REGLAMENTAS (ES) 2022/2554 - TAIKOMAS NUO 2025 M. SAUSIO 17 D.

Jūsų DORA atitiktis,
dokumentuota ir apginama

Europos reglamentas dėl finansų sektoriaus skaitmeninio veiklos atsparumo (DORA) įpareigoja finansų subjektus - o netiesiogiai ir jų IRT tiekėjus - turėti išsamų sutarčių registrą, tikslias sutartines sąlygas ir datuotus audito įrodymus. SYAGA DORA-Express padeda jums atitikti šiuos reikalavimus be improvizacijos, nesvarbu, ar esate finansų subjektas, ar tiekėjas.

17/01
Taikoma nuo 2025 m.
21
Apimamų subjektų kategorijos (2 str.)
4h
Reikšmingo incidento pranešimo terminas
19
Jau paskirtų kritinių IRT tiekėjų

Teisinis kontekstas

DORA yra reglamentas, o ne direktyva: jis taikomas tiesiogiai visose valstybėse narėse, nereikalaujant laukti nacionalinio perkėlimo įstatymo.

DORA tiesiogiai taikomas nuo 2025 m. sausio 17 d.

Reglamentas (ES) 2022/2554, priimtas 2022 m. gruodžio 14 d., paskelbtas ES OL 2022 m. gruodžio 27 d., įsigaliojęs 2023 m. sausio 16 d. ir taikomas nuo 2025 m. sausio 17 d. Nereikalaujama jokio nacionalinio perkėlimo: jis taikomas tiesiogiai.

📋

Reikalaujamas išsamus IRT registras (28 str. 3 d.)

Kiekvienas finansų subjektas privalo nuolat atnaujinti ir kasmet perduoti institucijoms išsamų savo IRT sutarčių registrą: tiekėjas, paslaugos pobūdis, funkcijos kritiškumas, duomenų talpinimo šalis.

📄

Jūsų sutartyse turi būti tikslios sąlygos (30 str.)

Audito ir patikrinimo teisės, duomenų prieinamumo ir vientisumo garantijos, testuoti pasitraukimo planai, nedelsiamas pranešimas apie incidentus. Šios sąlygos perduodamos jums iš jūsų finansų kliento, jei esate jo IRT tiekėjas.

📧

Išsamaus patikrinimo klausimynas jau jūsų pašto dėžutėje

Prieš pasirašydamas ar atnaujindamas sutartį, bankas, draudikas ar investuotojas siunčia kibernetinio saugumo klausimyną (valdysena, MFA, EDR, šifravimas, sąmoningumo ugdymas). Atsakymas be dokumentuotų įrodymų reiškia sutarties praradimą.

2025 m. lapkričio 18 d. lūžio taškas

Jūsų debesijos tiekėjai ką tik buvo oficialiai paskirti „kritiniais"

2025 m. lapkričio 18-19 d. Europos priežiūros institucijos (EBA, ESMA, EIOPA) paskelbė pirmąjį oficialų kritinių IRT tiekėjų sąrašą pagal DORA 32 straipsnį. Tarp oficialiais pranešimais patvirtintų pavadinimų: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (ir 14 kitų tiekėjų, kurių pavadinimai mūsų šaltiniuose nebuvo konkrečiai patvirtinti).

Konkreti pasekmė: jei jūsų kritinės paslaugos remiasi vienu iš šių tiekėjų, jūsų kliento finansų subjektas nuo šiol privalo tai dokumentuoti savo IRT registre - ir gali paklausti apie jūsų pačių subrangos grandinę.

Šaltinis: oficialūs EIOPA ir ESMA pranešimai, 2025 m. lapkričio 18-19 d. (eiopa.europa.eu, esma.europa.eu).

Mūsų sprendimas: DORA-Express

Struktūrizuota 5 etapų pagalba dokumentuojant jūsų atitiktį - nežadant to, ko nei įrankis, nei konsultacijų įmonė negali už jus patvirtinti.

1
1 etapas - Kvalifikavimas

Nustatome jūsų realų poveikį

Ar esate finansų subjektas, kuriam DORA taikoma tiesiogiai (viena iš 21 kategorijos pagal 2 straipsnį), ar IRT tiekėjas, kuriam ji taikoma netiesiogiai per jūsų finansų klientų sutartines sąlygas (30 straipsnis)? Tiksli apimtis lemia visa kita.

