РЕГЛАМЕНТ (ЕС) 2022/2554 - ПРИЛОЖИМ ОТ 17 ЯНУАРИ 2025 Г.

Вашето съответствие с DORA,
документирано и защитимо

Европейският регламент относно цифровата оперативна устойчивост на финансовия сектор (DORA) налага на финансовите субекти - и косвено на техните доставчици на ИКТ - изчерпателен регистър на договорите, точни договорни клаузи и датирани одиторски доказателства. SYAGA DORA-Express ви помага да отговорите на тези изисквания без импровизация, независимо дали сте финансов субект или доставчик.

17/01
Приложим от 2025 г.
21
Категории засегнати субекти (чл. 2)
Срок за уведомяване за значим инцидент
19
Вече определени критични доставчици на ИКТ

Регулаторният контекст

DORA е регламент, а не директива: той се прилага пряко във всички държави членки, без да е нужно да се чака национален закон за транспониране.

DORA се прилага пряко от 17 януари 2025 г.

Регламент (ЕС) 2022/2554 от 14 декември 2022 г., публикуван в Официален вестник на ЕС на 27 декември 2022 г., влязъл в сила на 16 януари 2023 г. и приложим от 17 януари 2025 г. Не се изисква национално транспониране: той е пряко приложим.

📋

Изисква се изчерпателен регистър на ИКТ (чл. 28, §3)

Всеки финансов субект трябва да поддържа актуален и ежегодно да предава на органите пълен регистър на своите договори за ИКТ: доставчик, естество на услугата, критичност на функцията, страна на хостинг на данните.

📄

Вашите договори трябва да съдържат точни клаузи (чл. 30)

Права на одит и инспекция, гаранции за наличност и цялост на данните, тествани планове за напускане, уведомяване за инцидент без забавяне. Тези клаузи достигат до вас от вашия финансов клиент, ако сте негов доставчик на ИКТ.

📧

Въпросникът за надлежна проверка вече е в пощенската ви кутия

Преди да подпише или поднови договор, банка, застраховател или инвеститор изпраща кибер въпросник (управление, MFA, EDR, криптиране, обучение). Отговарянето без документирано доказателство означава загуба на договора.

Спусъкът от 18 ноември 2025 г.

Вашите облачни доставчици току-що бяха официално определени като „критични“

На 18-19 ноември 2025 г. европейските надзорни органи (EBA, ESMA, EIOPA) публикуваха първия официален списък на критичните доставчици на ИКТ по силата на член 32 на DORA. Сред имената, потвърдени от официалните съобщения: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (и 14 други доставчици, не потвърдени поименно в нашите източници).

Конкретно последствие: ако критичните ви услуги разчитат на един от тези доставчици, вашият финансов клиент вече трябва да го документира в своя регистър на ИКТ - и може да ви попита за собствената ви верига на подизпълнение.

Източник: официални съобщения на EIOPA и ESMA от 18-19 ноември 2025 г. (eiopa.europa.eu, esma.europa.eu).

Нашето решение: DORA-Express

Структурирано съдействие в 5 стъпки за документиране на вашето съответствие - без да обещаваме нещо, което нито инструмент, нито консултантска фирма могат да сертифицират вместо вас.

1
Стъпка 1 - Квалификация

Идентифицираме вашата реална експозиция

Вие ли сте пряко засегнат финансов субект (една от 21-те категории на член 2) или доставчик на ИКТ, засегнат косвено чрез договорните клаузи на вашите финансови клиенти (член 30)? Точният обхват определя всичко останало.

2
Стъпка 2 - Надлежна проверка

Отговор на вашия кибер въпросник

Отговаряме на вашия въпросник за надлежна проверка от банка, инвеститор или застраховател (управление, MFA, EDR, криптиране, обучение...), основавайки се на технически одит на вашия Microsoft 365 наемател като датирано и проверимо доказателство.

3
Стъпка 3 - Регистър и договори

Регистър на ИКТ и клаузи по член 30

Помагаме ви да структурирате вашия регистър на договорите за ИКТ (чл. 28, §3) и да проверите или включите минималните и засилените договорни клаузи на член 30 във вашите договори с доставчици.

4
Стъпка 4 - Непрекъснатост и устойчивост

ПВД/ПНД секторен профил Финанси

Нашият пакет ПВД/ПНД (план за възстановяване след бедствие / план за непрекъснатост на дейността) предлага секторен профил Финанси (DORA, PSD2, ACPR), който покрива изискванията за тестове на оперативна устойчивост от глава IV на DORA, съобразен с ISO 22301.

5
Стъпка 5 - Представяне

Документирано досие за съответствие

Предаване на вашето ръководство, директор по сигурността или финансов директор на консолидирано досие, с точните точки, които трябва да бъдат решени от вашия правен консултант преди всякакво съобщаване на органите.

