Europska uredba o digitalnoj operativnoj otpornosti financijskog sektora (DORA) nameže financijskim subjektima - a posljedično i njihovim pružateljima usluga IKT-a - iscrpan registar ugovora, precizne ugovorne odredbe i datirane revizijske dokaze. SYAGA DORA-Express pomaže vam odgovoriti na te zahtjeve bez improvizacije, bilo da ste financijski subjekt ili pružatelj usluga.
DORA je uredba, a ne direktiva: primjenjuje se izravno u svim državama članicama, bez potrebe čekanja nacionalnog zakona o prijenosu.
Uredba (EU) 2022/2554 od 14. prosinca 2022., objavljena u Službenom listu EU 27. prosinca 2022., stupila na snagu 16. siječnja 2023. i primjenjuje se od 17. siječnja 2025. Nije potreban nacionalni prijenos: izravno je pravno obvezujuća.
Svaki financijski subjekt mora ažurirati i godišnje dostavljati tijelima potpun registar svojih ugovora o IKT uslugama: pružatelj usluge, vrsta usluge, kritičnost funkcije, zemlja u kojoj se pohranjuju podaci.
Prava na reviziju i inspekciju, jamstva dostupnosti i cjelovitosti podataka, testirani planovi izlaska, prijava incidenata bez odgode. Te odredbe dolaze od vašeg financijskog klijenta prema vama, ako ste njegov pružatelj IKT usluga.
Prije potpisivanja ili obnove ugovora, banka, osiguravatelj ili ulagatelj šalje kibernetički upitnik (upravljanje, MFA, EDR, enkripcija, osvještavanje). Ako na njega odgovorite bez dokumentiranog dokaza, gubite ugovor.
18.-19. studenoga 2025. europska nadzorna tijela (EBA, ESMA, EIOPA) objavila su prvi službeni popis kritičnih pružatelja IKT usluga prema članku 32 DORA-e. Među imenima potvrđenima u službenim priopćenjima: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (i 14 drugih pružatelja koji nisu poimence potvrđeni u našim izvorima).
Konkretna posljedica: ako se vaše kritične usluge oslanjaju na jednog od tih pružatelja, vaš klijent, financijski subjekt, sada to mora dokumentirati u svom registru IKT-a - i može vas ispitati o vašem vlastitom lancu podugovaranja.
Izvor: službena priopćenja EIOPA-e i ESMA-e od 18.-19. studenoga 2025. (eiopa.europa.eu, esma.europa.eu).
Strukturirana podrška u 5 koraka za dokumentiranje vaše sukladnosti - bez obećavanja onoga što ni alat, ni konzultantska kuća ne mogu umjesto vas certificirati.
Jeste li financijski subjekt izravno obuhvaćen (jedna od 21 kategorije iz članka 2), ili pružatelj IKT usluga posredno obuhvaćen putem ugovornih odredbi vaših financijskih klijenata (članak 30)? Točan opseg određuje sve ostalo.
Odgovaramo na vaš upitnik dubinske analize banke, ulagatelja ili osiguravatelja (upravljanje, MFA, EDR, enkripcija, osvještavanje...) oslanjajući se na tehničku reviziju vašeg Microsoft 365 najma kao datiran i provjerljiv dokaz.
Pomažemo vam strukturirati vaš registar ugovora o IKT uslugama (čl. 28 §3) i provjeriti ili uključiti minimalne i pojačane ugovorne odredbe iz članka 30 u vaše ugovore s pružateljima usluga.
Naš PRA/PCA Suite nudi sektorski profil Financije (DORA, PSD2, ACPR) koji pokriva zahtjeve testiranja operativne otpornosti iz IV. poglavlja DORA-e, usklađen s ISO 22301.
Predaja vašoj upravi, direktoru sigurnosti ili financijskom direktoru konsolidiranog dosjea, s preciznim točkama koje treba prepustiti vašem pravnom savjetniku prije bilo kakve komunikacije s tijelima.
Konkretne, izvorne isporuke, bez obećanja certifikacije koje nitko ne može jamčiti
10 tipičnih pitanja bankovne/M&A dubinske analize, dokumentiranih i izvornih (ILPA DDQ, CSA CAIQ, upitnici kibernetičkih osiguravatelja).
Izvoran sažetak Uredbe (EU) 2022/2554.
Struktura iscrpnog registra koju zahtijevaju tijela.