2
2 etapas - Išsamus patikrinimas

Atsakymas į jūsų kibernetinio saugumo klausimyną

Mes atsakome į jūsų banko, investuotojo ar draudiko išsamaus patikrinimo klausimyną (valdysena, MFA, EDR, šifravimas, sąmoningumo ugdymas...), remdamiesi jūsų Microsoft 365 aplinkos techniniu auditu kaip datuotu ir patikrinamu įrodymu.

3
3 etapas - Registras ir sutartys

IRT registras ir 30 straipsnio sąlygos

Padedame struktūrizuoti jūsų IRT sutarčių registrą (28 str. 3 d.) ir patikrinti ar integruoti minimalias bei sustiprintas 30 straipsnio sutartines sąlygas jūsų tiekėjų sutartyse.

4
4 etapas - Tęstinumas ir atsparumas

PRA/PCA finansų sektoriaus profilis

Mūsų PRA/PCA paketas siūlo finansų sektoriaus profilį (DORA, PSD2, ACPR (Prancūzijos institucija)), apimantį DORA IV skyriaus veiklos atsparumo testavimo reikalavimus, suderintus su ISO 22301.

5
5 etapas - Pateikimas

Dokumentuota atitikties byla

Jūsų vadovybei, IT saugumo vadovui (RSSI) ar finansų direktoriui (DAF) pateikiama konsoliduota byla su tiksliai nurodytais punktais, kuriuos prieš bet kokį pranešimą institucijoms turi patvirtinti jūsų teisės konsultantas.

Ką jūs gaunate

Konkretūs, šaltiniais pagrįsti rezultatai, be sertifikavimo pažadų, kurių niekas negali garantuoti

📝

Kibernetinio saugumo išsamaus patikrinimo atsakymai

10 tipinių banko / M&A išsamaus patikrinimo klausimų, dokumentuotų ir pagrįstų šaltiniais (ILPA DDQ, CSA CAIQ, kibernetinio draudimo klausimynai).

  • Saugumo politika / pripažintas standartas
  • MFA, mažiausios privilegijos principas, privilegijuotos paskyros
  • M365 licencija, EDR / grėsmių paieška
  • Pasenę protokolai, diskų šifravimas
  • Sąmoningumo ugdymo programa
📄

DORA informacinis lapas

Šaltiniais pagrįsta reglamento (ES) 2022/2554 santrauka.

  • Apimtis: 21 subjektų kategorija (2 str.)
  • 5 pareigų sritys
  • Pranešimo terminai (4 val. / 72 val. / 1 mėn.)
  • Sąsaja su NIS2 (lex specialis)
📋

IRT registras (28 str. 3 d. šablonas)

Institucijų reikalaujamo išsamaus registro struktūra.

  • Tiekėjas ir paslaugos pobūdis
  • Palaikomos funkcijos kritiškumas
  • Duomenų talpinimo šalis
  • Formatas, paruoštas metiniam perdavimui
🔐

Sutartinės sąlygos (30 str. šablonas)

Skirta integruoti ar patikrinti jūsų IRT tiekėjų sutartyse.

  • Minimalios sąlygos (visos sutartys)
  • Sustiprintos sąlygos (kritinės funkcijos)
  • Audito ir patikrinimo teisės
  • Pasitraukimo planai ir duomenų ištraukiamumas
🏗

PRA/PCA finansų profilis

Veiklos tęstinumo ir atkūrimo planas, skirtas sektoriaus profilis.

  • Apima DORA IV skyrių (atsparumo testai)
  • Suderinta su ISO 22301
  • DORA / PSD2 / ACPR sektoriaus profilis
  • Sukurta remiantis mūsų esamu PRA/PCA paketu
💾

Dokumentuota atitikties byla

PDF ir DOCX formatai, konsoliduojantys visus rezultatus.

  • Paruošta jūsų vadovybei / RSSI / DAF
  • Pažymėti punktai, kuriuos turi patvirtinti jūsų advokatas
  • Pagrindas bendravimui su ACPR / AMF (Prancūzijos institucijomis)
  • Redaguojama metiniam atnaujinimui

Pavyzdys: banko išsamaus patikrinimo klausimynas

Ištrauka iš 10 klausimų, kuriuos jums dokumentuojame, nurodant kiekvieno klausimo šaltinį