Какво получавате

Конкретни, документирани резултати, без обещание за сертификация, което никой не може да гарантира

📝

Отговори за надлежна проверка кибер

10 типови въпроса за надлежна проверка банка/M&A, документирани и с посочен източник (ILPA DDQ, CSA CAIQ, кибер въпросници на застрахователи).

  • Политика за сигурност / признат стандарт
  • MFA, минимална привилегия, привилегировани акаунти
  • Лиценз M365, EDR / търсене на заплахи
  • Остарели протоколи, криптиране на дискове
  • Програма за обучение
📄

Референтен лист за DORA

Документирано обобщение на Регламент (ЕС) 2022/2554.

  • Обхват: 21 категории субекти (чл. 2)
  • 5 области на задължения
  • Срокове за уведомяване (4ч / 72ч / 1 месец)
  • Съотношение с NIS2 (lex specialis)
📋

Регистър на ИКТ (шаблон чл. 28, §3)

Структура на изчерпателния регистър, изискван от органите.

  • Доставчик и естество на услугата
  • Критичност на поддържаната функция
  • Страна на хостинг на данните
  • Формат, готов за годишно предаване
🔐

Договорни клаузи (шаблон чл. 30)

За включване или проверка във вашите договори с доставчици на ИКТ.

  • Минимални клаузи (всички договори)
  • Засилени клаузи (критични функции)
  • Права на одит и инспекция
  • Планове за напускане и извличаемост на данните
🏗

ПВД/ПНД профил Финанси

План за непрекъснатост и възстановяване на дейността, специализиран секторен профил.

  • Покритие на глава IV на DORA (тестове за устойчивост)
  • Съобразен с ISO 22301
  • Секторен профил DORA / PSD2 / ACPR
  • Произлиза от нашия съществуващ пакет ПВД/ПНД
💾

Документирано досие за съответствие

Формати PDF и DOCX, консолидиращи всички резултати.

  • Готово за вашето ръководство / директор по сигурността / финансов директор
  • Отбелязани точки за потвърждение от вашия адвокат
  • База за общуването ви с ACPR / AMF (френски органи)
  • Редактируемо за годишна актуализация

Пример: въпросникът за надлежна проверка от банка

Извадка от 10-те въпроса, които документираме за вас, с източника на всеки въпрос

Тема Въпрос Източник
Управление Основава ли се вашата политика за сигурност на признат стандарт (NIST, ISO 27001)? ILPA DDQ 2.0
Одит от трета страна Извършвате ли годишен независим одит и тестове за проникване? CSA CAIQ v4
План за инциденти Съществува ли официален, документиран и поддържан план за реакция при инцидент? CSA CAIQ v4 / ILPA DDQ 2.0
MFA За кои услуги налагате многофакторно удостоверяване? Travelers - MFA Supplement
Привилегировани акаунти Следват ли достъпите принципа на минимална привилегия, периодично преразглеждан? CSA CAIQ v4 IAM
Поща Какъв лиценз M365 използвате? Активен ли е Defender / разширено търсене на заплахи? vCSO.ai Cyber DD Checklist
Криптиране Дисковете на устройствата напълно криптирани ли са? Google VSAQ
Обучение Установена ли е програма за обучение по сигурност за всички служители? CSA CAIQ v4 HRS

Обхванати текстове и стандарти

Всеки резултат изрично посочва какво покрива - и какво не покрива

DO

DORA (Регламент (ЕС) 2022/2554)

Регистър на ИКТ (чл. 28), договорни клаузи (чл. 30), срокове за уведомяване (чл. 19), референция към определените критични доставчици на ИКТ (чл. 32).

N2

NIS2 - съотношение с DORA

DORA е lex specialis по отношение на NIS2 за финансовия сектор: засегнатите субекти прилагат DORA вместо еквивалентните мерки на NIS2.

ISO

ISO 22301 - непрекъснатост на дейността

Профилът ПВД/ПНД Финанси е съобразен с ISO 22301, стандарт за управление на непрекъснатостта на дейността, използван в допълнение към DORA.

RG

GDPR - отделно уведомяване

Уведомяването за инцидент по DORA (ACPR/AMF, френски органи) е отделно от уведомяването по GDPR (CNIL) при нарушение на лични данни: и двете могат да бъдат изисквани едновременно.

Съдействие, съобразено с вашата ситуация

Всяко досие по DORA е различно според вашия статут - персонализирана оферта във всички случаи

Доставчик на ИКТ

Предоставяте услуги на един или няколко финансови субекта

Оферта
според обхвата
  • Отговор за надлежна проверка кибер
  • Регистър на ИКТ от страна на доставчика
  • Преглед на клаузите по член 30
  • Документирано досие, готово за предаване
Заявка за оферта

Годишно проследяване

Редовна актуализация на досието (задължения, договори, регистър)

Оферта
повтарящо се
  • Актуализация на регистъра на ИКТ
  • Годишен преглед на договорните клаузи
  • Наблюдение на определените критични доставчици
  • Поддръжка за вашите надлежни проверки на клиенти
Заявка за оферта

