Euroopa määrus finantssektori digitaalse operatiivse vastupidavuse kohta (DORA) nõuab finantsüksustelt - ja kaudselt ka nende IKT-teenusepakkujatelt - lepingute põhjalikku registrit, täpseid lepingutingimusi ja kuupäevastatud auditi tõendeid. SYAGA DORA-Express aitab teil neile nõuetele vastata ilma improviseerimata, olenemata sellest, kas olete finantsüksus või teenusepakkuja.
DORA on määrus, mitte direktiiv: see kehtib otse kõigis liikmesriikides, ilma et oleks vaja oodata siseriiklikku ülevõtmisseadust.
Määrus (EL) 2022/2554, vastu võetud 14. detsembril 2022, avaldatud ELT-s 27. detsembril 2022, jõustus 16. jaanuaril 2023 ja kohaldatav alates 17. jaanuarist 2025. Siseriiklikku ülevõtmist ei ole vaja: see on otse kohaldatav.
Iga finantsüksus peab pidama ja igal aastal ametiasutustele edastama täieliku registri oma IKT-lepingutest: teenusepakkuja, teenuse laad, funktsiooni kriitilisus, andmete majutamise riik.
Auditi- ja kontrolliõigused, andmete kättesaadavuse ja terviklikkuse garantiid, testitud väljumisplaanid, viivitamatu intsidendist teatamine. Need tingimused kanduvad teie finantskliendilt teie kui tema IKT-teenusepakkuja peale.
Enne lepingu allkirjastamist või pikendamist saadab pank, kindlustusandja või investor küberturbe küsimustiku (juhtimine, MFA, EDR, krüpteerimine, teadlikkuse tõstmine). Sellele vastamata jätmine ilma dokumenteeritud tõenditeta tähendab lepingu kaotamist.
18.-19. novembril 2025 avaldasid Euroopa järelevalveasutused (EBA, ESMA, EIOPA) esimese ametliku kriitiliste IKT-teenusepakkujate nimekirja DORA artikli 32 alusel. Ametlike teadaannete poolt kinnitatud nimede seas: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (ja 14 muud teenusepakkujat, keda meie allikad nimeliselt ei kinnita).
Konkreetne tagajärg: kui teie kriitilised teenused tuginevad ühele neist teenusepakkujatest, peab teie finantsklient seda nüüd oma IKT-registris dokumenteerima - ja võib küsitleda teid teie enda alltöövõtuahela kohta.
Allikas: EIOPA ja ESMA ametlikud teadaanded, 18.-19. november 2025 (eiopa.europa.eu, esma.europa.eu).
Struktureeritud tugi 5 etapis teie vastavuse dokumenteerimiseks - ilma lubamata seda, mida ei tööriist ega konsultatsioonifirma saa teie eest sertifitseerida.
Kas olete otse kohaldamisalasse kuuluv finantsüksus (üks artikli 2 kahekümne ühest kategooriast) või kaudselt puudutatud IKT-teenusepakkuja teie finantsklientide lepingutingimuste kaudu (artikkel 30)? Täpne ulatus määrab kogu ülejäänu.
Vastame teie panga, investori või kindlustusandja due diligence küsimustikule (juhtimine, MFA, EDR, krüpteerimine, teadlikkuse tõstmine...), tuginedes teie Microsoft 365 keskkonna tehnilisele auditile kui kuupäevastatud ja kontrollitavale tõendile.
Aitame teil struktureerida IKT-lepingute registrit (art. 28 §3) ning kontrollida või lisada artikli 30 miinimum- ja tugevdatud lepingutingimused teie teenusepakkuja-lepingutesse.
Meie PRA/PCA Suite pakub finantssektori profiili (DORA, PSD2, ACPR), mis katab DORA IV peatüki operatiivse vastupidavuse testimise nõuded, kooskõlas ISO 22301-ga.
Konsolideeritud toimiku üleandmine teie juhtkonnale, IT-turbejuhile või finantsjuhile, koos täpsete punktidega, mis tuleb enne mis tahes teavitamist ametiasutustele lasta otsustada teie õigusnõustajal.
Konkreetsed, allikatega tõestatud tulemid, ilma sertifitseerimise lubaduseta, mida keegi ei saa garanteerida
10 tüüpküsimust panga / M&A due diligence'ist, dokumenteeritud ja allikatega tõestatud (ILPA DDQ, CSA CAIQ, küberkindlustuse küsimustikud).
Määruse (EL) 2022/2554 allikatega tõestatud kokkuvõte.
Ametiasutuste poolt nõutava põhjaliku registri struktuur.