Tema Klausimas Šaltinis
Valdysena Ar jūsų saugumo politika grindžiama pripažintu standartu (NIST, ISO 27001)? ILPA DDQ 2.0
Trečiosios šalies auditas Ar atliekate metinį nepriklausomą auditą ir įsilaužimo testus? CSA CAIQ v4
Incidentų planas Ar egzistuoja formalus, dokumentuotas ir palaikomas incidentų valdymo planas? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Kuriems paslaugoms taikote daugiafaktorę autentifikaciją? Travelers - MFA Supplement
Privilegijuotos paskyros Ar prieigos atitinka mažiausios privilegijos principą ir periodiškai peržiūrimos? CSA CAIQ v4 IAM
El. paštas Kokią M365 licenciją naudojate? Ar aktyvus Defender / pažangi grėsmių paieška? vCSO.ai Cyber DD Checklist
Šifravimas Ar galinių įrenginių diskai yra visiškai šifruoti? Google VSAQ
Mokymai Ar visiems darbuotojams taikoma saugumo sąmoningumo ugdymo programa? CSA CAIQ v4 HRS

Apimami teisės aktai ir standartai

Kiekvienas rezultatas aiškiai nurodo, ką jis apima - ir ko neapima

DO

DORA (Reglamentas ES 2022/2554)

IRT registras (28 str.), sutartinės sąlygos (30 str.), pranešimo terminai (19 str.), nuoroda į paskirtus kritinius IRT tiekėjus (32 str.).

N2

NIS2 - sąsaja su DORA

DORA yra lex specialis NIS2 atžvilgiu finansų sektoriuje: susiję subjektai taiko DORA, o ne atitinkamas NIS2 priemones.

ISO

ISO 22301 - veiklos tęstinumas

PRA/PCA finansų profilis suderintas su ISO 22301 - veiklos tęstinumo valdymo standartu, naudojamu papildant DORA.

RG

BDAR - atskiras pranešimas

DORA incidento pranešimas (ACPR/AMF, Prancūzijos institucijoms) skiriasi nuo BDAR pranešimo (CNIL) asmens duomenų pažeidimo atveju: abu gali būti reikalingi vienu metu.

Jūsų situacijai pritaikyta pagalba

Kiekviena DORA byla skiriasi priklausomai nuo jūsų statuso - visais atvejais individualus pasiūlymas

IRT tiekėjas

Teikiate paslaugas vienam ar keliems finansų subjektams

Pasiūlymas
priklausomai nuo apimties
  • Kibernetinio saugumo išsamaus patikrinimo atsakymas
  • IRT registras tiekėjo pusėje
  • 30 straipsnio sąlygų peržiūra
  • Dokumentuota byla, paruošta perduoti
Prašyti pasiūlymo

Metinė priežiūra

Reguliarus bylos atnaujinimas (pareigos, sutartys, registras)

Pasiūlymas
periodinis
  • IRT registro atnaujinimas
  • Metinė sutartinių sąlygų peržiūra
  • Paskirtų kritinių tiekėjų stebėsena
  • Pagalba jūsų klientų išsamiems patikrinimams
Prašyti pasiūlymo

Dažnai užduodami klausimai

Ar mano įmonė yra DORA apimamas finansų subjektas?
DORA 2 straipsnis išvardija 21 finansų subjektų kategoriją: kredito ir mokėjimo įstaigos, investicinės įmonės, MiCA licencijuoti kriptoturto tiekėjai, draudimas ir perdraudimas, fondų valdymas, reitingų agentūros ir kiti. Labai mažoms įmonėms (mažiau nei 10 darbuotojų, apyvarta ar balansas mažesnis nei 2 mln. €) taikomas proporcingumas tam tikroms pareigoms, tačiau jos nėra visiškai atleidžiamos. Kiekvienu atveju būtina patikrinti su teisės konsultantu.
Aš nesu bankas, kodėl DORA man vis tiek taikoma?
Jei teikiate IRT paslaugas (IT, debesija, programinė įranga, talpinimas) finansų subjektui, 30 straipsnis įpareigoja jūsų klientą įtraukti jus į savo registrą ir sutartimi nustatyti tikslias sąlygas: audito teises, nedelsiamą pranešimą apie incidentus, pasitraukimo planus. Šios pareigos taikomos per jūsų kliento sutartį, o ne per tiesioginę institucijos priežiūrą - nebent jūs patys būtumėte paskirti kritiniu IRT tiekėju (31 straipsnis).
Kokie yra reikšmingo IRT incidento pranešimo terminai?
19 straipsnis: pirminis pranešimas per 4 valandas po klasifikavimo reikšmingu incidentu (ne vėliau kaip per 24 valandas nuo aptikimo), tarpinė ataskaita per 72 valandas, galutinė ataskaita per 1 mėnesį. Šie pranešimai skiriasi nuo galimo BDAR pranešimo CNIL asmens duomenų pažeidimo atveju.
Kas yra „kritinis IRT tiekėjas"?
Tai tiekėjai, kuriuos aiškiai paskiria Europos priežiūros institucijos (EBA, ESMA, EIOPA) pagal sisteminio poveikio, pakeičiamumo ir priklausomybės kriterijus (31 straipsnis). Pirmajame oficialiame sąraše, paskelbtame 2025 m. lapkričio 18-19 d., yra 19 tiekėjų. Jiems taikoma tiesioginė priežiūra (patikrinimai, išplėstinis ataskaitų teikimas); kiti IRT tiekėjai lieka reguliuojami tik savo finansų klientų sutartinėmis sąlygomis.
Ar DORA pakeičia NIS2 mano sektoriuje?
Taip, finansų subjektams pagal 2 straipsnį: DORA yra lex specialis NIS2 atžvilgiu finansų sektoriuje. 21 apimama kategorija taiko DORA vietoj atitinkamų NIS2 priemonių rizikos valdymo ir incidentų pranešimo srityse.
Ar ši paslauga yra teisinė konsultacija?
Ne. DORA-Express yra dokumentavimo pagalbinė priemonė, o ne teisinė konsultacija. Tikslų jūsų organizacijos priskyrimą DORA taikymo sričiai ir jūsų sutarčių teisinę atitiktį prieš bet kokį įpareigojantį sprendimą turi patvirtinti šios srities advokatas.