Често задавани въпроси

Моята компания финансов субект ли е, засегнат от DORA?
Член 2 на DORA изброява 21 категории финансови субекти: кредитни и платежни институции, инвестиционни фирми, доставчици на крипто-активи, лицензирани по MiCA, застраховане и презастраховане, управление на фондове, агенции за кредитен рейтинг и други. Микропредприятията (под 10 служители, оборот или баланс под 2 млн. евро) се ползват от пропорционалност по отношение на определени задължения, но не са напълно изключени. Проверявайте за всеки случай с правен консултант.
Не съм банка, защо все пак ме засяга DORA?
Ако предоставяте услуги на ИКТ (информатика, облак, софтуер, хостинг) на финансов субект, член 30 задължава вашия клиент да ви включи в своя регистър и договорно да ви наложи точни клаузи: права на одит, уведомяване за инцидент без забавяне, планове за напускане. Тези задължения преминават през договора на вашия клиент, а не чрез пряк надзор от органа - освен ако самите вие не сте определени за критичен доставчик на ИКТ (член 31).
Какви са сроковете за уведомяване за значим ИКТ инцидент?
Член 19: първоначално уведомяване до 4 часа след класификацията като значим инцидент (максимум 24 часа след откриването), междинен доклад до 72 часа, окончателен доклад до 1 месец. Тези уведомявания са отделни от евентуално уведомяване по GDPR до CNIL (френски орган) при нарушение на лични данни.
Какво е „критичен доставчик на ИКТ“?
Това са доставчици, изрично определени от европейските надзорни органи (EBA, ESMA, EIOPA) съгласно критерии за системно въздействие, заменяемост и зависимост (член 31). Първият официален списък, публикуван на 18-19 ноември 2025 г., включва 19 доставчици. Те са обект на пряк надзор (инспекции, разширено отчитане); останалите доставчици на ИКТ остават регулирани само чрез договорните клаузи на техните финансови клиенти.
Замества ли DORA NIS2 за моя сектор?
Да, за финансовите субекти по смисъла на член 2: DORA представлява lex specialis спрямо NIS2 за финансовия сектор. 21-те засегнати категории прилагат DORA вместо еквивалентните мерки на NIS2 относно управлението на риска и уведомяването за инциденти.
Представлява ли тази услуга правен съвет?
Не. DORA-Express е инструмент за документално подпомагане, а не правен съвет. Точното подчиняване на вашата организация на DORA и правното съответствие на вашите договори трябва да бъдат потвърдени от специализиран адвокат преди всяко обвързващо решение.

Готови ли сте да документирате вашето съответствие с DORA?

Свържете се с нас, за да получите персонализирана оферта според вашия статут (финансов субект или доставчик на ИКТ).

DORA-Express е инструмент за документално подпомагане и не представлява правен съвет. Подчиняването на вашата организация на DORA и правната валидност на вашите договори и регистри трябва да бъдат потвърдени от специализиран адвокат.

Регулаторно наблюдение - официални източници

DORA, обяснена просто, без правен жаргон. Всяка точка по-долу препраща към официалния текст, който я потвърждава.

Кой е засегнат?

DORA се прилага за европейските финансови участници: банки, застрахователи, инвестиционни дружества, пазарни платформи, управители на фондове, доставчици на платежни услуги... както и за техните доставчици на информационни технологии. Много малките структури се ползват от облекчени правила.

официален източник (EUR-Lex) ↗

Какво изисква DORA от вас конкретно

Регламентът обхваща 6 основни теми: управление на ИТ риска, надзор на вашите външни доставчици, редовни тестове за устойчивост, докладване на сериозни инциденти, обмен на информация за заплахи и надзор на най-големите доставчици на информационни технологии.

официален източник (EIOPA) ↗

Датите, които трябва да се запомнят

Текстът е приет на 14 декември 2022 г., публикуван в Официален вестник на ЕС на 27 декември 2022 г. (ОВ L 333). Влиза в сила на 16 януари 2023 г. Задълженията са реално дължими от 17 януари 2025 г.

източник EUR-Lex ↗ · източник ESMA ↗

И вашите доставчици на ИТ са под наблюдение

Най-големите доставчици на информационни технологии (облак, хостинг...), считани за „критични“ за финансовия сектор, вече се контролират пряко на европейско ниво, с водещ надзорен орган, който може да им налага мерки.

официален източник (EIOPA) ↗

Най-сетне хармонизирано докладване на инциденти

Преди DORA всяка страна от ЕС имаше свои собствени правила за докладване на сериозен ИТ инцидент. Сега се прилага единна европейска процедура: значимите инциденти се докладват директно на компетентните органи.

източник EUR-Lex ↗

А санкциите?

Текстът предвижда органите да публикуват административните санкции, които налагат. Точните размери на глобите не са уточнени в консултираните до момента източници - за потвърждаване с бъдещи официални уточнения.

източник EUR-Lex (съображение 97) ↗