UREDBA (EU) 2022/2554 - PRIMJENJUJE SE OD 17. SIJEČNJA 2025.

Vaša DORA sukladnost,
dokumentirana i obranjiva

Europska uredba o digitalnoj operativnoj otpornosti financijskog sektora (DORA) nameže financijskim subjektima - a posljedično i njihovim pružateljima usluga IKT-a - iscrpan registar ugovora, precizne ugovorne odredbe i datirane revizijske dokaze. SYAGA DORA-Express pomaže vam odgovoriti na te zahtjeve bez improvizacije, bilo da ste financijski subjekt ili pružatelj usluga.

17.01.
Primjenjuje se od 2025.
21
Kategorija obuhvaćenih subjekata (čl. 2)
4h
Rok za prijavu velikog incidenta
19
Već imenovanih kritičnih pružatelja IKT usluga

Regulatorni kontekst

DORA je uredba, a ne direktiva: primjenjuje se izravno u svim državama članicama, bez potrebe čekanja nacionalnog zakona o prijenosu.

DORA se izravno primjenjuje od 17. siječnja 2025.

Uredba (EU) 2022/2554 od 14. prosinca 2022., objavljena u Službenom listu EU 27. prosinca 2022., stupila na snagu 16. siječnja 2023. i primjenjuje se od 17. siječnja 2025. Nije potreban nacionalni prijenos: izravno je pravno obvezujuća.

📋

Zahtijeva se iscrpan registar IKT-a (čl. 28 §3)

Svaki financijski subjekt mora ažurirati i godišnje dostavljati tijelima potpun registar svojih ugovora o IKT uslugama: pružatelj usluge, vrsta usluge, kritičnost funkcije, zemlja u kojoj se pohranjuju podaci.

📄

Vaši ugovori moraju sadržavati precizne odredbe (čl. 30)

Prava na reviziju i inspekciju, jamstva dostupnosti i cjelovitosti podataka, testirani planovi izlaska, prijava incidenata bez odgode. Te odredbe dolaze od vašeg financijskog klijenta prema vama, ako ste njegov pružatelj IKT usluga.

📧

Upitnik dubinske analize (due diligence) već je u vašoj pošti

Prije potpisivanja ili obnove ugovora, banka, osiguravatelj ili ulagatelj šalje kibernetički upitnik (upravljanje, MFA, EDR, enkripcija, osvještavanje). Ako na njega odgovorite bez dokumentiranog dokaza, gubite ugovor.

Okidač od 18. studenoga 2025.

Vaši pružatelji oblak-usluga upravo su službeno proglašeni "kritičnima"

18.-19. studenoga 2025. europska nadzorna tijela (EBA, ESMA, EIOPA) objavila su prvi službeni popis kritičnih pružatelja IKT usluga prema članku 32 DORA-e. Među imenima potvrđenima u službenim priopćenjima: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (i 14 drugih pružatelja koji nisu poimence potvrđeni u našim izvorima).

Konkretna posljedica: ako se vaše kritične usluge oslanjaju na jednog od tih pružatelja, vaš klijent, financijski subjekt, sada to mora dokumentirati u svom registru IKT-a - i može vas ispitati o vašem vlastitom lancu podugovaranja.

Izvor: službena priopćenja EIOPA-e i ESMA-e od 18.-19. studenoga 2025. (eiopa.europa.eu, esma.europa.eu).

Naš odgovor: DORA-Express

Strukturirana podrška u 5 koraka za dokumentiranje vaše sukladnosti - bez obećavanja onoga što ni alat, ni konzultantska kuća ne mogu umjesto vas certificirati.

1
Korak 1 - Kvalifikacija

Utvrđujemo vašu stvarnu izloženost

Jeste li financijski subjekt izravno obuhvaćen (jedna od 21 kategorije iz članka 2), ili pružatelj IKT usluga posredno obuhvaćen putem ugovornih odredbi vaših financijskih klijenata (članak 30)? Točan opseg određuje sve ostalo.

