFin sú inštitúcie podľa CRR a poisťovatelia podľa Solvency II).
  • Rozsah povinností závisí od toho, či poskytovateľ podporuje kritickú alebo dôležitú funkciu: pri kritických/dôležitých funkciách platia plné klauzuly podľa čl. 30 vrátane exit stratégie, úplných audítorských práv a SLA s merateľnými cieľmi.
  • Povinné klauzuly zahŕňajú opis služieb, lokality dát/miesta spracovania dát, audítorské a prístupové práva, ustanovenia o výpovedi a exite, výhradu súhlasu so sub-outsourcingom, hlásenie incidentov a bezpečnostné opatrenia s povinnosťou spolupráce.
  • ESA dňa 18. novembra 2025 prvýkrát designovali 19 kritických tretích poskytovateľov IKT služieb (CTPP) (o. i. AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix, Swift); exit plány sa musia každoročne testovať, multi-cloud sa fakticky vynucuje.
  • Pri hyperscaleroch je text klauzúl podľa čl. 30 k stavu roku 2026 do veľkej miery štandardom; pri AI startupoch bez týchto klauzúl je zmluvná spôsobilosť častým blokátorom v procurement procese. AI systémy sa podľa usmernenia BaFin z 18. decembra 2025 považujú za sieťové a informačné systémy podľa čl. 3 ods. 2 DORA.

Tvorba zmlúv podľa DORA označuje povinnosť finančných subjektov vybaviť zmluvy s poskytovateľmi IT a AI služieb podľa čl. 28 a nasl. nariadenia (EÚ) 2022/2554 (DORA) záväznými klauzulami: opis služieb, lokality dát, audítorské práva, exit/výpoveď, súhlas so sub-outsourcingom, hlásenie incidentov a service-level. DORA sa uplatňuje od 17. januára 2025 a v dohľadovej praxi BaFin sa primárne zameriava na inštitúcie podľa CRR a poisťovateľov podľa Solvency II.

  • Koho sa to týka? Finančných subjektov v rozsahu pôsobnosti DORA (banky, poisťovatelia a ďalšie finančné entity) ako aj ich poskytovateľov IT/AI služieb, ktorí bez povinných klauzúl nie sú zmluvne spôsobilí.
  • Čo je jadro? Čl. 28-30 upravujú riziko tretích strán v oblasti IKT; čl. 30 obsahuje záväzný kánon klauzúl. Rozsah sa škáluje s kritickosťou outsourcovanej funkcie.
  • Čo je najčastejší kameň úrazu? Pri hyperscaleroch je text klauzúl k stavu roku 2026 štandardom; pri AI startupoch chýbajú audítorské práva, exit a sub-outsourcing klauzuly a stávajú sa blokátorom v procurement procese.

Prečo poskytovatelia AI služieb spadajú pod DORA

Ústredné nastavenie smeru pre AI projekty: AI systémy nie sú osobitným prípadom, ale podprípadom „sieťových a informačných systémov" podľa čl. 3 ods. 2 DORA. Usmernenie BaFin k IKT rizikám pri nasadení AI vo finančných subjektoch z 18. decembra 2025 to výslovne objasňuje a vťahuje tak úplný kánon povinností DORA do AI governance: čl. 5-15 (riadenie IKT rizík), čl. 24-27 (testy odolnosti vrátane Threat-Led Penetration Testing) a čl. 28-30 (riziko tretích strán v oblasti IKT). Adresátmi sú primárne inštitúcie podľa CRR a poisťovatelia podľa Solvency II.

Pre Švajčiarsko existuje analogický, nie úplne zhodný režim: dohľadové oznámenie FINMA 08/2024 z 18. decembra 2024 a obežník FINMA 2023/1 (operačné riziká a odolnosť) formujú očakávania voči externým dodávateľom IKT. V Rakúsku k stavu mája 2026 neexistuje formálne sektorové AI usmernenie FMA; rakúske inštitúcie sa orientujú prevažne podľa BaFin a EBA. Samotná DORA ako nariadenie EÚ platí v Nemecku a Rakúsku priamo.

Dôležité zaradenie vopred: tento článok je odborná orientácia, nie právne poradenstvo. Vzorové zmluvné klauzuly a ich prenos na konkrétny jednotlivý prípad je potrebné posúdiť advokátom.

