MÄÄRUS (EL) 2022/2554 - KOHALDATAV ALATES 17. JAANUARIST 2025

Teie DORA vastavus,
dokumenteeritud ja kaitstav

Euroopa määrus finantssektori digitaalse operatiivse vastupidavuse kohta (DORA) nõuab finantsüksustelt - ja kaudselt ka nende IKT-teenusepakkujatelt - lepingute põhjalikku registrit, täpseid lepingutingimusi ja kuupäevastatud auditi tõendeid. SYAGA DORA-Express aitab teil neile nõuetele vastata ilma improviseerimata, olenemata sellest, kas olete finantsüksus või teenusepakkuja.

17.01
Kohaldatav alates 2025
21
Puudutatud üksuste kategooriat (art. 2)
4h
Suure intsidendi teatamise tähtaeg
19
Juba määratud kriitilist IKT-teenusepakkujat

Õiguslik kontekst

DORA on määrus, mitte direktiiv: see kehtib otse kõigis liikmesriikides, ilma et oleks vaja oodata siseriiklikku ülevõtmisseadust.

DORA kehtib otse alates 17. jaanuarist 2025

Määrus (EL) 2022/2554, vastu võetud 14. detsembril 2022, avaldatud ELT-s 27. detsembril 2022, jõustus 16. jaanuaril 2023 ja kohaldatav alates 17. jaanuarist 2025. Siseriiklikku ülevõtmist ei ole vaja: see on otse kohaldatav.

📋

Nõutav on põhjalik IKT-register (art. 28 §3)

Iga finantsüksus peab pidama ja igal aastal ametiasutustele edastama täieliku registri oma IKT-lepingutest: teenusepakkuja, teenuse laad, funktsiooni kriitilisus, andmete majutamise riik.

📄

Teie lepingud peavad sisaldama täpseid tingimusi (art. 30)

Auditi- ja kontrolliõigused, andmete kättesaadavuse ja terviklikkuse garantiid, testitud väljumisplaanid, viivitamatu intsidendist teatamine. Need tingimused kanduvad teie finantskliendilt teie kui tema IKT-teenusepakkuja peale.

📧

Due diligence küsimustik on juba teie postkastis

Enne lepingu allkirjastamist või pikendamist saadab pank, kindlustusandja või investor küberturbe küsimustiku (juhtimine, MFA, EDR, krüpteerimine, teadlikkuse tõstmine). Sellele vastamata jätmine ilma dokumenteeritud tõenditeta tähendab lepingu kaotamist.

18. novembri 2025 pöördepunkt

Teie pilveteenuse pakkujad on äsja ametlikult määratud „kriitiliseks"

18.-19. novembril 2025 avaldasid Euroopa järelevalveasutused (EBA, ESMA, EIOPA) esimese ametliku kriitiliste IKT-teenusepakkujate nimekirja DORA artikli 32 alusel. Ametlike teadaannete poolt kinnitatud nimede seas: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (ja 14 muud teenusepakkujat, keda meie allikad nimeliselt ei kinnita).

Konkreetne tagajärg: kui teie kriitilised teenused tuginevad ühele neist teenusepakkujatest, peab teie finantsklient seda nüüd oma IKT-registris dokumenteerima - ja võib küsitleda teid teie enda alltöövõtuahela kohta.

Allikas: EIOPA ja ESMA ametlikud teadaanded, 18.-19. november 2025 (eiopa.europa.eu, esma.europa.eu).

Meie lahendus: DORA-Express

Struktureeritud tugi 5 etapis teie vastavuse dokumenteerimiseks - ilma lubamata seda, mida ei tööriist ega konsultatsioonifirma saa teie eest sertifitseerida.

1
Etapp 1 - Kvalifitseerimine

Tuvastame teie tegeliku ekspositsiooni

Kas olete otse kohaldamisalasse kuuluv finantsüksus (üks artikli 2 kahekümne ühest kategooriast) või kaudselt puudutatud IKT-teenusepakkuja teie finantsklientide lepingutingimuste kaudu (artikkel 30)? Täpne ulatus määrab kogu ülejäänu.

2
Etapp 2 - Due diligence

Vastus teie küberturbe küsimustikule

Vastame teie panga, investori või kindlustusandja due diligence küsimustikule (juhtimine, MFA, EDR, krüpteerimine, teadlikkuse tõstmine...), tuginedes teie Microsoft 365 keskkonna tehnilisele auditile kui kuupäevastatud ja kontrollitavale tõendile.