2
Korak 2 - Dubinska analiza

Odgovor na vaš kibernetički upitnik

Odgovaramo na vaš upitnik dubinske analize banke, ulagatelja ili osiguravatelja (upravljanje, MFA, EDR, enkripcija, osvještavanje...) oslanjajući se na tehničku reviziju vašeg Microsoft 365 najma kao datiran i provjerljiv dokaz.

3
Korak 3 - Registar i ugovori

Registar IKT-a i odredbe članka 30

Pomažemo vam strukturirati vaš registar ugovora o IKT uslugama (čl. 28 §3) i provjeriti ili uključiti minimalne i pojačane ugovorne odredbe iz članka 30 u vaše ugovore s pružateljima usluga.

4
Korak 4 - Kontinuitet i otpornost

Plan oporavka/kontinuiteta, sektorski profil Financije

Naš PRA/PCA Suite nudi sektorski profil Financije (DORA, PSD2, ACPR) koji pokriva zahtjeve testiranja operativne otpornosti iz IV. poglavlja DORA-e, usklađen s ISO 22301.

5
Korak 5 - Isporuka

Dokumentiran dosje sukladnosti

Predaja vašoj upravi, direktoru sigurnosti ili financijskom direktoru konsolidiranog dosjea, s preciznim točkama koje treba prepustiti vašem pravnom savjetniku prije bilo kakve komunikacije s tijelima.

Što dobivate

Konkretne, izvorne isporuke, bez obećanja certifikacije koje nitko ne može jamčiti

📝

Odgovori za kibernetičku dubinsku analizu

10 tipičnih pitanja bankovne/M&A dubinske analize, dokumentiranih i izvornih (ILPA DDQ, CSA CAIQ, upitnici kibernetičkih osiguravatelja).

  • Sigurnosna politika / priznati okvir
  • MFA, najmanja privilegija, povlašteni računi
  • M365 licenca, EDR / lov na prijetnje
  • Zastarjeli protokoli, enkripcija diskova
  • Program osvještavanja
📄

Referentni list DORA-e

Izvoran sažetak Uredbe (EU) 2022/2554.

  • Opseg: 21 kategorija subjekata (čl. 2)
  • 5 područja obveza
  • Rokovi prijave (4h / 72h / 1 mjesec)
  • Odnos s NIS2 (lex specialis)
📋

Registar IKT-a (predložak čl. 28 §3)

Struktura iscrpnog registra koju zahtijevaju tijela.

  • Pružatelj usluge i vrsta usluge
  • Kritičnost podržane funkcije
  • Zemlja pohrane podataka
  • Format spreman za godišnju dostavu
🔐

Ugovorne odredbe (predložak čl. 30)

Za uključivanje ili provjeru u vašim ugovorima s pružateljima IKT usluga.

  • Minimalne odredbe (svi ugovori)
  • Pojačane odredbe (kritične funkcije)
  • Prava na reviziju i inspekciju
  • Planovi izlaska i mogućnost izdvajanja podataka
🏗

PRA/PCA sektorski profil Financije

Plan kontinuiteta i oporavka poslovanja, namjenski sektorski profil.

  • Pokrivenost IV. poglavlja DORA-e (testovi otpornosti)
  • Usklađeno s ISO 22301
  • Sektorski profil DORA / PSD2 / ACPR
  • Proizašlo iz našeg postojećeg PRA/PCA Suite
💾

Dokumentiran dosje sukladnosti

Formati PDF i DOCX, konsolidiraju sve isporuke.

  • Spreman za vašu upravu / direktora sigurnosti / financijskog direktora
  • Označene točke za potvrdu vašeg odvjetnika
  • Osnova za vašu komunikaciju s ACPR / AMF (francuska tijela)
  • Uredivo za godišnje ažuriranje

