Ir-regolament Ewropew dwar ir-reżiljenza operattiva diġitali tas-settur finanzjarju (DORA) jimponi fuq l-entitajiet finanzjarji - u b'riperkussjoni fuq il-fornituri TIC tagħhom - reġistru eżawrjenti tal-kuntratti, klawżoli kuntrattwali preċiżi u provi ta' verifika bid-data. SYAGA DORA-Express jgħinek twieġeb dawn ir-rekwiżiti mingħajr improvizzazzjoni, sew jekk int entità finanzjarja jew fornitur.
DORA huwa regolament, mhux direttiva: japplika direttament fl-Istati Membri kollha, mingħajr liġi ta' traspożizzjoni nazzjonali x'tistenna.
Regolament (UE) 2022/2554 tal-14 ta' Diċembru 2022, ippubblikat fil-JOUE fis-27 ta' Diċembru 2022, daħal fis-seħħ fis-16 ta' Jannar 2023 u applikabbli mis-17 ta' Jannar 2025. Ebda traspożizzjoni nazzjonali meħtieġa: huwa direttament opponibbli.
Kull entità finanzjarja trid iżżomm aġġornat u tibgħat annwalment lill-awtoritajiet reġistru komplut tal-kuntratti TIC tagħha: fornitur, natura tas-servizz, kritiċità tal- funzjoni, pajjiż ta' hosting tad-data.
Drittijiet ta' verifika u ta' spezzjoni, garanziji ta' disponibbiltà u ta' integrità tad-data, pjanijiet ta' ħruġ ittestjati, notifika ta' inċident mingħajr dewmien. Dawn il-klawżoli jitilgħu mill- klijent finanzjarju tiegħek lejk jekk int il-fornitur TIC tiegħu.
Qabel ma tiffirma jew iġġedded kuntratt, bank, assiguratur jew investitur jibgħat kwestjonarju ċibernetiku (governanza, MFA, EDR, kriptazzjoni, sensibilizzazzjoni). Li twieġeb mingħajr prova ddokumentata tfisser titlef il-kuntratt.
Fit-18-19 ta' Novembru 2025, l-awtoritajiet Ewropej ta' superviżjoni (EBA, ESMA, EIOPA) ippubblikaw l-ewwel lista uffiċjali tal-fornituri TIC kritiċi skont l-artiklu 32 ta' DORA. Fost l-ismijiet ikkonfermati mill-komunikati uffiċjali: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (u 14-il fornitur ieħor mhux ikkonfermati b'isem fis-sorsi tagħna).
Konsegwenza konkreta: jekk is-servizzi kritiċi tiegħek jiddependu fuq wieħed minn dawn il-fornituri, l-entità finanzjarja klijent tiegħek trid issa tiddokumentah fir-reġistru TIC tagħha - u tista' tistaqsik dwar il-katina tiegħek stess ta' sottokuntrattar.
Sors: komunikati uffiċjali EIOPA u ESMA tat-18-19 ta' Novembru 2025 (eiopa.europa.eu, esma.europa.eu).
Akkumpanjament strutturat f'5 stadji biex tiddokumenta l-konformità tiegħek - mingħajr ma nwiegħdu dak li la għodda, u lanqas kumpanija, jistgħu jiċċertifikaw minflokok.
Int entità finanzjarja suġġetta direttament (waħda mill-21 kategorija ta' l-artiklu 2), jew fornitur TIC immirat indirettament permezz tal-klawżoli kuntrattwali tal-klijenti finanzjarji tiegħek (artiklu 30)? Il-perimetru eżatt jikkondizzjona l-bqija kollu.
Aħna nwieġbu l-kwestjonarju due diligence tal-bank, investitur jew assiguratur tiegħek (governanza, MFA, EDR, kriptazzjoni, sensibilizzazzjoni...) billi nużaw verifika teknika tat-tenant Microsoft 365 tiegħek bħala prova bid-data u verifikabbli.
Ngħinuk tistruttura r-reġistru tal-kuntratti TIC tiegħek (art. 28 §3) u tivverifika jew tintegra l-klawżoli kuntrattwali minimi u msaħħa tal-artiklu 30 fil-kuntratti tal-fornituri tiegħek.
Is-Suite PRA/PCA tagħna toffri profil settorjali Finanzi (DORA, PSD2, ACPR) li jkopri r-rekwiżiti ta' testijiet ta' reżiljenza operattiva tal-kapitlu IV ta' DORA, allinjat mal- ISO 22301.
Konsenja lid-diriġenza, ir-RSSI jew id-DAF tiegħek ta' fajl ikkonsolidat, bil- punti preċiżi x'jiġu deċiżi mill-konsulent legali tiegħek qabel kwalunkwe komunikazzjoni lill-awtoritajiet.
Konsenji konkreti, ssorsjati, mingħajr wegħda ta' ċertifikazzjoni li ħadd ma jista' jiggarantixxi
10 mistoqsijiet tip due diligence bank / M&A, iddokumentati u ssorsjati (ILPA DDQ, CSA CAIQ, kwestjonarji ta' assiguraturi ċibernetiċi).
Sommarju ssorsjat tar-regolament (UE) 2022/2554.
