Evrópureglugerðin um stafrænt rekstrarþol fjármálageirans (DORA) leggur á fjármálaeiningar - og óbeint á UT-þjónustuveitendur þeirra - þá skyldu að halda tæmandi skrá yfir samninga, hafa nákvæm samningsákvæði og dagsett endurskoðunargögn. SYAGA DORA-Express hjálpar þér að uppfylla þessar kröfur án spuna, hvort sem þú ert fjármálaeining eða þjónustuveitandi.
DORA er reglugerð, ekki tilskipun: hún gildir milliliðalaust í öllum aðildarríkjum, án þess að bíða þurfi eftir landslöggjöf til löggildingar.
Reglugerð (ESB) 2022/2554 frá 14. desember 2022, birt í Stjórnartíðindum ESB 27. desember 2022, tók gildi 16. janúar 2023 og hefur verið í gildi frá 17. janúar 2025. Engrar landslöggjafar er þörf: hún er beint bindandi.
Sérhver fjármálaeining þarf að halda við og senda árlega til yfirvalda heildarskrá yfir UT-samninga sína: þjónustuveitanda, eðli þjónustunnar, mikilvægi hlutverksins og hýsingarland gagnanna.
Endurskoðunar- og eftirlitsréttur, ábyrgð á aðgengi og heilleika gagna, prófaðar útgönguáætlanir, tilkynning atvika án tafar. Þessi ákvæði berast frá fjármálaviðskiptavini þínum til þín ef þú ert UT-þjónustuveitandi hans.
Áður en samningur er undirritaður eða endurnýjaður sendir banki, tryggingafélag eða fjárfestir netöryggisspurningalista (stjórnarhætti, MFA, EDR, dulkóðun, vitundarvakningu). Að svara honum án skjalfestra gagna kostar samninginn.
Dagana 18.-19. nóvember 2025 birtu evrópsku eftirlitsstofnanirnar (EBA, ESMA, EIOPA) fyrsta opinbera listann yfir mikilvæga UT-þjónustuveitendur samkvæmt 32. grein DORA. Meðal nafna sem staðfest eru í opinberum tilkynningum: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (og 14 aðrir þjónustuveitendur sem ekki eru nafngreindir í heimildum okkar).
Áþreifanleg afleiðing: ef mikilvæg þjónusta þín byggir á einum þessara þjónustuveitenda þarf fjármálaviðskiptavinur þinn nú að skjalfesta það í UT-skrá sinni - og getur spurt þig út í eigin undirverktakakeðju.
Heimild: opinberar tilkynningar EIOPA og ESMA frá 18.-19. nóvember 2025 (eiopa.europa.eu, esma.europa.eu).
Skipulögð aðstoð í 5 skrefum til að skjalfesta samræmi þitt - án þess að lofa því sem hvorki verkfæri né ráðgjafarfyrirtæki getur vottað í þínum stað.
Ert þú fjármálaeining sem fellur beint undir (einn af 21 flokki 2. greinar), eða UT-þjónustuveitandi sem málið varðar óbeint í gegnum samningsákvæði fjármálaviðskiptavina þinna (30. grein)? Nákvæmt umfang ræður öllu öðru.
Við svörum due diligence-spurningalista banka, fjárfestis eða tryggingafélags (stjórnarhætti, MFA, EDR, dulkóðun, vitundarvakningu...) og styðjumst við tæknilega úttekt á Microsoft 365-leigueiningu þinni sem dagsett og sannreynanleg gögn.
Við hjálpum þér að skipuleggja UT-samningsskrá þína (28. gr. 3. mgr.) og að sannreyna eða fella lágmarks- og hertu samningsákvæði 30. greinar inn í samninga þjónustuveitenda þinna.
PRA/PCA Suite okkar býður upp á sértækt snið fyrir fjármálageirann (DORA, PSD2, ACPR) sem nær yfir kröfur um prófun á rekstrarþoli samkvæmt IV. kafla DORA, í samræmi við ISO 22301.
Afhending til stjórnenda þinna, upplýsingaöryggisstjóra (RSSI) eða fjármálastjóra á samandreginni möppu, með nákvæmum atriðum sem lögfræðingur þinn þarf að skera úr um áður en nokkuð er sent til yfirvalda.
Áþreifanlegar, heimildaskráðar afurðir, án loforða um vottun sem enginn getur ábyrgst
10 dæmigerðar due diligence-spurningar banka/M&A, skjalfestar og heimildaskráðar (ILPA DDQ, CSA CAIQ, netöryggisspurningalistar tryggingafélaga).
Heimildaskráð samantekt á reglugerð (ESB) 2022/2554.
Uppbygging tæmandi skrárinnar sem yfirvöld krefjast.
Til að fella inn eða sannreyna í samningum UT-þjónustuveitenda þinna.