3
Etapp 3 - Register ja lepingud

IKT-register ja artikli 30 tingimused

Aitame teil struktureerida IKT-lepingute registrit (art. 28 §3) ning kontrollida või lisada artikli 30 miinimum- ja tugevdatud lepingutingimused teie teenusepakkuja-lepingutesse.

4
Etapp 4 - Talitluspidevus ja vastupidavus

PRA/PCA finantssektori profiil

Meie PRA/PCA Suite pakub finantssektori profiili (DORA, PSD2, ACPR), mis katab DORA IV peatüki operatiivse vastupidavuse testimise nõuded, kooskõlas ISO 22301-ga.

5
Etapp 5 - Üleandmine

Dokumenteeritud vastavustoimik

Konsolideeritud toimiku üleandmine teie juhtkonnale, IT-turbejuhile või finantsjuhile, koos täpsete punktidega, mis tuleb enne mis tahes teavitamist ametiasutustele lasta otsustada teie õigusnõustajal.

Mida te saate

Konkreetsed, allikatega tõestatud tulemid, ilma sertifitseerimise lubaduseta, mida keegi ei saa garanteerida

📝

Küberturbe due diligence vastused

10 tüüpküsimust panga / M&A due diligence'ist, dokumenteeritud ja allikatega tõestatud (ILPA DDQ, CSA CAIQ, küberkindlustuse küsimustikud).

  • Turvapoliitika / tunnustatud raamistik
  • MFA, minimaalne privileeg, privilegeeritud kontod
  • M365 litsents, EDR / ohtude jälitamine
  • Vananenud protokollid, ketaste krüpteerimine
  • Teadlikkuse tõstmise programm
📄

DORA viitedokument

Määruse (EL) 2022/2554 allikatega tõestatud kokkuvõte.

  • Ulatus: 21 üksuse kategooriat (art. 2)
  • 5 kohustuste valdkonda
  • Teatamistähtajad (4h / 72h / 1 kuu)
  • Seos NIS2-ga (lex specialis)
📋

IKT-register (mall art. 28 §3)

Ametiasutuste poolt nõutava põhjaliku registri struktuur.

  • Teenusepakkuja ja teenuse laad
  • Toetatava funktsiooni kriitilisus
  • Andmete majutamise riik
  • Iga-aastaseks edastamiseks valmis vorming
🔐

Lepingutingimused (mall art. 30)

Lisamiseks või kontrollimiseks teie IKT-teenusepakkuja lepingutes.

  • Miinimumtingimused (kõik lepingud)
  • Tugevdatud tingimused (kriitilised funktsioonid)
  • Auditi- ja kontrolliõigused
  • Väljumisplaanid ja andmete väljavõetavus
🏗

PRA/PCA finantssektori profiil

Talitluspidevuse ja taastamise plaan, spetsiaalne sektoriprofiil.

  • DORA IV peatüki (vastupidavustestid) kate
  • Kooskõlas ISO 22301-ga
  • DORA / PSD2 / ACPR sektoriprofiil
  • Pärineb meie olemasolevast PRA/PCA Suite'ist
💾

Dokumenteeritud vastavustoimik

PDF ja DOCX formaadid, mis konsolideerivad kõik tulemid.

  • Valmis teie juhtkonnale / IT-turbejuhile / finantsjuhile
  • Teie advokaadi poolt kinnitamist vajavad punktid märgitud
  • Alus teie suhtluseks ACPR / AMF-iga
  • Muudetav iga-aastaseks uuendamiseks