Struttura tar-reġistru eżawrjenti meħtieġ mill-awtoritajiet.
X'jiġu integrati jew vverifikati fil-kuntratti tal-fornituri TIC tiegħek.
Pjan ta' kontinwità u tkomplija tal-attività, profil settorjali dedikat.
Formati PDF u DOCX, li jikkonsolidaw il-konsenji kollha.
Estratt mill-10 mistoqsijiet li niddokumentaw għalik, bis-sors ta' kull mistoqsija
| Tema | Mistoqsija | Sors |
|---|---|---|
| Governanza | Il-politika ta' sigurtà tiegħek hija bbażata fuq referenzjal rikonoxxut (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Verifika ta' terzi | Twettaq verifika annwali indipendenti u testijiet ta' penetrazzjoni? | CSA CAIQ v4 |
| Pjan ta' inċident | Jeżisti pjan formali ta' rispons għall-inċidenti, iddokumentat u miżmum? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Għal liema servizzi timponi l-awtentikazzjoni b'ħafna fatturi? | Travelers - MFA Supplement |
| Kontijiet privileġġati | L-aċċessi jsegwu l-prinċipju tal-inqas privileġġ, riveduti perjodikament? | CSA CAIQ v4 IAM |
| Posta elettronika | Liema liċenzja M365 tuża? Defender / threat hunting avvanzat attiv? | vCSO.ai Cyber DD Checklist |
| Kriptazzjoni | Id-diski tat-terminals huma kompletament kriptati? | Google VSAQ |
| Taħriġ | Programm ta' sensibilizzazzjoni tas-sigurtà huwa stabbilit għall-kollaboraturi kollha? | CSA CAIQ v4 HRS |
Kull konsenja tindika b'mod espliċitu dak li tkopri - u dak li ma tkoprix
Reġistru TIC (art. 28), klawżoli kuntrattwali (art. 30), perjodi ta' notifika (art. 19), referenza għall-fornituri TIC kritiċi nnominati (art. 32).
DORA huwa lex specialis fir-rigward ta' NIS2 għas-settur finanzjarju: l-entitajiet ikkonċernati japplikaw DORA minflok il-miżuri ekwivalenti ta' NIS2.
Il-profil PRA/PCA Finanzi huwa allinjat mal-ISO 22301, referenzjal ta' ġestjoni tal- kontinwità tan-negozju użat b'kumplement ma' DORA.
In-notifika ta' inċident DORA (ACPR/AMF) hija distinta min-notifika RGPD (CNIL, l-awtorità Franċiża) f'każ ta' ksur ta' data personali: it-tnejn jistgħu jkunu meħtieġa simultanjament.
Kull fajl DORA huwa differenti skont l-istatus tiegħek - offerta personalizzata f'kull każ
Tipprovdi servizzi lil entità finanzjarja waħda jew aktar
Int suġġett direttament għal DORA (waħda mill-21 kategorija, art. 2)
Aġġornament regolari tal-fajl (obbligi, kuntratti, reġistru)
Ikkuntattjana biex tirċievi offerta personalizzata skont l-istatus tiegħek (entità finanzjarja jew fornitur TIC).
DORA spjegat b'mod sempliċi, mingħajr ġargun legali. Kull punt hawn taħt jirreferi għat-test uffiċjali li jikkonfermah.
DORA japplika għall-atturi finanzjarji Ewropej: banek, assigurazzjonijiet, kumpaniji ta' investiment, pjattaformi tas-suq, ġestjonarji ta' fondi, fornituri ta' ħlas... kif ukoll għall-fornituri informatiċi tagħhom. L-istrutturi żgħar ħafna jibbenefikaw minn regoli mnaqqsa.
Ir-regolament ikopri 6 suġġetti ewlenin: il-ġestjoni tar-riskju informatiku, is-sorveljanza tal-fornituri esterni tiegħek, testijiet regolari ta' reżistenza, ir-rappurtar tal-inċidenti gravi, il-qsim ta' informazzjoni dwar it-theddid, u s-sorveljanza tal-akbar fornituri informatiċi.
Test adottat fl-14 ta' Diċembru 2022, ippubblikat fil-Ġurnal Uffiċjali tal-UE fis-27 ta' Diċembru 2022 (JO L 333). Daħal fis-seħħ fis-16 ta' Jannar 2023. L-obbligi huma verament dovuti mis-17 ta' Jannar 2025.
L-akbar fornituri informatiċi (cloud, hosting...) meqjusa "kritiċi" għas-settur finanzjarju issa huma kkontrollati direttament fil-livell Ewropew, b'superviżur ewlieni li jista' jimponi miżuri fuqhom.
Qabel DORA, kull pajjiż tal-UE kellu r-regoli tiegħu stess biex jiddikjara inċident informatiku gravi. Issa, proċedura Ewropea unika tapplika: l-inċidenti maġġuri jiġu nnotifikati direttament lill-awtoritajiet kompetenti.
It-test jipprevedi li l-awtoritajiet jippubblikaw is-sanzjonijiet amministrattivi li jimponu. L-ammonti preċiżi tal-multi mhumiex stabbilizzati fis-sorsi kkonsultati sa llum - x'jiġi kkonfermat mal-kjarifiki uffiċjali.