Европейският регламент относно цифровата оперативна устойчивост на финансовия сектор (DORA) налага на финансовите субекти - и косвено на техните доставчици на ИКТ - изчерпателен регистър на договорите, точни договорни клаузи и датирани одиторски доказателства. SYAGA DORA-Express ви помага да отговорите на тези изисквания без импровизация, независимо дали сте финансов субект или доставчик.
DORA е регламент, а не директива: той се прилага пряко във всички държави членки, без да е нужно да се чака национален закон за транспониране.
Регламент (ЕС) 2022/2554 от 14 декември 2022 г., публикуван в Официален вестник на ЕС на 27 декември 2022 г., влязъл в сила на 16 януари 2023 г. и приложим от 17 януари 2025 г. Не се изисква национално транспониране: той е пряко приложим.
Всеки финансов субект трябва да поддържа актуален и ежегодно да предава на органите пълен регистър на своите договори за ИКТ: доставчик, естество на услугата, критичност на функцията, страна на хостинг на данните.
Права на одит и инспекция, гаранции за наличност и цялост на данните, тествани планове за напускане, уведомяване за инцидент без забавяне. Тези клаузи достигат до вас от вашия финансов клиент, ако сте негов доставчик на ИКТ.
Преди да подпише или поднови договор, банка, застраховател или инвеститор изпраща кибер въпросник (управление, MFA, EDR, криптиране, обучение). Отговарянето без документирано доказателство означава загуба на договора.
На 18-19 ноември 2025 г. европейските надзорни органи (EBA, ESMA, EIOPA) публикуваха първия официален списък на критичните доставчици на ИКТ по силата на член 32 на DORA. Сред имената, потвърдени от официалните съобщения: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (и 14 други доставчици, не потвърдени поименно в нашите източници).
Конкретно последствие: ако критичните ви услуги разчитат на един от тези доставчици, вашият финансов клиент вече трябва да го документира в своя регистър на ИКТ - и може да ви попита за собствената ви верига на подизпълнение.
Източник: официални съобщения на EIOPA и ESMA от 18-19 ноември 2025 г. (eiopa.europa.eu, esma.europa.eu).
Структурирано съдействие в 5 стъпки за документиране на вашето съответствие - без да обещаваме нещо, което нито инструмент, нито консултантска фирма могат да сертифицират вместо вас.
Вие ли сте пряко засегнат финансов субект (една от 21-те категории на член 2) или доставчик на ИКТ, засегнат косвено чрез договорните клаузи на вашите финансови клиенти (член 30)? Точният обхват определя всичко останало.
Отговаряме на вашия въпросник за надлежна проверка от банка, инвеститор или застраховател (управление, MFA, EDR, криптиране, обучение...), основавайки се на технически одит на вашия Microsoft 365 наемател като датирано и проверимо доказателство.
Помагаме ви да структурирате вашия регистър на договорите за ИКТ (чл. 28, §3) и да проверите или включите минималните и засилените договорни клаузи на член 30 във вашите договори с доставчици.
Нашият пакет ПВД/ПНД (план за възстановяване след бедствие / план за непрекъснатост на дейността) предлага секторен профил Финанси (DORA, PSD2, ACPR), който покрива изискванията за тестове на оперативна устойчивост от глава IV на DORA, съобразен с ISO 22301.
Предаване на вашето ръководство, директор по сигурността или финансов директор на консолидирано досие, с точните точки, които трябва да бъдат решени от вашия правен консултант преди всякакво съобщаване на органите.
Конкретни, документирани резултати, без обещание за сертификация, което никой не може да гарантира
10 типови въпроса за надлежна проверка банка/M&A, документирани и с посочен източник (ILPA DDQ, CSA CAIQ, кибер въпросници на застрахователи).
Документирано обобщение на Регламент (ЕС) 2022/2554.
Структура на изчерпателния регистър, изискван от органите.
