Europos reglamentas dėl finansų sektoriaus skaitmeninio veiklos atsparumo (DORA) įpareigoja finansų subjektus - o netiesiogiai ir jų IRT tiekėjus - turėti išsamų sutarčių registrą, tikslias sutartines sąlygas ir datuotus audito įrodymus. SYAGA DORA-Express padeda jums atitikti šiuos reikalavimus be improvizacijos, nesvarbu, ar esate finansų subjektas, ar tiekėjas.
DORA yra reglamentas, o ne direktyva: jis taikomas tiesiogiai visose valstybėse narėse, nereikalaujant laukti nacionalinio perkėlimo įstatymo.
Reglamentas (ES) 2022/2554, priimtas 2022 m. gruodžio 14 d., paskelbtas ES OL 2022 m. gruodžio 27 d., įsigaliojęs 2023 m. sausio 16 d. ir taikomas nuo 2025 m. sausio 17 d. Nereikalaujama jokio nacionalinio perkėlimo: jis taikomas tiesiogiai.
Kiekvienas finansų subjektas privalo nuolat atnaujinti ir kasmet perduoti institucijoms išsamų savo IRT sutarčių registrą: tiekėjas, paslaugos pobūdis, funkcijos kritiškumas, duomenų talpinimo šalis.
Audito ir patikrinimo teisės, duomenų prieinamumo ir vientisumo garantijos, testuoti pasitraukimo planai, nedelsiamas pranešimas apie incidentus. Šios sąlygos perduodamos jums iš jūsų finansų kliento, jei esate jo IRT tiekėjas.
Prieš pasirašydamas ar atnaujindamas sutartį, bankas, draudikas ar investuotojas siunčia kibernetinio saugumo klausimyną (valdysena, MFA, EDR, šifravimas, sąmoningumo ugdymas). Atsakymas be dokumentuotų įrodymų reiškia sutarties praradimą.
2025 m. lapkričio 18-19 d. Europos priežiūros institucijos (EBA, ESMA, EIOPA) paskelbė pirmąjį oficialų kritinių IRT tiekėjų sąrašą pagal DORA 32 straipsnį. Tarp oficialiais pranešimais patvirtintų pavadinimų: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (ir 14 kitų tiekėjų, kurių pavadinimai mūsų šaltiniuose nebuvo konkrečiai patvirtinti).
Konkreti pasekmė: jei jūsų kritinės paslaugos remiasi vienu iš šių tiekėjų, jūsų kliento finansų subjektas nuo šiol privalo tai dokumentuoti savo IRT registre - ir gali paklausti apie jūsų pačių subrangos grandinę.
Šaltinis: oficialūs EIOPA ir ESMA pranešimai, 2025 m. lapkričio 18-19 d. (eiopa.europa.eu, esma.europa.eu).
Struktūrizuota 5 etapų pagalba dokumentuojant jūsų atitiktį - nežadant to, ko nei įrankis, nei konsultacijų įmonė negali už jus patvirtinti.
Ar esate finansų subjektas, kuriam DORA taikoma tiesiogiai (viena iš 21 kategorijos pagal 2 straipsnį), ar IRT tiekėjas, kuriam ji taikoma netiesiogiai per jūsų finansų klientų sutartines sąlygas (30 straipsnis)? Tiksli apimtis lemia visa kita.
Mes atsakome į jūsų banko, investuotojo ar draudiko išsamaus patikrinimo klausimyną (valdysena, MFA, EDR, šifravimas, sąmoningumo ugdymas...), remdamiesi jūsų Microsoft 365 aplinkos techniniu auditu kaip datuotu ir patikrinamu įrodymu.
Padedame struktūrizuoti jūsų IRT sutarčių registrą (28 str. 3 d.) ir patikrinti ar integruoti minimalias bei sustiprintas 30 straipsnio sutartines sąlygas jūsų tiekėjų sutartyse.
Mūsų PRA/PCA paketas siūlo finansų sektoriaus profilį (DORA, PSD2, ACPR (Prancūzijos institucija)), apimantį DORA IV skyriaus veiklos atsparumo testavimo reikalavimus, suderintus su ISO 22301.
Jūsų vadovybei, IT saugumo vadovui (RSSI) ar finansų direktoriui (DAF) pateikiama konsoliduota byla su tiksliai nurodytais punktais, kuriuos prieš bet kokį pranešimą institucijoms turi patvirtinti jūsų teisės konsultantas.
Konkretūs, šaltiniais pagrįsti rezultatai, be sertifikavimo pažadų, kurių niekas negali garantuoti
10 tipinių banko / M&A išsamaus patikrinimo klausimų, dokumentuotų ir pagrįstų šaltiniais (ILPA DDQ, CSA CAIQ, kibernetinio draudimo klausimynai).
Šaltiniais pagrįsta reglamento (ES) 2022/2554 santrauka.
