A pénzügyi szektor digitális működési rezilienciájáról szóló európai rendelet (DORA) a pénzügyi szervezetek - és begyűrűző hatásként IKT-szolgáltatóik - számára átfogó szerződésnyilvántartást, pontos szerződéses záradékokat és keltezett auditbizonyítékokat ír elő. A SYAGA DORA-Express segít Önnek rögtönzés nélkül megfelelni ezeknek a követelményeknek, akár pénzügyi szervezet, akár szolgáltató.
A DORA rendelet, nem irányelv: közvetlenül alkalmazandó minden tagállamban, nemzeti átültető törvényre való várakozás nélkül.
A 2022. december 14-i (EU) 2022/2554 rendelet, amelyet 2022. december 27-én tettek közzé az EU Hivatalos Lapjában, 2023. január 16-án lépett hatályba, és 2025. január 17. óta alkalmazandó. Nincs szükség nemzeti átültetésre: közvetlenül érvényesíthető.
Minden pénzügyi szervezetnek naprakészen kell tartania és évente be kell nyújtania a hatóságoknak IKT-szerződéseinek teljes nyilvántartását: szolgáltató, a szolgáltatás jellege, a funkció kritikussága, az adatok tárolási országa.
Audit- és ellenőrzési jogok, az adatok elérhetőségére és sértetlenségére vonatkozó garanciák, tesztelt kilépési tervek, késedelem nélküli incidensbejelentés. Ezek a záradékok az Ön pénzügyi ügyfelétől Ön felé áramlanak, ha Ön az IKT-szolgáltatója.
Egy szerződés aláírása vagy megújítása előtt egy bank, biztosító vagy befektető kiberbiztonsági kérdőívet küld (kormányzás, MFA, EDR, titkosítás, tudatosítás). Ha dokumentált bizonyíték nélkül válaszol rá, elveszítheti a szerződést.
2025. november 18-19-én az európai felügyeleti hatóságok (EBA, ESMA, EIOPA) közzétették a DORA 32. cikke szerinti kritikus IKT-szolgáltatók első hivatalos listáját. A hivatalos közlemények által megerősített nevek között szerepel: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (és további 14 szolgáltató, amelyeket forrásaink névvel nem erősítettek meg).
Konkrét következmény: ha kritikus szolgáltatásai ezen szolgáltatók valamelyikére épülnek, pénzügyi ügyfele mostantól köteles ezt dokumentálni IKT-nyilvántartásában - és megkérdezheti Öntől saját alvállalkozói láncáról.
Forrás: az EIOPA és az ESMA 2025. november 18-19-i hivatalos közleményei (eiopa.europa.eu, esma.europa.eu).
Egy 5 lépésből álló strukturált támogatás megfelelősége dokumentálásához - anélkül, hogy olyasmit ígérnénk, amit sem egy eszköz, sem egy tanácsadó cég nem tanúsíthat Ön helyett.
Közvetlenül érintett pénzügyi szervezet-e Ön (a 2. cikk 21 kategóriájának egyike), vagy közvetve érintett IKT-szolgáltató pénzügyi ügyfelei szerződéses záradékain keresztül (30. cikk)? A pontos hatókör határozza meg a többit.
Megválaszoljuk banki, befektetői vagy biztosítói due diligence kérdőívét (kormányzás, MFA, EDR, titkosítás, tudatosítás...), az Ön Microsoft 365 bérlőjének technikai auditjára támaszkodva, mint keltezett és ellenőrizhető bizonyítékra.
Segítünk strukturálni IKT-szerződéseinek nyilvántartását (28. cikk (3) bek.), valamint ellenőrizni vagy beépíteni a 30. cikk szerinti minimális és megerősített szerződéses záradékokat szolgáltatói szerződéseibe.
PRA/PCA csomagunk egy pénzügyi ágazati profilt (DORA, PSD2, ACPR) kínál, amely lefedi a DORA IV. fejezete szerinti működési rezilienciatesztelési követelményeket, az ISO 22301-hez igazítva.
Egy összesített dosszié átadása vezetésének, IT-biztonsági vezetőjének vagy pénzügyi igazgatójának, a pontos kérdésekkel, amelyeket jogi tanácsadójának kell eldöntenie, mielőtt bármilyen közlést tenne a hatóságok felé.
Konkrét, forrásolt szállítandók, olyan tanúsítási ígéret nélkül, amit senki sem garantálhat
10 tipikus banki / M&A due diligence kérdés, dokumentálva és forrásolva (ILPA DDQ, CSA CAIQ, kiberbiztosítói kérdőívek).
Az (EU) 2022/2554 rendelet forrásolt összefoglalója.
A hatóságok által megkövetelt átfogó nyilvántartás struktúrája.