Primjer: upitnik bankovne dubinske analize

Izvadak od 10 pitanja koja za vas dokumentiramo, s izvorom svakog pitanja

Tema Pitanje Izvor
Upravljanje Temelji li se vaša sigurnosna politika na priznatom okviru (NIST, ISO 27001)? ILPA DDQ 2.0
Vanjska revizija Provodite li godišnju neovisnu reviziju i testove prodora? CSA CAIQ v4
Plan incidenata Postoji li formalan, dokumentiran i održavan plan odgovora na incidente? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Za koje usluge nametete višefaktorsku autentifikaciju? Travelers - MFA Supplement
Povlašteni računi Prate li pristupi načelo najmanje privilegije, periodički pregledavano? CSA CAIQ v4 IAM
Elektronička pošta Koju M365 licencu koristite? Je li aktivan napredni Defender / lov na prijetnje? vCSO.ai Cyber DD Checklist
Enkripcija Jesu li diskovi terminala u potpunosti šifrirani? Google VSAQ
Osposobljavanje Je li uspostavljen program sigurnosnog osvještavanja za sve zaposlenike? CSA CAIQ v4 HRS

Obuhvaćeni tekstovi i okviri

Svaka isporuka izričito navodi što pokriva - i što ne pokriva

DO

DORA (Uredba EU 2022/2554)

Registar IKT-a (čl. 28), ugovorne odredbe (čl. 30), rokovi prijave (čl. 19), referenca na imenovane kritične pružatelje IKT usluga (čl. 32).

N2

NIS2 - odnos s DORA-om

DORA je lex specialis u odnosu na NIS2 za financijski sektor: obuhvaćeni subjekti primjenjuju DORA-u umjesto odgovarajućih mjera NIS2.

ISO

ISO 22301 - kontinuitet poslovanja

Sektorski profil PRA/PCA Financije usklađen je s ISO 22301, okvirom upravljanja kontinuitetom poslovanja koji se koristi kao dopuna DORA-i.

RG

GDPR - odvojena prijava

Prijava incidenta prema DORA-i (ACPR/AMF, francuska tijela) odvojena je od prijave prema GDPR-u (CNIL, francusko tijelo) u slučaju povrede osobnih podataka: obje mogu biti potrebne istovremeno.

Podrška prilagođena vašoj situaciji

Svaki DORA dosje razlikuje se ovisno o vašem statusu - personalizirana ponuda u svim slučajevima

Pružatelj IKT usluga

Pružate usluge jednom ili više financijskih subjekata

Na upit
ovisno o opsegu
  • Odgovor na kibernetičku dubinsku analizu
  • Registar IKT-a s pozicije pružatelja
  • Pregled odredbi članka 30
  • Dokumentiran dosje spreman za dostavu
Zatražite ponudu

Godišnje praćenje

Redovito ažuriranje dosjea (obveze, ugovori, registar)

Na upit
ponavljajuće
  • Ažuriranje registra IKT-a
  • Godišnji pregled ugovornih odredbi
  • Praćenje imenovanih kritičnih pružatelja
  • Podrška za dubinske analize vaših klijenata
Zatražite ponudu