Kánon klauzúl podľa čl. 30 DORA

Čl. 30 DORA vyžaduje, aby boli práva a povinnosti finančného subjektu a tretieho poskytovateľa IKT jasne pridelené a písomne zafixované. Nariadenie pritom oddeľuje dve úrovne: minimálny rozsah pre všetky IKT zmluvy (čl. 30 ods. 2) a rozšírený katalóg pre služby, ktoré podporujú kritickú alebo dôležitú funkciu (čl. 30 ods. 3).

Kánon klauzúl zahŕňa podľa systematiky DORA najmä povinné audítorské práva, exit klauzuly, kontroly sub-processorov a dohody o service-level so záväzkami týkajúcimi sa rezidencie dát, latencie a výpočtovej kapacity. Pri hyperscaleroch je tento text aktuálne štandardom; pri AI startupoch je častým blokátorom v procurement procese. Pozadie: DORA podstatne modifikovala skoršie EBA Outsourcing Guidelines (EBA/GL/2019/02) ako aj ESMA Outsourcing Guidelines (ESMA50-164-4285) a previedla ich do priamo platného nariaďovacieho štandardu.

Jednoduché verzus kritické/dôležité funkcie

Hĺbka povinností závisí od toho, či outsourcovaná IKT služba podporuje kritickú alebo dôležitú funkciu – teda funkciu, ktorej výpadok by podstatne narušil finančnú odolnosť, kontinuitu služieb alebo dodržiavanie podmienok povolenia inštitúcie. Táto klasifikácia je prvou úlohou každej tvorby zmlúv podľa DORA a rozhoduje o rozsahu zmluvy.

Pre AI službu znie hlavná otázka konkrétne: zasahuje agent do kritického procesu (napr. detekcia podvodov v reálnom čase v platobnom styku, regulačný reporting) alebo podporuje len následný, ľahko nahraditeľný pomocný proces (napr. interná tvorba textov bez väzby na zákaznícke dáta)? Pri kritických/dôležitých funkciách sa uplatňujú dodatočné požiadavky čl. 30 ods. 3: zdokumentované exit stratégie, úplné a neobmedzené audítorské práva, SLA s presnými kvantitatívnymi a kvalitatívnymi výkonnostnými cieľmi ako aj jednoznačné určenia lokalít dát.

Prehľad povinných klauzúl

Nasledujúca tabuľka priraďuje ústredné súčasti zmluvy k ich účelu a označuje, či platia pre všetky IKT zmluvy alebo sprísnene pre kritické/dôležité funkcie. Priradenie článkov sleduje systematiku DORA (čl. 30 ods. 2 pre minimálny rozsah, čl. 30 ods. 3 pre kritické/dôležité funkcie).

Klauzula

Účel

Povinnosť?

Opis služieb (Scope, funkcie, service-levels)

Jasný, úplný opis všetkých IKT služieb; základ pre riadenie a audit

Povinnosť (všetky zmluvy, čl. 30 ods. 2)

Lokality dát / miesta spracovania dát

Určenie, kde sa dáta ukladajú a spracúvajú; riadenie rezidencie a prístupu

Povinnosť (sprísnene pri kritických/dôležitých, čl. 30 ods. 3)

Audítorské a prístupové práva

Kontroly na mieste a inšpekcie zo strany inštitúcie, audítora a dohľadu

Povinnosť; neobmedzene pri kritických/dôležitých (čl. 30 ods. 3)

Výpoveď a exit stratégia

Usporiadané ukončenie bez prerušenia kritických funkcií; vrátenie dát, migrácia

Povinnosť; zdokumentovaná exit stratégia pri kritických/dôležitých (čl. 30 ods. 3)

Súhlas so sub-outsourcingom

Kontrola nad subdodávateľmi, ktorí spoluvykonávajú kritické/dôležité funkcie

Povinnosť pre kritické/dôležité funkcie (čl. 30 ods. 3)

Hlásenie incidentov

Povinnosť hlásiť IKT incidenty, aby inštitúcia dodržala lehoty podľa čl. 19

Povinnosť (čl. 30 v spojení s čl. 19)