IKT-szolgáltatói szerződéseibe beépítendő vagy ellenőrizendő.
Üzletmenet-folytonossági és helyreállítási terv, dedikált ágazati profillal.
PDF és DOCX formátumban, az összes szállítandót összesítve.
Részlet a 10 kérdésből, amelyeket Ön helyett dokumentálunk, minden kérdés forrásával
| Téma | Kérdés | Forrás |
|---|---|---|
| Kormányzás | Az Ön biztonsági szabályzata elismert keretrendszerre épül (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Külső audit | Végez éves független auditot és behatolási teszteket? | CSA CAIQ v4 |
| Incidensterv | Létezik formális, dokumentált és karbantartott incidensreagálási terv? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Mely szolgáltatásokhoz írja elő a többfaktoros hitelesítést? | Travelers - MFA Supplement |
| Kiemelt jogosultságú fiókok | A hozzáférések a legkisebb jogosultság elvét követik, és rendszeresen felülvizsgálják őket? | CSA CAIQ v4 IAM |
| Milyen M365 licencet használ? Aktív a Defender / fejlett threat hunting? | vCSO.ai Cyber DD Checklist | |
| Titkosítás | A végpontok lemezei teljes mértékben titkosítottak? | Google VSAQ |
| Képzés | Van biztonsági tudatosítási program minden munkatárs számára? | CSA CAIQ v4 HRS |
Minden szállítandó kifejezetten jelzi, mit fed le - és mit nem
IKT-nyilvántartás (28. cikk), szerződéses záradékok (30. cikk), bejelentési határidők (19. cikk), hivatkozás a kijelölt kritikus IKT-szolgáltatókra (32. cikk).
A DORA a NIS2-höz képest lex specialis a pénzügyi szektor számára: az érintett szervezetek a DORA-t alkalmazzák az egyenértékű NIS2-intézkedések helyett.
A pénzügyi PRA/PCA profil az ISO 22301-hez igazodik, amely az üzletmenet-folytonosság- menedzsment keretrendszere, a DORA kiegészítéseként használva.
A DORA szerinti incidensbejelentés (ACPR/AMF, francia hatóságok) elkülönül a GDPR szerinti bejelentéstől (CNIL, francia hatóság) személyes adatok megsértése esetén: mindkettő egyszerre is szükséges lehet.
Minden DORA-dosszié más az Ön státusza szerint - minden esetben személyre szabott árajánlat
Ön egy vagy több pénzügyi szervezetnek nyújt szolgáltatásokat
Ön közvetlenül a DORA hatálya alá tartozik (a 21 kategória egyike, 2. cikk)
A dosszié rendszeres frissítése (kötelezettségek, szerződések, nyilvántartás)
Vegye fel velünk a kapcsolatot, hogy státusza szerint (pénzügyi szervezet vagy IKT-szolgáltató) személyre szabott árajánlatot kapjon.
A DORA egyszerűen elmagyarázva, jogi szakzsargon nélkül. Az alábbi minden pont a megerősítő hivatalos szöveghez vezet.
A DORA az európai pénzügyi szereplőkre vonatkozik: bankok, biztosítók, befektetési társaságok, piaci platformok, alapkezelők, fizetési szolgáltatók... valamint informatikai szolgáltatóikra. A nagyon kis szervezetek könnyített szabályokban részesülnek.
A rendelet 6 fő területet fed le: az informatikai kockázatkezelés, a külső szolgáltatók felügyelete, rendszeres ellenálló képességi tesztek, a súlyos incidensek jelentése, a fenyegetésekkel kapcsolatos információk megosztása, és a legnagyobb informatikai szolgáltatók felügyelete.
A szöveget 2022. december 14-én fogadták el, 2022. december 27-én tették közzé az EU Hivatalos Lapjában (HL L 333). 2023. január 16-án lépett hatályba. A kötelezettségek ténylegesen 2025. január 17. óta érvényesek.
A pénzügyi szektor számára „kritikusnak” minősített legnagyobb informatikai szolgáltatókat (felhő, tárhely...) mostantól közvetlenül európai szinten ellenőrzik, egy vezető felügyelővel, amely intézkedéseket írhat elő számukra.
A DORA előtt minden uniós ország saját szabályokkal rendelkezett egy súlyos informatikai incidens bejelentésére. Mostantól egységes európai eljárás vonatkozik: a súlyos incidenseket közvetlenül az illetékes hatóságoknak jelentik be.
A szöveg előírja, hogy a hatóságok tegyék közzé az általuk kiszabott közigazgatási szankciókat. A bírságok pontos összegei a jelenleg vizsgált forrásokban nincsenek rögzítve - a hivatalos pontosítások alapján kell megerősíteni.