Näide: panga due diligence küsimustik

Väljavõte 10 küsimusest, mida me teie eest dokumenteerime, iga küsimuse allikaga

Teema Küsimus Allikas
Juhtimine Kas teie turvapoliitika tugineb tunnustatud raamistikule (NIST, ISO 27001)? ILPA DDQ 2.0
Kolmanda osapoole audit Kas teostate iga-aastast sõltumatut auditit ja läbitungimisteste? CSA CAIQ v4
Intsidendiplaan Kas on olemas ametlik, dokumenteeritud ja hoitud intsidendile reageerimise plaan? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Milliste teenuste puhul nõuate mitmefaktorilist autentimist? Travelers - MFA Supplement
Privilegeeritud kontod Kas juurdepääsud järgivad minimaalse privileegi põhimõtet, mida perioodiliselt üle vaadatakse? CSA CAIQ v4 IAM
E-post Millist M365 litsentsi kasutate? Kas Defender / täiustatud ohtude jälitamine on aktiivne? vCSO.ai Cyber DD Checklist
Krüpteerimine Kas tööjaamade kettad on täielikult krüpteeritud? Google VSAQ
Koolitus Kas kõigile töötajatele on kehtestatud turbeteadlikkuse programm? CSA CAIQ v4 HRS

Kaetud õigusaktid ja raamistikud

Iga tulem näitab selgelt, mida see katab - ja mida see ei kata

DO

DORA (Määrus EL 2022/2554)

IKT-register (art. 28), lepingutingimused (art. 30), teatamistähtajad (art. 19), viide määratud kriitilistele IKT-teenusepakkujatele (art. 32).

N2

NIS2 - seos DORA-ga

DORA on NIS2 suhtes lex specialis finantssektoris: puudutatud üksused kohaldavad DORA-t vastavate NIS2 meetmete asemel.

ISO

ISO 22301 - talitluspidevus

PRA/PCA finantssektori profiil on kooskõlas ISO 22301-ga, talitluspidevuse juhtimise raamistikuga, mida kasutatakse DORA täienduseks.

RG

GDPR - eraldiseisev teatamine

DORA intsidendist teatamine (ACPR/AMF) on eraldiseisev GDPR teatamisest (CNIL) isikuandmete rikkumise korral: mõlemad võivad olla nõutavad samaaegselt.

Teie olukorrale kohandatud tugi

Iga DORA toimik on erinev, olenevalt teie staatusest - personaalne hinnapakkumine igal juhul

IKT-teenusepakkuja

Pakute teenuseid ühele või mitmele finantsüksusele

Hinnapakkumine
olenevalt ulatusest
  • Küberturbe due diligence vastus
  • IKT-register teenusepakkuja poolelt
  • Artikli 30 tingimuste ülevaatus
  • Edastamiseks valmis dokumenteeritud toimik
Küsi pakkumist

Iga-aastane järelevalve

Toimiku regulaarne uuendamine (kohustused, lepingud, register)

Hinnapakkumine
korduv
  • IKT-registri uuendamine
  • Lepingutingimuste iga-aastane ülevaatus
  • Määratud kriitiliste teenusepakkujate jälgimine
  • Tugi teie klientide due diligence'ide jaoks
Küsi pakkumist

Korduma kippuvad küsimused

Kas minu ettevõte on DORA-ga puudutatud finantsüksus?
DORA artikkel 2 loetleb 21 finantsüksuse kategooriat: krediidi- ja makseasutused, investeerimisühingud, MiCA-litsentsiga krüptovara teenusepakkujad, kindlustus ja edasikindlustus, fondihaldus, reitinguagentuurid ja teised. Mikroettevõtted (vähem kui 10 töötajat, käive või bilanss alla 2 miljoni euro) saavad teatud kohustuste puhul proportsionaalsuse eelise, kuid ei ole täielikult välja jäetud. Tuleb kontrollida iga juhtumi puhul eraldi koos õigusnõustajaga.
Ma ei ole pank, miks DORA mind ikkagi puudutab?
Kui pakute IKT-teenuseid (IT, pilv, tarkvara, majutus) finantsüksusele, kohustab artikkel 30 teie klienti teid oma registrisse kandma ja teile lepinguliselt kehtestama täpsed tingimused: auditiõigused, viivitamatu intsidendist teatamine, väljumisplaanid. Need kohustused liiguvad teie kliendi lepingu kaudu, mitte ametiasutuse otsese järelevalve kaudu - välja arvatud juhul, kui olete ise määratud kriitiliseks IKT-teenusepakkujaks (artikkel 31).
Millised on suure IKT-intsidendi teatamise tähtajad?
Artikkel 19: esialgne teatamine 4 tunni jooksul pärast suureks intsidendiks klassifitseerimist (maksimaalselt 24 tundi pärast avastamist), vaheraport 72 tunni jooksul, lõppraport 1 kuu jooksul. Need teatised on eraldiseisvad võimalikust GDPR teatamisest CNIL-ile isikuandmete rikkumise korral.
Mis on „kriitiline IKT-teenusepakkuja"?
Need on teenusepakkujad, kelle on selgesõnaliselt määranud Euroopa järelevalveasutused (EBA, ESMA, EIOPA) süsteemse mõju, asendatavuse ja sõltuvuse kriteeriumide alusel (artikkel 31). Esimene ametlik nimekiri, avaldatud 18.-19. novembril 2025, sisaldab 19 teenusepakkujat. Nende suhtes kohaldatakse otsest järelevalvet (inspektsioonid, laiendatud aruandlus); teised IKT-teenusepakkujad jäävad reguleerituks ainult oma finantsklientide lepingutingimuste kaudu.
Kas DORA asendab NIS2 minu sektoris?
Jah, artikli 2 tähenduses finantsüksuste puhul: DORA on lex specialis NIS2 suhtes finantssektoris. 21 puudutatud kategooriat kohaldavad DORA-t vastavate NIS2 riskijuhtimise ja intsidentidest teatamise meetmete asemel.
Kas see teenus kujutab endast õigusnõustamist?
Ei. DORA-Express on dokumenteerimise tugivahend, mitte õigusnõustamine. Teie organisatsiooni täpne allutatus DORA-le ja teie lepingute õiguslik vastavus tuleb enne mis tahes siduvat otsust kinnitada spetsialiseerunud advokaadi poolt.