Za uključivanje ili provjeru u vašim ugovorima s pružateljima IKT usluga.
Plan kontinuiteta i oporavka poslovanja, namjenski sektorski profil.
Formati PDF i DOCX, konsolidiraju sve isporuke.
Izvadak od 10 pitanja koja za vas dokumentiramo, s izvorom svakog pitanja
| Tema | Pitanje | Izvor |
|---|---|---|
| Upravljanje | Temelji li se vaša sigurnosna politika na priznatom okviru (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Vanjska revizija | Provodite li godišnju neovisnu reviziju i testove prodora? | CSA CAIQ v4 |
| Plan incidenata | Postoji li formalan, dokumentiran i održavan plan odgovora na incidente? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Za koje usluge nametete višefaktorsku autentifikaciju? | Travelers - MFA Supplement |
| Povlašteni računi | Prate li pristupi načelo najmanje privilegije, periodički pregledavano? | CSA CAIQ v4 IAM |
| Elektronička pošta | Koju M365 licencu koristite? Je li aktivan napredni Defender / lov na prijetnje? | vCSO.ai Cyber DD Checklist |
| Enkripcija | Jesu li diskovi terminala u potpunosti šifrirani? | Google VSAQ |
| Osposobljavanje | Je li uspostavljen program sigurnosnog osvještavanja za sve zaposlenike? | CSA CAIQ v4 HRS |
Svaka isporuka izričito navodi što pokriva - i što ne pokriva
Registar IKT-a (čl. 28), ugovorne odredbe (čl. 30), rokovi prijave (čl. 19), referenca na imenovane kritične pružatelje IKT usluga (čl. 32).
DORA je lex specialis u odnosu na NIS2 za financijski sektor: obuhvaćeni subjekti primjenjuju DORA-u umjesto odgovarajućih mjera NIS2.
Sektorski profil PRA/PCA Financije usklađen je s ISO 22301, okvirom upravljanja kontinuitetom poslovanja koji se koristi kao dopuna DORA-i.
Prijava incidenta prema DORA-i (ACPR/AMF, francuska tijela) odvojena je od prijave prema GDPR-u (CNIL, francusko tijelo) u slučaju povrede osobnih podataka: obje mogu biti potrebne istovremeno.
Svaki DORA dosje razlikuje se ovisno o vašem statusu - personalizirana ponuda u svim slučajevima
Pružate usluge jednom ili više financijskih subjekata
Izravno ste obuhvaćeni DORA-om (jedna od 21 kategorije, čl. 2)
Redovito ažuriranje dosjea (obveze, ugovori, registar)
Kontaktirajte nas za personaliziranu ponudu prema vašem statusu (financijski subjekt ili pružatelj IKT usluga).
DORA objašnjena jednostavno, bez pravnog žargona. Svaka točka dolje upućuje na službeni tekst koji je potvrđuje.
DORA se primjenjuje na europske financijske aktere: banke, osiguravajuća društva, investicijska društva, tržišne platforme, upravitelje fondovima, pružatelje platnih usluga... kao i na njihove pružatelje informatičkih usluga. Vrlo male strukture imaju olakšana pravila.
Uredba pokriva 6 velikih tema: upravljanje informatičkim rizikom, nadzor vaših vanjskih pružatelja usluga, redovite testove otpornosti, prijavu ozbiljnih incidenata, razmjenu informacija o prijetnjama, te nadzor najvećih informatičkih pružatelja.
Tekst usvojen 14. prosinca 2022., objavljen u Službenom listu EU 27. prosinca 2022. (SL L 333). Stupanje na snagu 16. siječnja 2023. Obveze su stvarno na snazi od 17. siječnja 2025.
Najveći informatički pružatelji (oblak, hosting...) ocijenjeni "kritičnima" za financijski sektor sada se izravno nadziru na europskoj razini, uz vodeće nadzorno tijelo koje im može nametnuti mjere.
Prije DORA-e, svaka zemlja EU imala je vlastita pravila za prijavu ozbiljnog informatičkog incidenta. Sada se primjenjuje jedinstven europski postupak: veliki incidenti prijavljuju se izravno nadležnim tijelima.
Tekst predviđa da tijela objavljuju administrativne sankcije koje izriču. Precizni iznosi kazni nisu stabilizirani u dosad konzultiranim izvorima - treba potvrditi kako stižu službena pojašnjenja.