Institucijų reikalaujamo išsamaus registro struktūra.
Skirta integruoti ar patikrinti jūsų IRT tiekėjų sutartyse.
Veiklos tęstinumo ir atkūrimo planas, skirtas sektoriaus profilis.
PDF ir DOCX formatai, konsoliduojantys visus rezultatus.
Ištrauka iš 10 klausimų, kuriuos jums dokumentuojame, nurodant kiekvieno klausimo šaltinį
| Tema | Klausimas | Šaltinis |
|---|---|---|
| Valdysena | Ar jūsų saugumo politika grindžiama pripažintu standartu (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Trečiosios šalies auditas | Ar atliekate metinį nepriklausomą auditą ir įsilaužimo testus? | CSA CAIQ v4 |
| Incidentų planas | Ar egzistuoja formalus, dokumentuotas ir palaikomas incidentų valdymo planas? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Kuriems paslaugoms taikote daugiafaktorę autentifikaciją? | Travelers - MFA Supplement |
| Privilegijuotos paskyros | Ar prieigos atitinka mažiausios privilegijos principą ir periodiškai peržiūrimos? | CSA CAIQ v4 IAM |
| El. paštas | Kokią M365 licenciją naudojate? Ar aktyvus Defender / pažangi grėsmių paieška? | vCSO.ai Cyber DD Checklist |
| Šifravimas | Ar galinių įrenginių diskai yra visiškai šifruoti? | Google VSAQ |
| Mokymai | Ar visiems darbuotojams taikoma saugumo sąmoningumo ugdymo programa? | CSA CAIQ v4 HRS |
Kiekvienas rezultatas aiškiai nurodo, ką jis apima - ir ko neapima
IRT registras (28 str.), sutartinės sąlygos (30 str.), pranešimo terminai (19 str.), nuoroda į paskirtus kritinius IRT tiekėjus (32 str.).
DORA yra lex specialis NIS2 atžvilgiu finansų sektoriuje: susiję subjektai taiko DORA, o ne atitinkamas NIS2 priemones.
PRA/PCA finansų profilis suderintas su ISO 22301 - veiklos tęstinumo valdymo standartu, naudojamu papildant DORA.
DORA incidento pranešimas (ACPR/AMF, Prancūzijos institucijoms) skiriasi nuo BDAR pranešimo (CNIL) asmens duomenų pažeidimo atveju: abu gali būti reikalingi vienu metu.
Kiekviena DORA byla skiriasi priklausomai nuo jūsų statuso - visais atvejais individualus pasiūlymas
Teikiate paslaugas vienam ar keliems finansų subjektams
Jums DORA taikoma tiesiogiai (viena iš 21 kategorijos, 2 str.)
Reguliarus bylos atnaujinimas (pareigos, sutartys, registras)
Susisiekite su mumis, kad gautumėte individualų pasiūlymą, priklausomai nuo jūsų statuso (finansų subjektas ar IRT tiekėjas).
DORA paaiškinta paprastai, be teisinio žargono. Kiekvienas punktas žemiau nurodo jį patvirtinantį oficialų dokumentą.
DORA taikoma Europos finansų rinkos dalyviams: bankams, draudimo bendrovėms, investicinėms įmonėms, rinkos platformoms, fondų valdytojams, mokėjimo paslaugų teikėjams... taip pat jų IT tiekėjams. Labai mažoms struktūroms taikomos lengvesnės taisyklės.
Reglamentas apima 6 pagrindines sritis: IT rizikos valdymą, išorės tiekėjų priežiūrą, reguliarų atsparumo testavimą, rimtų incidentų pranešimą, keitimąsi informacija apie grėsmes ir didžiausių IT tiekėjų priežiūrą.
Teisės aktas priimtas 2022 m. gruodžio 14 d., paskelbtas ES oficialiajame leidinyje 2022 m. gruodžio 27 d. (OL L 333). Įsigaliojo 2023 m. sausio 16 d. Pareigos faktiškai galioja nuo 2025 m. sausio 17 d.
Didžiausi IT tiekėjai (debesija, talpinimas...), pripažinti „kritiniais" finansų sektoriui, dabar tiesiogiai kontroliuojami Europos lygmeniu, o pagrindinis prižiūrėtojas gali jiems taikyti priemones.
Prieš DORA kiekviena ES šalis turėjo savo taisykles rimtam IT incidentui pranešti. Dabar taikoma viena bendra Europos procedūra: reikšmingi incidentai pranešami tiesiogiai kompetentingoms institucijoms.
Teisės aktas numato, kad institucijos skelbia savo skiriamas administracines sankcijas. Tikslūs baudų dydžiai iki šiol nagrinėtuose šaltiniuose nėra nusistovėję - reikės patvirtinti pagal tolesnius oficialius paaiškinimus.