Pasiruošę dokumentuoti savo DORA atitiktį?

Susisiekite su mumis, kad gautumėte individualų pasiūlymą, priklausomai nuo jūsų statuso (finansų subjektas ar IRT tiekėjas).

DORA-Express yra dokumentavimo pagalbinė priemonė ir nėra teisinė konsultacija. Jūsų organizacijos priskyrimą DORA taikymo sričiai bei jūsų sutarčių ir registrų teisinį galiojimą turi patvirtinti šios srities advokatas.

Teisės aktų stebėsena - oficialūs šaltiniai

DORA paaiškinta paprastai, be teisinio žargono. Kiekvienas punktas žemiau nurodo jį patvirtinantį oficialų dokumentą.

Kam tai taikoma?

DORA taikoma Europos finansų rinkos dalyviams: bankams, draudimo bendrovėms, investicinėms įmonėms, rinkos platformoms, fondų valdytojams, mokėjimo paslaugų teikėjams... taip pat jų IT tiekėjams. Labai mažoms struktūroms taikomos lengvesnės taisyklės.

oficialus šaltinis (EUR-Lex) ↗

Ką DORA iš jūsų konkrečiai reikalauja

Reglamentas apima 6 pagrindines sritis: IT rizikos valdymą, išorės tiekėjų priežiūrą, reguliarų atsparumo testavimą, rimtų incidentų pranešimą, keitimąsi informacija apie grėsmes ir didžiausių IT tiekėjų priežiūrą.

oficialus šaltinis (EIOPA) ↗

Datos, kurias verta atsiminti

Teisės aktas priimtas 2022 m. gruodžio 14 d., paskelbtas ES oficialiajame leidinyje 2022 m. gruodžio 27 d. (OL L 333). Įsigaliojo 2023 m. sausio 16 d. Pareigos faktiškai galioja nuo 2025 m. sausio 17 d.

šaltinis EUR-Lex ↗ · šaltinis ESMA ↗

Jūsų IT tiekėjai taip pat prižiūrimi

Didžiausi IT tiekėjai (debesija, talpinimas...), pripažinti „kritiniais" finansų sektoriui, dabar tiesiogiai kontroliuojami Europos lygmeniu, o pagrindinis prižiūrėtojas gali jiems taikyti priemones.

oficialus šaltinis (EIOPA) ↗

Pagaliau suderintas incidentų pranešimas

Prieš DORA kiekviena ES šalis turėjo savo taisykles rimtam IT incidentui pranešti. Dabar taikoma viena bendra Europos procedūra: reikšmingi incidentai pranešami tiesiogiai kompetentingoms institucijoms.

šaltinis EUR-Lex ↗

O sankcijos?

Teisės aktas numato, kad institucijos skelbia savo skiriamas administracines sankcijas. Tikslūs baudų dydžiai iki šiol nagrinėtuose šaltiniuose nėra nusistovėję - reikės patvirtinti pagal tolesnius oficialius paaiškinimus.

šaltinis EUR-Lex (97 konstatuojamoji dalis) ↗