За включване или проверка във вашите договори с доставчици на ИКТ.
План за непрекъснатост и възстановяване на дейността, специализиран секторен профил.
Формати PDF и DOCX, консолидиращи всички резултати.
Извадка от 10-те въпроса, които документираме за вас, с източника на всеки въпрос
| Тема | Въпрос | Източник |
|---|---|---|
| Управление | Основава ли се вашата политика за сигурност на признат стандарт (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Одит от трета страна | Извършвате ли годишен независим одит и тестове за проникване? | CSA CAIQ v4 |
| План за инциденти | Съществува ли официален, документиран и поддържан план за реакция при инцидент? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | За кои услуги налагате многофакторно удостоверяване? | Travelers - MFA Supplement |
| Привилегировани акаунти | Следват ли достъпите принципа на минимална привилегия, периодично преразглеждан? | CSA CAIQ v4 IAM |
| Поща | Какъв лиценз M365 използвате? Активен ли е Defender / разширено търсене на заплахи? | vCSO.ai Cyber DD Checklist |
| Криптиране | Дисковете на устройствата напълно криптирани ли са? | Google VSAQ |
| Обучение | Установена ли е програма за обучение по сигурност за всички служители? | CSA CAIQ v4 HRS |
Всеки резултат изрично посочва какво покрива - и какво не покрива
Регистър на ИКТ (чл. 28), договорни клаузи (чл. 30), срокове за уведомяване (чл. 19), референция към определените критични доставчици на ИКТ (чл. 32).
DORA е lex specialis по отношение на NIS2 за финансовия сектор: засегнатите субекти прилагат DORA вместо еквивалентните мерки на NIS2.
Профилът ПВД/ПНД Финанси е съобразен с ISO 22301, стандарт за управление на непрекъснатостта на дейността, използван в допълнение към DORA.
Уведомяването за инцидент по DORA (ACPR/AMF, френски органи) е отделно от уведомяването по GDPR (CNIL) при нарушение на лични данни: и двете могат да бъдат изисквани едновременно.
Всяко досие по DORA е различно според вашия статут - персонализирана оферта във всички случаи
Предоставяте услуги на един или няколко финансови субекта
Пряко засегнати сте от DORA (една от 21-те категории, чл. 2)
Редовна актуализация на досието (задължения, договори, регистър)
Свържете се с нас, за да получите персонализирана оферта според вашия статут (финансов субект или доставчик на ИКТ).
DORA, обяснена просто, без правен жаргон. Всяка точка по-долу препраща към официалния текст, който я потвърждава.
DORA се прилага за европейските финансови участници: банки, застрахователи, инвестиционни дружества, пазарни платформи, управители на фондове, доставчици на платежни услуги... както и за техните доставчици на информационни технологии. Много малките структури се ползват от облекчени правила.
Регламентът обхваща 6 основни теми: управление на ИТ риска, надзор на вашите външни доставчици, редовни тестове за устойчивост, докладване на сериозни инциденти, обмен на информация за заплахи и надзор на най-големите доставчици на информационни технологии.
Текстът е приет на 14 декември 2022 г., публикуван в Официален вестник на ЕС на 27 декември 2022 г. (ОВ L 333). Влиза в сила на 16 януари 2023 г. Задълженията са реално дължими от 17 януари 2025 г.
Най-големите доставчици на информационни технологии (облак, хостинг...), считани за „критични“ за финансовия сектор, вече се контролират пряко на европейско ниво, с водещ надзорен орган, който може да им налага мерки.
Преди DORA всяка страна от ЕС имаше свои собствени правила за докладване на сериозен ИТ инцидент. Сега се прилага единна европейска процедура: значимите инциденти се докладват директно на компетентните органи.
Текстът предвижда органите да публикуват административните санкции, които налагат. Точните размери на глобите не са уточнени в консултираните до момента източници - за потвърждаване с бъдещи официални уточнения.