SLA s cieľmi dostupnosti/bezpečnosti

Merateľné kvantitatívne a kvalitatívne výkonnostné ciele, monitoring, reporting

Povinnosť; presné cieľové hodnoty pri kritických/dôležitých (čl. 30 ods. 3)

Súčinnosť pri testoch odolnosti / TLPT

Podpora inštitúcie pri testoch podľa čl. 24-27

Povinnosť (kontext čl. 24-27)

Riziko koncentrácie a designácia CTPP

DORA sa nezameriava len na jednotlivú zmluvu, ale na systémové riziko koncentrácie. Európske orgány dohľadu (ESA) dňa 18. novembra 2025 prvýkrát designovali 19 kritických tretích poskytovateľov IKT služieb (Critical ICT Third-Party Providers, CTPP) – medzi nimi AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix a Swift. Týchto 19 poskytovateľov podlieha od roku 2026 priamemu dohľadu EÚ; DORA Joint Oversight Forum vykoná v priebehu roku 2026 prvé komplexné kontroly.

Pre tvorbu zmlúv na strane inštitúcie to má dva praktické dôsledky: exit plány sa musia každoročne testovať a multi-cloud stratégie sa fakticky vynucujú. Workloady AI agentov na hyperscaleroch zostávajú pod dodatočným pozorovaním. K stavu roku 2026 je otvorené, či inštitúcie kvôli tomu skutočne systematicky presadzujú multi-cloud alebo to zostane pri skôr symbolických exit plánoch – úplná multi-cloud AI architektúra pre banky je technicky a komerčne náročná. V praxi DACH z toho vyplýva preferovaný vzor sourcingu: suverénne alebo on-premise riešenia pre citlivé workloady, hyperscaler tam, kde sa riziko koncentrácie CTPP aktívne riadi.

Praktický príklad: zapojenie detekcie podvodov podporovanej AI

Poisťovateľ podľa Solvency II chce nasadiť AI agenta tretieho poskytovateľa pre detekciu podvodov v reálnom čase v platobnom styku. Kroky tvorby zmluvy v súlade s DORA možno načrtnúť takto:

  1. Klasifikácia: Detekcia podvodov je kritickou alebo dôležitou funkciou, pretože jej výpadok podstatne narúša kontinuitu služby. Tým platí rozšírený katalóg čl. 30 ods. 3.
  2. Opis služieb a SLA: Zmluva fixuje rozsah funkcií, dostupnosť a merateľné cieľové hodnoty. Napríklad v združení systém KIWI od Finanz Informatik kontroluje platobný styk podľa 460 kritérií – orientačný bod pre potrebnú presnosť opisu služieb a výkonnostných záväzkov.
  3. Lokality dát: Určenie, že tréningové a inferenčné dáta sa spracúvajú v rámci EÚ; pri švajčiarskych zákazníckych dátach treba zohľadniť očakávanie FINMA ohľadom uchovávania dát v CH.
  4. Audítorské práva a sub-outsourcing: Neobmedzené kontrolné práva pre inštitúciu a dohľad; každý subdodávateľ, ktorý spoluvykonáva kritickú funkciu, podlieha výhrade súhlasu.
  5. Hlásenie incidentov: Poskytovateľ je zmluvne zaviazaný hlásiť IKT incidenty tak bezodkladne, aby poisťovateľ mohol splniť svoju oznamovaciu povinnosť podľa čl. 19 DORA. Na zaradenie relevancie: v prvých troch štvrťrokoch 2025 bolo BaFin nahlásených 525 závažných IKT incidentov, približne 70 percent z nich od úverových inštitúcií.
  6. Exit: Zdokumentovaná exit stratégia s vrátením dát v použiteľnom formáte a podporou pri migrácii; exit plán sa každoročne testuje.

K tomu sa pridáva rozhranie k EU AI Act: pre finančné subjekty hlásenie incidentov podľa DORA podľa čl. 19 nahrádza oznamovaciu povinnosť podľa čl. 73 AI Act – s výnimkou hlásenia porušení základných práv. Dvojitým hláseniam sa tak možno vyhnúť, ak sú workflow vzájomne zladené.