Rekstrarsamfellu- og endurheimtaráætlun, sértækt geirasnið.
PDF- og DOCX-snið, sem sameinar allar afurðirnar.
Brot úr þeim 10 spurningum sem við skjalfestum fyrir þig, með heimild fyrir hverja spurningu
| Þema | Spurning | Heimild |
|---|---|---|
| Stjórnarhættir | Byggir öryggisstefna þín á viðurkenndum staðli (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Ytri úttekt | Framkvæmir þú árlega óháða úttekt og innbrotsprófanir? | CSA CAIQ v4 |
| Atvikaáætlun | Er til formleg viðbragðsáætlun við atvikum, skjalfest og viðhaldið? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Fyrir hvaða þjónustur krefst þú fjölþátta auðkenningar? | Travelers - MFA Supplement |
| Forréttindaaðgangar | Fylgja aðgangar reglunni um lágmarksréttindi, endurskoðuð reglulega? | CSA CAIQ v4 IAM |
| Tölvupóstur | Hvaða M365-leyfi notar þú? Er Defender / ítarlega ógnaleit virk? | vCSO.ai Cyber DD Checklist |
| Dulkóðun | Eru diskar tækjanna alfarið dulkóðaðir? | Google VSAQ |
| Þjálfun | Er komið á vitundarvakningaráætlun um öryggi fyrir allt starfsfólk? | CSA CAIQ v4 HRS |
Hver afurð tilgreinir skýrt hvað hún nær yfir - og hvað ekki
UT-skrá (28. gr.), samningsákvæði (30. gr.), tilkynningarfrestir (19. gr.), tilvísun til tilnefndra mikilvægra UT-þjónustuveitenda (32. gr.).
DORA er lex specialis gagnvart NIS2 fyrir fjármálageirann: hlutaðeigandi einingar beita DORA í stað samsvarandi NIS2-ráðstafana.
Fjármálasnið PRA/PCA fylgir ISO 22301, stjórnunarstaðli um rekstrarsamfellu sem notaður er samhliða DORA.
Tilkynning atvika samkvæmt DORA (til ACPR/AMF) er aðgreind frá GDPR-tilkynningu (til CNIL) ef um brot á persónuupplýsingum er að ræða: hvort tveggja getur verið krafist samtímis.
Hvert DORA-mál er ólíkt eftir stöðu þinni - sérsniðið tilboð í öllum tilvikum
Þú veitir þjónustu til einnar eða fleiri fjármálaeininga
Þú fellur beint undir DORA (einn af 21 flokki, 2. gr.)
Regluleg uppfærsla möppunnar (skyldur, samningar, skrá)
Hafðu samband við okkur til að fá sérsniðið tilboð eftir stöðu þinni (fjármálaeining eða UT-þjónustuveitandi).
DORA útskýrð á einfaldan hátt, án lögfræðilegs hrognamáls. Hvert atriði hér fyrir neðan vísar til opinbera textans sem staðfestir það.
DORA gildir um evrópska fjármálaaðila: banka, tryggingafélög, verðbréfafyrirtæki, markaðsvettvanga, sjóðastýringaraðila, greiðsluþjónustuveitendur... sem og UT-þjónustuveitendur þeirra. Mjög smáar einingar njóta einfaldari reglna.
Reglugerðin nær yfir 6 meginsvið: áhættustjórnun upplýsingatækni, eftirlit með ytri þjónustuveitendum, reglulegar þolprófanir, tilkynningu alvarlegra atvika, deilingu upplýsinga um ógnir, og eftirlit með stærstu upplýsingatækniþjónustuveitendunum.
Textinn samþykktur 14. desember 2022, birtur í Stjórnartíðindum ESB 27. desember 2022 (JO L 333). Tók gildi 16. janúar 2023. Skyldurnar hafa raunverulega átt við frá 17. janúar 2025.
Stærstu upplýsingatækniþjónustuveitendurnir (ský, hýsing...) sem taldir eru „mikilvægir" fyrir fjármálageirann eru nú undir beinu eftirliti á evrópskum vettvangi, með aðaleftirlitsaðila sem getur sett þeim ráðstafanir.
Fyrir DORA hafði hvert ESB-land sínar eigin reglur um að tilkynna alvarleg upplýsingatækniatvik. Nú gildir eitt sameiginlegt evrópskt ferli: alvarleg atvik eru tilkynnt beint til bærra yfirvalda.
Textinn kveður á um að yfirvöld birti þau stjórnvaldsviðurlög sem þau ákveða. Nákvæmar sektarupphæðir liggja ekki endanlega fyrir í þeim heimildum sem skoðaðar hafa verið til þessa - þarf að staðfesta eftir því sem opinberar upplýsingar skýrast.