Lisamiseks või kontrollimiseks teie IKT-teenusepakkuja lepingutes.
Talitluspidevuse ja taastamise plaan, spetsiaalne sektoriprofiil.
PDF ja DOCX formaadid, mis konsolideerivad kõik tulemid.
Väljavõte 10 küsimusest, mida me teie eest dokumenteerime, iga küsimuse allikaga
| Teema | Küsimus | Allikas |
|---|---|---|
| Juhtimine | Kas teie turvapoliitika tugineb tunnustatud raamistikule (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Kolmanda osapoole audit | Kas teostate iga-aastast sõltumatut auditit ja läbitungimisteste? | CSA CAIQ v4 |
| Intsidendiplaan | Kas on olemas ametlik, dokumenteeritud ja hoitud intsidendile reageerimise plaan? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Milliste teenuste puhul nõuate mitmefaktorilist autentimist? | Travelers - MFA Supplement |
| Privilegeeritud kontod | Kas juurdepääsud järgivad minimaalse privileegi põhimõtet, mida perioodiliselt üle vaadatakse? | CSA CAIQ v4 IAM |
| E-post | Millist M365 litsentsi kasutate? Kas Defender / täiustatud ohtude jälitamine on aktiivne? | vCSO.ai Cyber DD Checklist |
| Krüpteerimine | Kas tööjaamade kettad on täielikult krüpteeritud? | Google VSAQ |
| Koolitus | Kas kõigile töötajatele on kehtestatud turbeteadlikkuse programm? | CSA CAIQ v4 HRS |
Iga tulem näitab selgelt, mida see katab - ja mida see ei kata
IKT-register (art. 28), lepingutingimused (art. 30), teatamistähtajad (art. 19), viide määratud kriitilistele IKT-teenusepakkujatele (art. 32).
DORA on NIS2 suhtes lex specialis finantssektoris: puudutatud üksused kohaldavad DORA-t vastavate NIS2 meetmete asemel.
PRA/PCA finantssektori profiil on kooskõlas ISO 22301-ga, talitluspidevuse juhtimise raamistikuga, mida kasutatakse DORA täienduseks.
DORA intsidendist teatamine (ACPR/AMF) on eraldiseisev GDPR teatamisest (CNIL) isikuandmete rikkumise korral: mõlemad võivad olla nõutavad samaaegselt.
Iga DORA toimik on erinev, olenevalt teie staatusest - personaalne hinnapakkumine igal juhul
Pakute teenuseid ühele või mitmele finantsüksusele
Olete otse DORA kohaldamisalas (üks 21 kategooriast, art. 2)
Toimiku regulaarne uuendamine (kohustused, lepingud, register)
Võtke meiega ühendust, et saada personaalne hinnapakkumine vastavalt teie staatusele (finantsüksus või IKT-teenusepakkuja).
DORA lihtsalt selgitatud, ilma õigusžargoonita. Iga allolev punkt viitab ametlikule tekstile, mis seda kinnitab.
DORA kehtib Euroopa finantsturu osalistele: pangad, kindlustusseltsid, investeerimisühingud, turuplatvormid, fondihaldurid, makseteenuse pakkujad... ning nende IT-teenusepakkujatele. Väga väikesed struktuurid saavad kergendatud reeglid.
Määrus katab 6 peamist teemat: IT-riski juhtimine, väliste teenusepakkujate järelevalve, regulaarsed vastupidavustestid, tõsiste intsidentide teavitamine, ohuinfo jagamine ning suurimate IT-teenusepakkujate järelevalve.
Tekst vastu võetud 14. detsembril 2022, avaldatud EL Teatajas 27. detsembril 2022 (ELT L 333). Jõustus 16. jaanuaril 2023. Kohustused kehtivad tegelikult alates 17. jaanuarist 2025.
Suurimad IT-teenusepakkujad (pilv, majutus...), keda peetakse finantssektori jaoks „kriitiliseks", on nüüd otse Euroopa tasandil kontrollitud, koos juhtiva järelevalvajaga, kes võib neile meetmeid kehtestada.
Enne DORA-t oli igal ELi riigil oma reeglid tõsise IT-intsidendi teatamiseks. Nüüd kehtib ühtne Euroopa kord: suured intsidendid teatatakse otse pädevatele ametiasutustele.
Tekst näeb ette, et ametiasutused avaldavad nende poolt määratud haldussanktsioonid. Täpsed trahvisummad ei ole seni konsulteeritud allikates fikseeritud - tuleb kinnitada ametlike täpsustuste käigus.