Pre agentúry a B2B

Pre marketingové agentúry a B2B poskytovateľov, ktorí predávajú AI riešenia bankám alebo poisťovateľom, je posolstvo jednoznačné: bez kánonu klauzúl podľa čl. 30 výber dodávateľa pravidelne zlyháva vo finálnom kole. Kto od začiatku dodá v štandardnej zmluve audítorské práva, exit a sub-outsourcing klauzuly, záväzky ohľadom lokalít dát a spoľahlivý reťazec hlásenia incidentov, skráti procurement a vôbec sa kvalifikuje pre regulovaných zadávateľov. Pre B2B rozhodovateľov na strane inštitúcie sa odporúča štandardizovať klasifikáciu kritickosti ako prvý krok a škálovať zmluvné klauzuly podľa nej. Blck Alpaca sprevádza obsahové a komunikačné spracovanie takýchto compliance tém – právne posúdenie konkrétnych zmlúv zostáva úlohou advokáta.

Často kladené otázky

Pre koho platia zmluvné povinnosti DORA podľa čl. 28 a nasl.?
DORA (nariadenie (EÚ) 2022/2554) je určená finančným subjektom v rozsahu pôsobnosti nariadenia; usmernenie BaFin sa primárne zameriava na inštitúcie podľa CRR (banky) a poisťovateľov podľa Solvency II. Kto ako poskytovateľ IT/AI služieb pracuje pre takéto subjekty, musí akceptovať klauzuly podľa čl. 30, pretože inak nie je zmluvne spôsobilý. Nariadenie sa uplatňuje od 17. januára 2025.
Aký je rozdiel medzi jednoduchými a kritickými alebo dôležitými funkciami?
DORA rozlišuje podľa toho, či outsourcovaná IKT služba podporuje kritickú alebo dôležitú funkciu, teda funkciu, ktorej výpadok by podstatne narušil finančnú odolnosť alebo kontinuitu inštitúcie. Pre takéto funkcie platí plný katalóg klauzúl podľa čl. 30 ods. 3 (exit stratégia, úplné audítorské práva, SLA s merateľnými cieľmi, lokality dát). Pri nekritických funkciách platí znížený minimálny rozsah podľa čl. 30 ods. 2.
Sú štandardné cloudové zmluvy hyperscalerov už v súlade s DORA?
Pri veľkých hyperscaleroch je text zmluvných klauzúl podľa čl. 30 k stavu roku 2026 do veľkej miery štandardom, keďže títo poskytovatelia príslušne prispôsobili svoje zmluvy s finančnými zákazníkmi. AWS, Microsoft Azure, Google Cloud, Oracle, IBM a SAP navyše patria k 19 kritickým tretím poskytovateľom IKT služieb (CTPP) designovaným 18. novembra 2025 pod priamym dohľadom EÚ. Pri menších AI poskytovateľoch klauzuly často chýbajú a blokujú výber dodávateľa.
Čo musí spĺňať exit klauzula v súlade s DORA?
Exit klauzula musí zabezpečiť usporiadané ukončenie bez prerušenia kritických alebo dôležitých funkcií: práva na výpoveď (o. i. pri podstatných porušeniach zmluvy a pri nariadení dohľadu), primerané prechodné lehoty, vrátenie dát v použiteľnom formáte a podporu pri migrácii. Pre kritické/dôležité funkcie sa musia viesť zdokumentované exit stratégie; podľa požiadaviek DORA sa exit plány musia každoročne testovať.
Nahrádza hlásenie incidentov podľa DORA iné oznamovacie povinnosti?
Pre finančné subjekty hlásenie IKT incidentov podľa čl. 19 DORA nahrádza oznamovaciu povinnosť podľa čl. 73 EU AI Act, s výnimkou hlásenia porušení základných práv. V kontexte sa ukazuje relevancia: v prvých troch štvrťrokoch 2025 bolo BaFin nahlásených 525 závažných IKT incidentov, približne 70 percent z nich od úverových inštitúcií. Zmluva musí poskytovateľa zaviazať, aby incidenty hlásil tak, aby inštitúcia mohla dodržať vlastnú lehotu na hlásenie.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousPovinnosti DORA pre poskytovateľov AI, ktorí zásobujú finančné podnikyNextDORA testy odolnosti: TLPT (Threat-Led Penetration Testing) pre AI systémy vo finančnom sektore