Česta pitanja

Je li moje poduzeće financijski subjekt obuhvaćen DORA-om?
Članak 2 DORA-e popisuje 21 kategoriju financijskih subjekata: kreditne i platne institucije, investicijska društva, pružatelje usluga kripto-imovine ovlaštene prema MiCA-i, osiguranje i reosiguranje, upravljanje fondovima, agencije za kreditni rejting i druge. Mikropoduzeća (manje od 10 zaposlenika, prihod ili bilanca ispod 2 milijuna eura) imaju razmjernost za određene obveze, ali nisu u potpunosti isključena. To treba provjeriti od slučaja do slučaja s pravnim savjetnikom.
Nisam banka, zašto me se DORA ipak tiče?
Ako pružate IKT usluge (informatika, oblak, softver, hosting) financijskom subjektu, članak 30 nameže vašem klijentu obvezu da vas upiše u svoj registar i da vam ugovorno nametne precizne odredbe: prava na reviziju, prijavu incidenata bez odgode, planove izlaska. Te obveze prolaze kroz ugovor vašeg klijenta, a ne kroz izravan nadzor tijela - osim ako niste sami imenovani kritičnim pružateljem IKT usluga (članak 31).
Koji su rokovi prijave velikog IKT incidenta?
Članak 19: prva prijava u roku 4 sata nakon klasifikacije kao velikog incidenta (najkasnije 24 sata nakon otkrivanja), privremeno izvješće u roku 72 sata, konačno izvješće u roku mjesec dana. Te prijave odvojene su od eventualne prijave prema GDPR-u francuskom tijelu CNIL u slučaju povrede osobnih podataka.
Što je "kritični pružatelj IKT usluga"?
To su pružatelji izričito imenovani od europskih nadzornih tijela (EBA, ESMA, EIOPA) prema kriterijima sistemskog utjecaja, zamjenjivosti i ovisnosti (članak 31). Prvi službeni popis, objavljen 18.-19. studenoga 2025., broji 19 pružatelja. Podliježu izravnom nadzoru (inspekcije, prošireno izvještavanje); ostali pružatelji IKT usluga ostaju regulirani samo ugovornim odredbama svojih financijskih klijenata.
Zamjenjuje li DORA NIS2 za moj sektor?
Da, za financijske subjekte u smislu članka 2: DORA predstavlja lex specialis u odnosu na NIS2 za financijski sektor. 21 obuhvaćena kategorija primjenjuje DORA-u umjesto odgovarajućih mjera NIS2 u pogledu upravljanja rizicima i prijave incidenata.
Predstavlja li ova usluga pravni savjet?
Ne. DORA-Express je alat dokumentacijske podrške, a ne pravni savjet. Točnu obuhvaćenost vaše organizacije DORA-om i pravnu sukladnost vaših ugovora mora potvrditi specijalizirani odvjetnik prije bilo kakve obvezujuće odluke.

Spremni dokumentirati svoju DORA sukladnost?

Kontaktirajte nas za personaliziranu ponudu prema vašem statusu (financijski subjekt ili pružatelj IKT usluga).

DORA-Express je alat dokumentacijske podrške i ne predstavlja pravni savjet. Obuhvaćenost vaše organizacije DORA-om i pravnu valjanost vaših ugovora i registara mora potvrditi specijalizirani odvjetnik.

Regulatorno praćenje - službeni izvori

DORA objašnjena jednostavno, bez pravnog žargona. Svaka točka dolje upućuje na službeni tekst koji je potvrđuje.

Tko je obuhvaćen?

DORA se primjenjuje na europske financijske aktere: banke, osiguravajuća društva, investicijska društva, tržišne platforme, upravitelje fondovima, pružatelje platnih usluga... kao i na njihove pružatelje informatičkih usluga. Vrlo male strukture imaju olakšana pravila.

službeni izvor (EUR-Lex) ↗

Što DORA konkretno traži od vas

Uredba pokriva 6 velikih tema: upravljanje informatičkim rizikom, nadzor vaših vanjskih pružatelja usluga, redovite testove otpornosti, prijavu ozbiljnih incidenata, razmjenu informacija o prijetnjama, te nadzor najvećih informatičkih pružatelja.

službeni izvor (EIOPA) ↗

Datumi koje treba zapamtiti

Tekst usvojen 14. prosinca 2022., objavljen u Službenom listu EU 27. prosinca 2022. (SL L 333). Stupanje na snagu 16. siječnja 2023. Obveze su stvarno na snazi od 17. siječnja 2025.

izvor EUR-Lex ↗ · izvor ESMA ↗

I vaši informatički pružatelji su nadzirani

Najveći informatički pružatelji (oblak, hosting...) ocijenjeni "kritičnima" za financijski sektor sada se izravno nadziru na europskoj razini, uz vodeće nadzorno tijelo koje im može nametnuti mjere.

službeni izvor (EIOPA) ↗

Napokon usklađena prijava incidenata

Prije DORA-e, svaka zemlja EU imala je vlastita pravila za prijavu ozbiljnog informatičkog incidenta. Sada se primjenjuje jedinstven europski postupak: veliki incidenti prijavljuju se izravno nadležnim tijelima.

izvor EUR-Lex ↗

A sankcije?

Tekst predviđa da tijela objavljuju administrativne sankcije koje izriču. Precizni iznosi kazni nisu stabilizirani u dosad konzultiranim izvorima - treba potvrditi kako stižu službena pojašnjenja.

izvor EUR-Lex (uvodna izjava 97) ↗