Valmis oma DORA vastavust dokumenteerima?

Võtke meiega ühendust, et saada personaalne hinnapakkumine vastavalt teie staatusele (finantsüksus või IKT-teenusepakkuja).

DORA-Express on dokumenteerimise tugivahend ega kujuta endast õigusnõustamist. Teie organisatsiooni allutatus DORA-le ja teie lepingute ning registrite õiguslik kehtivus tuleb kinnitada spetsialiseerunud advokaadi poolt.

Õigusaktide jälgimine - ametlikud allikad

DORA lihtsalt selgitatud, ilma õigusžargoonita. Iga allolev punkt viitab ametlikule tekstile, mis seda kinnitab.

Keda see puudutab?

DORA kehtib Euroopa finantsturu osalistele: pangad, kindlustusseltsid, investeerimisühingud, turuplatvormid, fondihaldurid, makseteenuse pakkujad... ning nende IT-teenusepakkujatele. Väga väikesed struktuurid saavad kergendatud reeglid.

ametlik allikas (EUR-Lex) ↗

Mida DORA teilt konkreetselt nõuab

Määrus katab 6 peamist teemat: IT-riski juhtimine, väliste teenusepakkujate järelevalve, regulaarsed vastupidavustestid, tõsiste intsidentide teavitamine, ohuinfo jagamine ning suurimate IT-teenusepakkujate järelevalve.

ametlik allikas (EIOPA) ↗

Meelespidamist väärt kuupäevad

Tekst vastu võetud 14. detsembril 2022, avaldatud EL Teatajas 27. detsembril 2022 (ELT L 333). Jõustus 16. jaanuaril 2023. Kohustused kehtivad tegelikult alates 17. jaanuarist 2025.

allikas EUR-Lex ↗ · allikas ESMA ↗

Ka teie IT-teenusepakkujad on järelevalve all

Suurimad IT-teenusepakkujad (pilv, majutus...), keda peetakse finantssektori jaoks „kriitiliseks", on nüüd otse Euroopa tasandil kontrollitud, koos juhtiva järelevalvajaga, kes võib neile meetmeid kehtestada.

ametlik allikas (EIOPA) ↗

Intsidentidest teatamine lõpuks ühtlustatud

Enne DORA-t oli igal ELi riigil oma reeglid tõsise IT-intsidendi teatamiseks. Nüüd kehtib ühtne Euroopa kord: suured intsidendid teatatakse otse pädevatele ametiasutustele.

allikas EUR-Lex ↗

Ja sanktsioonid?

Tekst näeb ette, et ametiasutused avaldavad nende poolt määratud haldussanktsioonid. Täpsed trahvisummad ei ole seni konsulteeritud allikates fikseeritud - tuleb kinnitada ametlike täpsustuste käigus.

allikas EUR-Lex (põhjendus 97) ↗